個人情報保護委員会はこのほど、不正アクセスによる個人データ漏えい防止のための注意喚起を行いました。報告された事案の分析を行い、問題点を8つの事例に類型化して、原因と対策を取りまとめています。

一つ目は、個人情報取扱事業者が個人データを取り扱うために導入したシステムについて、ソフトウェアを最新に保つための措置を適切に行わず、脆弱性対策を放置していたことで、不正アクセスによるデータ漏えいを防げなかった事例です。原因は、システム業者との間でシステム保守の業務委託契約を締結していなかったこと、グループ会社間で脆弱性対策を行う役割分担が明確化されていなかったこと、装置自体の脆弱性だとされました。対策例としては、適切なシステム業者を選定すること、脆弱性対策プロセスを確実に行うこと、脆弱性の高い装置については特に運用・対応の役割分担を明確化することが挙げられています。

二つ目は、グループ会社全体の情報システムを管理する親会社が、グループの複数会社が使用する情報システムに脆弱性が公開された際、セキュリティパッチを適用するよう指示したが、一部の子会社が瞬時に対応できず、不正アクセスを受けた事例です。これは、一部の子会社にはシステム対応を行うための要員が十分におらず、迅速な対応ができなかったこと、親会社で資産管理が適切に行われておらず、脆弱性情報の認識・対応が遅れたことが原因だとされました。対策例としては、脆弱性情報の収集・分析だけでなく、セキュリティパッチ適用などの対策状況も含めて一元管理すること、対策プロセスの役割分担を関係者間で認識合わせしておくことが挙げられています。

今般掲載された文書では、このほかに（3）不正ログインの事例、（4）グループ会社や海外拠点が狙われた事例、（5）グループ会社間のアクセス制御不備があった事例、（6）個人領域に保存していたデータの漏えい事例、（7）グループ会社への監督が不十分な事例、（8）利用するクラウドサービスからの漏えい事例の計8つが紹介されました。これらの事例には、個人情報取扱事業者内外の複数の組織・部署が関係しており、経営層を交えた組織的な対応を図ることが問題点の解決につながると述べられています。