2017年5月30日「改正個人情報保護法」が全面施行されて以来、これまで自由に情報取得・開示できていたものが、情報の取得・管理・取扱いが難しくなりました。また、個人情報保護に関する理解と対策をしていない企業は、信頼性を欠くことにつながるため、企業の個人情報保護研修は重要です。今回、個人情報保護研修内容と押さえるべきポイントをご紹介いたします。
\社員教育はeラーニングと集合研修で/
資料をダウンロードする個人情報保護教育の必要性
個人情報は、特定の個人を識別できる情報です。個人情報は個人の情報を使って悪用や、ビジネスに活用することができるため、情報を預かり管理する人次第で、重大な損害を与える可能性があるものです。企業に属する社員は個人情報保護の意味を知り、正しく管理・取扱われていなければならないため、社員への個人情報保護研修は必要不可欠です。
個人情報保護教育とは?改定で必要性が増した社員教育のポイントや方法を解説
個人情報保護法とは
個人情報を取扱う際、厳守すべき義務などを定める法律のこと。個人情報保護法では、個人情報の所有者に、個人が有する情報をデータ化するといった個人データ情報の安全管理処置が義務付けられています。個人情報保護法は、平成15年5月に公布、平成17年4月に全面施行されました。
個人情報を取扱うなかで、さまざまな課題が生まれるたびに法の見直しがされ、2015年に法改正した際は、3年ごとに個人情報保護制度を見直すことになりました。これは目まぐるしく変化する国際動向や、通信技術の進展が影響しています。
さまざまな状況を考慮し、2002年4月には「事業者の責務」個人情報保護法を厳守しない事業者に対しての「ペナルティの強化」もされました。法で定めることにより、不当な取扱いをする個人情報取扱業者の抑制・防止を目的としています。
ここでは、2022年4月改正点のポイントについてご紹介します。
①事業者責務の追加
法改正により、個人保有データの漏えいなどが発生した場合、報告義務や本人への通知義務が追加されました。個人情報取扱事業者の個人情報不適切利用に対しては、禁止義務が明文化されています。違法行為や不当行為を助長・誘発される恐れがある方法を、法によって厳しく記されていますので、事業者の責任は大変重要になっています。
②ペナルティの厳罰化
個人情報取扱業者の責務は、厳しく個人情報保護法に記されているものの、それでも個人情報の管理・取扱いに問題がある企業や団体などはなくなりません。そこで、法改定後はペナルティがこれまで以上に厳罰化されました。
企業が知るべき個人情報保護法のポイント!2022年4月の改正法も解説
個人情報の種類
個人情報は、個人を識別できる情報全てを含みます。氏名・生年月日・性別・住所・電話番号・メールアドレスなどが代表的で、パスワードや配偶者の有無、子供、介護状況など家庭状況が分かる内容も個人を識別できる情報です。当然銀行口座など資産情報も本人の許可なく漏えいしてはなりません。
個人情報漏えいの危険性
個人情報が漏えいすると企業の場合、信頼を失いかねません。ただ信頼を失うだけであれば挽回するチャンスはありますが、個人情報が漏えいしたことにより、第三者提供につながり、悪用されて大きなトラブルになりかねません。
知っておきたい情報セキュリティ10大脅威
2024年2月にIPA独立行政法人情報処理推進機構が発行した「情報セキュリティ10大脅威2024(PDF)」から、「組織」に向けた脅威を表で見てみましょう。
| 順位 | 「組織」向け脅威 | 初選出年 | 10 大脅威での取り扱い (2016 年以降) |
| 1 | ランサムウェアによる被害 | 2016 年 | 9 年連続 9 回目 |
| 2 | サプライチェーンの弱点を悪用した攻撃 | 2019 年 | 6 年連続 6 回目 |
| 3 | 内部不正による情報漏えい等の被害 | 2016 年 | 9 年連続 9 回目 |
| 4 | 標的型攻撃による機密情報の窃取 | 2016 年 | 9 年連続 9 回目 |
| 5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 2022 年 | 3 年連続 3 回目 |
| 6 | 不注意による情報漏えい等の被害 | 2016 年 | 6 年連続 7 回目 |
| 7 | 脆弱性対策情報の公開に伴う悪用増加 | 2016 年 | 4 年連続 7 回目 |
| 8 | ビジネスメール詐欺による金銭被害 | 2018 年 | 7 年連続 7 回目 |
| 9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 2021 年 | 4 年連続 4 回目 |
| 10 | 犯罪のビジネス化(アンダーグラウンドサービス) | 2017 年 | 2 年連続 4 回目 |
出典元:IPA独立行政法人情報処理推進機構「情報セキュリティ10大脅威2024(PDF)」
ここからは表に取り上げられたうち上位5つについて、手口と対策を解説します。
【1位】ランサムウェアによる被害
【個人情報保護を脅かすランサムウェアの手口】
ランサムウェア攻撃者は、個人情報保護が不十分なシステムの脆弱性を狙います。主な感染経路は4つです。
- VPNなどの脆弱性を悪用したネットワーク経由の侵入
- 公開サーバーへの不正アクセス
- メールの添付ファイルやリンクを利用した感染
- 改ざんされたWebサイトを通じた感染
これらの手口により、攻撃者はセキュリティの弱点を突き、システム全体に侵入し、個人情報を含む重要データを危険にさらします。
【個人情報保護を強化するランサムウェア対策】
ランサムウェア対策には、組織全体での取り組みが重要となります。有効なのは、下記のような対応です。
- 多要素認証の設定
- 不審なメールやリンクへの注意
- 適切なアクセス権管理
- 定期的なバックアップ
被害発生時は、適切な報告・連絡・相談と、バックアップからの復旧を試みましょう。身代金支払いは推奨されません。個人情報保護を含む総合的なセキュリティ戦略の立案と実行が、ランサムウェア対策の要となります。
【2位】サプライチェーンの弱点を悪用した攻撃
【個人情報保護を脅かすサプライチェーン攻撃の手口】
サプライチェーン攻撃は、個人情報保護に深刻な脅威をもたらすものです。攻撃者は、以下のような攻撃を行います。
- セキュリティの弱い取引先や委託先を狙い、そこから標的組織の機密情報を窃取
- ソフトウェア開発元やサービス提供者を攻撃し、製品やサービスにマルウェアを仕込んで、多数の組織に一度に攻撃を仕掛ける
これらの手法は、直接攻撃が困難な組織への侵入口として利用されます。個人情報の大規模流出につながる危険性もあるでしょう。
【個人情報保護を強化するサプライチェーン対策】
個人情報保護を含むサプライチェーンのセキュリティ強化には、組織全体での取り組みが不可欠です。主な対策として、取引先の選定基準の厳格化、契約内容の明確化、定期的な監査の実施があります。
また、SBOM(ソフトウェア部品表)の導入やセキュリティ認証の取得も有効です。被害発生時には、迅速な報告・連絡・相談と、関係組織との連携が重要となります。これらを通じて、サプライチェーン全体での個人情報保護体制を構築することが求められているのです。
【3位】内部不正による情報漏えい等の被害
【個人情報保護を脅かす内部不正の手口】
内部不正は個人情報保護に深刻な脅威をもたらします。主な手口として挙げられるのは、下記のとおりです。+
- アクセス権限の悪用:付与された権限を使って重要情報を窃取や改ざん
- 退職者による旧アカウントの悪用:削除されていない旧アカウントでの不正アクセス
- 内部情報の持ち出し:USBメモリーやクラウドストレージなどを使用した情報の外部流出
これらの行為は、組織の信用失墜や経済的損失を引き起こし、個人情報の大規模流出につながる危険性があります。
【個人情報保護を強化する内部不正対策】
個人情報保護を含む内部不正対策には、組織全体での取り組みが不可欠です。主な対策として、下記のようなものがあります。
- 基本方針の策定と経営層の関与
- 重要情報の管理と保護(アクセス権管理、DLPツールの導入)
- 物理的管理(入退室管理、外部媒体の制限)
- 従業員教育とコンプライアンス徹底
- システム操作履歴の監視
- インシデント発生時の迅速な対応体制の整備
これらを通じて、組織全体で個人情報保護の意識を高め、内部不正のリスクを最小化することが求められています。
【4位】標的型攻撃による機密情報の窃取
【個人情報保護を脅かす標的型攻撃の手口】
標的型攻撃は、個人情報を含む機密情報の窃取や業務妨害を目的とした巧妙な手法で、主な手口として下記のようなものがあります。
- 偽装メール:業務関連を装った添付ファイルやリンクでウイルス感染を誘導
- 水飲み場型攻撃:ひんぱんに利用するWebサイトを改ざんしてウイルスを仕込む
- 不正アクセス:クラウドサービスやVPN装置の脆弱性を悪用して侵入
攻撃者は長期潜伏して活動することもあり、個人情報の大規模流出や事業継続への重大な影響をもたらす可能性があります。
【個人情報保護を強化する標的型攻撃対策】
個人情報保護を含む標的型攻撃対策には、組織全体での多層的な取り組みが不可欠といえます。主な対策として挙げられるのは下記のとおりです。
- 情報の適切な管理と暗号化
- 継続的な脅威情報の収集と従業員教育
- インシデント対応訓練の実施
- サーバー、クライアント、ネットワークの適切なセキュリティ対策
- アプリケーション許可リストの整備
- 取引先や海外拠点のセキュリティ対策確認
また、従業員レベルでは不審なメールやリンクへの注意が重要です。これらの対策を通じて、組織全体で個人情報保護の意識を高め、標的型攻撃のリスクを最小化することが求められています。
【5位】修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
【個人情報保護を脅かすゼロデイ攻撃の手口】
ゼロデイ攻撃は、ソフトウェアの脆弱性が公開される前に行われる攻撃で、個人情報保護に深刻な脅威をもたらします。攻撃者は未公開の脆弱性を悪用し、DDoS攻撃、不正なスクリプト実行、特権アカウント作成などを行うのです。
たとえば、2023年にはHTTP/2プロトコルの脆弱性を利用した大規模DDoS攻撃や、WinRARの脆弱性を悪用したスクリプト実行攻撃が発生しました。これらの攻撃は、個人情報を含む機密データの漏えいやシステム停止を引き起こす可能性があり、対策が困難なためとくに危険です。
【個人情報保護を強化するゼロデイ攻撃対策】
個人情報保護を含むゼロデイ攻撃対策には、予防と迅速な対応が重要といえます。主な対策として挙げられるのは下記のようなものです。
- セキュリティサポートが充実したソフトウェアの使用
- 脆弱性情報の継続的収集と管理
- 適切なセキュリティ対策の実施
- インシデント対応体制の整備
脆弱性が公開されたときは即時に回避策や緩和策を適用し、必要に応じてソフトウェアの使用を一時停止します。そして修正プログラムがリリースされたら速やかに適用し、被害が発生したら影響調査と対策強化を進めていきます。
これらを通じて、組織全体で個人情報保護の体制を強化し、ゼロデイ攻撃のリスクを最小化することが求められているのです。
\社員教育はeラーニングと集合研修で/
資料をダウンロードするIPAによる個人情報保護を含んだ情報セキュリティ対策の基本
2024 年 2 月にIPA独立行政法人情報処理推進機構が発行した「情報セキュリティ10大脅威2024(PDF)」では、情報セキュリティ対策の基本として下記のような表を発表しています。
| 攻撃の糸口 | 情報セキュリティ対策の基本 | 目的 |
| ソフトウェアの脆弱性 | ソフトウェアの更新 | 脆弱性を解消し攻撃によるリスク を低減する |
| ウイルス感染 | セキュリティソフトの利用 | 攻撃をブロックする |
| パスワード窃取 | パスワードの管理・認証の強化 | パスワード窃取によるリスクを低 減する |
| 設定不備 | 設定の見直し | 誤った設定を攻撃に利用されな いようにする |
| 誘導(罠にはめる) | 脅威・手口を知る | 手口から重要視すべき対策を理 解する |
また同資料では、
順位が高いか低いかに関わらず、自身または組織が置かれている立場や環境を考慮して優先度を付け、適切な対応を取る必要がある。
とも述べています。言い換えれば自社の状況をしっかり把握してどの対応が必要か判断し、速やかに実施することがどの企業にも求められているのです。
出典元:IPA独立行政法人情報処理推進機構「情報セキュリティ10大脅威2024(PDF)」
個人情報保護研修の目的
ここからは、個人情報保護研修を行う目的として、受講者である社員が「個人情報保護」についてどんな意識をもってもらうことが理想なのか、解説します。
個人情報の保持および取扱う責任への認識をもつ
個人情報は「個人を識別できる情報」で、個人を特定することにつながります。個人の情報財産を保持していることの責任を再確認します。
個人情報漏えいに対するトラブルや事件の自分事化
会社全体・各従業員が責任を意識していなければ、個人情報漏えいにつながります。世の中のニュースや事件に敏感になり、他人事ではなく自社の責任・自己責任へと意識改革を促します。
自分がもっている「個人情報」に対する意識の客観的理解
「個人情報」に対する自分の理解を客観的に捉えることは、これからとろうとする行動が適切なのかどうか、客観的な視点で判断できる力につながります。
個人情報保護法違反が身近に起きるケースとは?事例や起きないための予防策も解説
個人情報保護研修の実施内容
法と密接な関係にある個人情報法の研修内容についてどのような内容を行うか解説していきます。
個人情報保護法の概要
個人情報保護法は、一度研修を行えばよいというものではありません。法律が絡むものであり、個人保有データの取扱い・管理・理解不足による情報漏えいで思わぬ損害を起こすため、研修は定期的に行い、意識や理解を深めることが重要です。
個人情報保護法の定義
第二条1項・2項には、『この法律において「個人情報」とは、生存する個人に関する情報であり…』と記されています。当該情報には、氏名、生年月日などの記述・記録を示しています。法と照らし合わせながら、自己認識の相違を探していきます。
管理体制・理解の確認
管理と取扱いに伴う体制・理解は、会社全体・従業員全員が共通の認識をもって取扱いがなされているのか、盲点はないのかを確認します。
個人情報漏えいの原因と損害について
個人情報漏えいの原因は何であり、どこであったのか。誰がどのような行動をしたが故に起こったのか。情報漏えいを事前に防ぐにはどのような対応をすべきかを学びます。個人情報漏えいでかかる企業の責任および損害や費用についても知っておく必要があります。
情報漏えいやトラブル発生時の対処法
情報漏えいやトラブル発生時の対処法はどのようにするのか事例を参考に考えます。
【トラブル事例①】株式会社Bで25万件近い個人情報の漏えい
【トラブル事例②】株式会社Rで25万件近い個人情報が漏えい
個人情報保護研修実施で押さえるべきポイント3つ
ここでは、研修時に押さえるべき3つのポイントについて解説します。
- 個人情報保護法について従業員の理解統一
- 会社全体・部署ごとの問題と対策を確認する
- 個人情報漏えい時の対処法について
個人情報保護法について従業員の理解統一
個人情報保護法は全ての従業員および会社全体の理解統一が重要なポイントです。異なる認識がトラブルの原因になります。
会社全体・部署ごとの問題と対策を確認する
個人情報の取扱い・管理が、会社全体または部署ごとで異なる場合は注意が必要です。問題に対しての防止対策なども会社共通・部署ごとも同様です。誰もが分かる状態にしておくことがポイントです。
個人情報漏えい時の対処法について
情報漏えいした場合、いつ・誰が・どこに(誰に)・どのような方法で報告し・どうやって確認するのか、誰が指示をするのかなどはっきりと決めておく必要があります。相談窓口の設置・記録の有無などすぐに分かるようにしておくことが大切です。
個人情報保護研修の実施方法と費用
個人情報保護法研修には以下の実施方法があります。
- 外部講師を招いて実施
- eラーニングなどのオンラインを活用して実施
- 外部講師とeラーニング導入のハイブリッド
外部講師を招いて実施
外部講師を招いてセミナーなどの形で行う研修方法です。この場合かかる予算は、講師代・会場費(借りる場合)で大きく変動します。また従業員全員なのか、本社の人間だけなのか、受講対象者によっては、交通費や宿泊費がかかる場合もあります。
講師による手厚く細かい指導はメリットである一方、スケジュールが合わせにくい・業務に支障が出る・講師によって差があるなどのデメリットがあります。
eラーニングなどのオンラインを活用して実施
近年増えている研修方法です。人気講師になれば費用は上がり、時期や会社形態によっては講師を招いての研修は不向きです。コロナ禍の影響もあり、場所を問わずPCやスマートフォンでどこでも受講できるeラーニングを導入する企業が増えています。
コストも抑えられるといったメリットもある一方、デメリットとしては数や種類が多いため、自社に合った講座が分かりにくいという点があります。
外部講師とeラーニング導入のハイブリッド
外部講師とeラーニングシステム導入などのオンラインのメリットを上手に生かした研修方法で、不明点を見直しやすい特徴があります。デメリットとしては、二重にコストがかかることでしょう。
個人情報保護法研修におすすめのツール
これまで社員研修は研修時間を設け、会場を用意し、講師による指導が多かったのですが、最近ではeラーニングなどを活用したオンライン研修を導入する企業が増えています。しかし、数あるオンライン講座から、自社に合った講座を探すのは難しく、研修ごとに選ぶのは手間がかかるでしょう。
「manebi eラーニング」なら、5,000以上のコンテンツがあるうえ、研修のコース作りもサポートします。まずは一度試してみませんか?お気軽にお問い合わせください。
\社員教育はeラーニングと集合研修で/
資料をダウンロードする
