サイバーセキュリティ保険への加入企業増加！個人情報流出事件が相次ぐ中、中小企業はどうすべきか？｜DOUII（ドウイ）利用規約やプライバシーポリシーを毎月見直す定額サービス

2023年02月15日

サイバーセキュリティ保険への加入企業増加！個人情報流出事件が相次ぐ中、中小企業はどうすべきか？

2022年後半から2023年1月、「サイバー保険、加入急増」「サイバー保険に熱視線」などの見出しで、サイバー保険加入者が急激に増えているという内容の記事が、全国紙、業界紙、地方紙各紙に掲載されました。
サイバー保険は、提供各社により違いはありますが、サイバー攻撃、従業員による情報の持ち出し、メールの誤送信、盗難事故等を原因とする個人情報漏えいにより企業に生じた損害賠償費用、訴訟費用、事故対応に必要な費用、逸失利益などを補償する保険です。

日経新聞によると

（2022年）4月～9月期の保険料収入は東京海上と損害保険ジャパンがそれぞれ50%、三井住友海上火災保険は40%、あいおいニッセイ同和損害保険は28%伸びた。2021年度までに比べて伸び率が急拡大している。加入者数もあいおいニッセイが82%、損保ジャパンは53%、三井住友海上は45%増えた。（2022年11月12日）　引用元：日本経済新聞

とあります。

深刻化するサイバー攻撃

これは、不正アクセスやウイルス感染などのサイバー攻撃による事故が急増し、状況がより深刻化していることが背景となっています。2022年はサイバー攻撃による大手食品メーカーの164万人以上の顧客情報流出の他、大手流通企業における誤送信を原因とする191万人の顧客情報漏えい等、大手企業の漏えい・紛失事故が目立ち、代表取締役の引責辞任に発展したケースもありました。
東京商工リサーチが毎年行っている「上場企業の個人情報漏えい・紛失事故調査」によると、2022年の事故件数は2021年（137社）を28件上回る165件（前年比20.4％増）で、2012年調査開始以降最多となり、社数も150社（同25.0％増）で、これまで最多の2021年（120社）を30社上回りました。社数と事故件数は2021年に続き、2年連続で最多を更新しました。

出典元：東京商工リサーチ

原因別では、「ウイルス感染・不正アクセス」が91件（構成比55.1%）と最多となっており、この「ウイルス感染・不正アクセス」は前年に対して23件増加、全体の増加件数28件の8割以上を占めています。
また、誤表示・誤送信、或いは紛失・誤廃棄といった社内における人為的ミスが多いことも見過ごすことは出来ません。

出典元：東京商工リサーチ

中小企業はどう対策を考えるべきか？

各企業が様々な対策を打ち法整備が進む中でも、この様に個人情報の漏えい・紛失事故が増加していること、特に大企業はサイバー攻撃の標的になり大規模な損害を被る可能性があることから、冒頭のサイバー保険が注目されるようになって来ました。

これから対策を本格的に考える中小企業は、どのように対処していくべきでしょうか？
当然、情報漏えい対策は、保険をかければ良いというものではありません。個人情報保護法に定められた安全管理措置に従って「予防」と「発生時対策」の視点から対策を考える必要があります。

この点、個人情報保護法には次の通り対策を打つ義務があることが定められています。

個人情報保護法

第23条　安全管理措置

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

これだけでは具体的に何をしたら良いのか分かりませんが、「個人情報の保護に関する法律についてのガイドライン（通則編）」において、以下の通り、網羅的且つ具体的にとるべき対策が示されています。
この中で、サイバー保険は10-3(4）に掲げられている、組織的安全管理措置としての漏えい等事案に対する体制の整備の一環と位置付けられますが、安全管理措置として講じるべき項目は多岐に渡りますので、高額と言われる保険料負担を伴うサイバー保険加入はその中で冷静に検討されるべきことだと思います。

個人情報保護ガイドライン（通則編）より

10（別添）講ずべき安全管理措置　
10-1　基本方針の策定
10-2　個人データの取扱に係る規律の整備
10-3　組織的安全管理措置
（1）組織体制の整備
（2）個人データの取扱扱いに係る規律に従った運用
（3）個人データの取扱状況を確認する手段の整備
（4）漏えい等事案に対応する体制の整備
（5）取扱状況の把握及び安全管理措置の見直し
10-4　人的安全管理措置
〇従業者の教育
10-5　物理的安全管理措置
（1）個人データを取り扱う区域の管理
（2）機器及び電子媒体等の盗難等の防止
（3）電子媒体等を持ち運ぶ場合の漏えい等の防止
（4）個人データの削除及び機器、電子媒体等の廃棄
10-6　技術的安全管理措置
（1）アクセス制御
（2）アクセス者の識別と認証
（3）外部からの不正アクセス等の防止
（4）情報システムの使用に伴う漏えい等の防止
10-7　外的環境の把握

引用元：個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン-通則編-」

各安全管理措置の考え方は下記の通りです。

組織的安全管理措置は、「予防」として社内の規定やルールを整えた上で、「発生時対策」として漏えい事案に適切に対応出来る為の準備を進めて置こうというもので、ここには、今回の個人情報保護法の改正で義務付けられることになった漏えい発生時の個人情報保護委員会への報告についても想定しておく必要があります。
人的安全管理措置は、規定やルールを運用する人に的をあてた措置で、従業員をどのように教育するかを定めるものです。漏えい・紛失事故の原因として「ウイルス感染・不正アクセス」に続いて多いのが「誤表示・誤送信」「紛失・誤廃棄」という人為的ミスであることは上で触れました。パスワードを安易に使い回していることにより退職者から外部に流出し、不正アクセスが行われたという事例も少なくありません。従業員の教育は非常に重要です。
物理的安全管理措置は、人の立ち入り、情報の持ち出し、誤廃棄等を物理的に防ぐための措置です。規定やルール、教育と併せてルールを定め、運用を徹底する必要があります。
技術的管理措置は、「予防」としてアクセスの制御、識別や認証、外部からの不正アクセスを技術的に防止し、ログ等を残すことにより「発生時対策」として不正アクセスの検知・分析を可能にする措置です。

これらの安全管理措置は、保有個人データの本人に周知するために公表する必要があります。

有効な安全管理措置を講じる為には、自社の事業の実態に即して適切に定められたプライバシーポリシーを根幹に据えて、自社のリスクを図り、実効性ある対策を具体的に定めて公表し、実行して行くことが重要であると考えます。