“願い”と化す「情報漏えいの事実は確認されておりません」 問われる「サイバー攻撃を受けました」発表の質

北條氏：個人情報保護委員会も適切な保存期間や種類のログがあった上での解析結果でなければ、漏えいのおそれは否定できないことをもっと発信しないとダメだと思いますが、なかなかされない。解析結果に対して、第三者の目線が必要だ、という話にもつながるのですが、そうなると誰がそれをやるのかということにもなってきます。

●補足：

個人情報保護委員会が公表する「『個人情報の保護に関する法律についてのガイドライン』に関するＱ＆Ａ」のＱ６－２において、「個人データを第三者に閲覧されないうちに全てを回収した場合」は漏えいしたに該当しないとしており、事例として「システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となっていた場合において、閲覧が不可能な状態とするまでの間に第三者が閲覧していないことがアクセスログ等から確認された場合」があるとしている。

　この「閲覧が可能な状態となっていた」時点から「閲覧が不可能な状態とするまでの間」が適切な期間であり、「第三者が閲覧していないことがアクセスログ等から確認された」ということが、適切な種類のログを意味する。しかし、ランサムウェア被害に遭った場合には、適切な期間が明確にできないからか、事例として挙げられていない。

　もちろん、被害組織が知識を付けていただければ一番いいんですけど、なかなか難しいですよね。あるいは、セキュリティベンダーがきちんと真摯（しんし）な対応をしてくれればいいのですが、顧客からの依頼が増えさえすれば良いというベンダーも一定数存在する。もっとも、ベンダーも依頼してきた被害組織の言い分を聞かないといけない場面もあるのでしょうけど。

　被害組織もセキュリティ対策がきちんとできているという資格や審査について100点満点の70点で通るんだったら、90点を取る必要はなく、みんな70点を目指すようになってしまう。70点は一応の合格点ではありますが、十分な体制が整備されているとは言い難いことになります。

辻氏：その点数が、そのままかけるお金に跳ね返ってくるので、無駄にはしたくないですよね。審査ならば通りゃいいんですということに。規制というムチを作るにも時間がかかりますし。

北條氏：法令で規制をすることの何が難しいかというと、規制された内容に対応できない企業が多数存在する場合は、法令違反の企業が増えてしまうわけです。そして、それを取り締まらなかったら規制した意味がなくなる。そこがネックになって、規制はなかなかしにくいんですよね。