サイバー被害、全員に通知　個人情報漏洩で企業に義務

個人情報保護法では努力義務だったのがずっと不思議でした。消費者より中小企業への配慮が随所に見られたのがこの法律の本質でしたが、ようやくと言ったところ。
これを機にサイバー保険は盛り上がると思います。現在のサイバー保険は使いづらく、BtoBビジネスにおいて顧客の発注先選定基準を満たすために加入しているようなものですが、BtoCビジネスを想定したメニューが拡充されることを望みます。

これは吉報ですね
このように厳格なルールのもと、明確な善管注意義務を課し、違反については訴訟のテーブルにおいて過失責任を問える体制が必要です
我が国にとって大きな一歩であると思います
次はサイバー攻撃を受けたことに対する善管注意義務の定義ですね
このルールだとまだ甘い
サイバー攻撃を受けたことに関しては、最低限の努力をしていたか否かが明確には問えない
米国ではNIST SP800-171という明確なラインが引かれています
ただ、全員に通知義務があるということは、被害範囲の算定や流出情報の現在位置、当然アナウンスの際にはどういった経路での漏洩だったかなどの調査が必要となります。
即座にそのような調査を実施するためには日々のセキュリティ投資、監視が必要でしょう
さて、個人情報でもここまでやっている中、今になって数年前のインシデントを続々と報告する企業さんたちはいかがなものでしょうかね

顧客から預かった個人情報は、会社の情報資産であっても所有物ではありません。サイバー攻撃を受けたという立場からは被害者ですが、個人情報を漏洩させたという立場からは個人に対する加害者の立場になります。そのためにも、個人情報の侵害リスクが発生するリスクを局限するための組織的・技術的な安全確保措置の実施、対応状況のエビデンスの整備、発生時のリスクファイナンスとしてのサイバー保険の加入の重要性が、日本でも高まってくるでしょう。

サイバー被害が原因でなくても、個人の病歴など影響が深刻な場合や、人数が膨大な場合などは通知義務の対象とするとの記事。

12-19年に上場企業とその子会社で個人情報漏洩・紛失を公表した企業は372社で、事故数は685件あった。漏洩・紛失した可能性のある個人情報は累計8889万人分(内3504万件ベネッセHD)

米カリフォルニア州はデータ侵害通知法で個人への通知を義務にし、欧州のGDPRは72時間以内の報告を求めている。

サイバー保険は今後増えてきますね。

〜改正個人情報保護法〜
個人への通知義務は「個人の権利に害を与える恐れが大きい場合」