TOP > 改正個人情報保護法のおさらい
Ⅰ まず、個人情報が漏洩(その恐れを含む)した場合、漏えい等報告・本人への通知が義務化されましたが、
どういった場合に報告・通知が必要なのでしょうか?
1. 要配慮個人情報 ⇒ ①「病歴」に準ずるもの ② 「犯罪の経歴」に準ずるもの
2. 財産的被害 ⇒ クレカ情報が盗まれて不正使用された場合など
3. 不正の目的を持って行われた ⇒不正アクセス、社員等による不正な情報の持ち出し、など
などが該当します。
Ⅱ 次にどれくらいの期間で報告する必要があるのでしょうか。
《 個人情報保護委員会への報告 》
速報 3~5日以内 報告しようとする時点において把握している内容
↓
確報 30日以内(不正アクセス等の場合は60日以内) 全ての報告事項
(合理的努力を尽くしても、全ての事項を報告できない場合は、判明次第、報告を追完)
特に、不正アクセス等の場合はフォレンジック調査による原因究明・被害状況把握等が
必要となりますが、調査には平均2か月ほど要する為、「60日以内」と規定されています。
Ⅲ では、報告しなければ、罰則規定はあるのでしょうか。
命令違反の場合、行為者に対し
[改正前] 6ヶ月以下の懲役又は30万円以下の罰金
↓
[改正後] 1年以下の懲役又は100万円以下の罰金
虚偽報告等の場合、行為者に対し
[改正前] 30万円以下の罰金
↓
[改正後] 50万円以下の罰金
法人に対する罰金の上限は
[改正前] 行為者と同じ
↓
[改正後] 1億円以下の罰金
法人の場合は1億円以下の罰金ですね。
【まとめ】
「合理的努力を尽くした報告」のためのフォレンジック調査にかかる費用はパソコン1台100万円~とも
言われております。
中小企業が「不正アクセスに遭ってるかも?」に気付くきっかけの殆どは『取引先などからの連絡』です。
エモテットウィルスをはじめとした被害が急増している今、改めて各企業での対策が必要とされています。