学校には数多くの個人情報があります。
取扱いへの配慮は十分か、今一度確認したいですね。
日経新聞より。
(有料会員限定記事となっております。ご了承ください)
この記事の筆者は情報セキュリティー会社に属しておられ、
サイバーリスクに関する情報を発信されているとのこと。
この4月に施行される改正個人情報保護法について、
サイバーセキュリティーの観点から変更のポイントと対策が
以下、解説されています。
まず最大の変更点は、個人情報が漏洩した際の報告の義務化です。
企業などで情報漏洩が発生し、
個人の権利や利益を害する恐れが大きい場合は、
政府の個人情報保護委員会と本人に通知することが義務化されます。
そして、個人情報保護委員会の命令違反や同委員会への虚偽報告に対する
法定刑も引き上げられ、命令違反に対する罰金刑は
改正前の「30万円以下」から「1億円以下」と大幅増となっています。
さらに、報告には「原因」と「再発防止のための措置」を
盛り込まなければならず、しかも、事態を把握した時点から
5日以内に速報を開示し、30日以内に確報を報告する必要がある、
とかなりタイトなスケジュールで進めねばならないこととなります。
こういった事態を防ぐために、筆者が提案していることを整理してみました。
★期限内に原因を究明するために
・不審な通信を検知する機能を備える「EDR(エンドポイント検知・対応)」と呼ばれるソフトウエアの導入
・攻撃者のサーバーに情報が送信されないようにする仕組み
・個人情報の暗号化などの徹底
★漏洩の発覚時に対応する体制の見直し
・漏洩の疑いが出たらどのように組織内で報告するのか
・漏洩の事実をどうやって確認するのか
・被害範囲をどのように特定するのか
・外部にどのような手順で公開するか
・再発防止策を誰が検討し、その有効性をどう担保するのか などを決めておく
さて貴校園の個人情報保護への取組は十分なものになっているでしょうか。
まずは現状を把握し、適切なしくみの整備を進めていきましょう。
(文責:吉田)