改正個人情報保護法案成立へ
情報セキュリティ投資は二極化
改正個人情報保護法案の成立に向けた動きが活発化している。個人情報の保護を図りつつ、パーソナルデータの利活用を促進することで、新産業、新サービスの創出と国民の安全・安心の向上の実現を目指している。
個人情報を取り巻く環境は年金機構の漏えいやベネッセ・ショックといった課題が山積している。しかし、そのデータの有用性は大きい。マイナンバー制度の施行に合わせ、こうした課題の解決と有効利用の規定を改めた、個人情報保護法案が今年、成立しようとしている。改正個人情報保護法案では、個人情報の取り扱いが5,000人以下の事業者も規制対象になり、不正な利益を図る目的での提供・盗用に関して厳罰に処せられるようになる。一方で、特定の個人を識別できないよう加工された情報の第三者提供が可能になる。
マイナンバー(社会保障・税番号)制度の施行もあり、中小企業にとっても情報セキュリティの対策が求められる。
IDCJapanが行った2015年国内企業の情報セキュリティ対策実態調査によると、2015年度の情報セキュリティ投資は2014年度に続き増加傾向にあるが、投資を増やす企業と抑制する企業とで二極化していることが分かった。また、外部脅威対策に比べ内部脅威対策の導入に遅れ、標的型サイバー攻撃向け非シグネチャ型外部脅威対策を導入している企業が6割程と、導入の進展過程にある。被害はPCやサーバーばかりでなくPOSやATMなどの産業機器へ拡大し、被害の収束時間は長期化している。そして、社外の第三者からの通報による発見が増加しているという。巧妙化するサイバー攻撃と法規制で経営層でのセキュリティ脅威の可視化が求められる。
法改正やマイナンバー制度が本格始動する前に、企業としての対応が望まれる。