サイバーセキュリティにも関係ある「個人情報保護委員会」とは
個人情報保護委員会。
「企業等から個人情報が流出した際の報告先」として、その名前を聞いたことのある人もいるかもしれない。個人情報の漏洩なのでサイバーセキュリティと関係無いとは言わないが、名前からして、あまりサイバーセキュリティとは関係ない組織だと勝手に思っていた。
・・・が、突如「個人情報保護法サイバーセキュリティ連絡会」の開催を宣言した(第308回個人情報保護委員会 資料6)。
彼らは一体何者なのか?
🏢組織
内閣府設置法第64条及び個人情報の保護に関する法律第130条にて個人情報保護委員会の設置及び内閣総理大臣の所轄に属することが明記されている。
個人情報保護委員会の活動は、個人情報の保護に関する法律(個人情報保護法)に基づいて行われている。
組織概要
平成28年1月設立。
委員長1名、委員8名、定員は約230名。
令和7年度予算規模は約41億円。
👥役割
個人情報保護委員会は、個人情報の保護に関する法律(平成15年法律第57号。以下単に「法」という。)に基づき設置された合議制の機関です。その使命は、独立した専門的見地から、同法の目的規定にあるとおり、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護するため、個人情報(特定個人情報を含む。)の適正な取扱いの確保を図ることです。
業務は次のとおり
個人情報の保護に関する基本方針の策定・推進
個人情報等の取扱いに関する監視・監督
認定個人情報保護団体に関する事務
特定個人情報の取扱いに関する監視・監督
特定個人情報保護評価に関する事務
相談・苦情あっせん等に関する事務
国際協力
広報・啓発
やはり、個人情報(マイナンバー含む)の制度や運用には関わっているが、例えばマイナンバーの技術的な要件や仕組みそのものに関わっている訳ではなさそうだ。
ただし、強力な権限として、個人情報漏洩等に関する報告の義務、また、必要な報告や資料の提出を求めたり、立ち入り検査や勧告を行う権限も与えられている。
なお、個人情報を悪用して利益を得るなどした場合、法人の場合は1億円以下の罰金刑も定められている。(個人情報保護法第184条)
また、頻繁に個人情報保護委員会を開催しており、令和5年度では40回程、令和6年度でも12月末現在で既に30回程開催されている。(もちろん、内容は別にサイバーセキュリティに特化されたものではない。)
🕵️サイバーセキュリティに関して
で、我らがサイバーセキュリティ関係についてだが、令和6年度の報道発表に、次の内容が掲示されていた。
覚えている方もいるかもしれないが、2023年に発覚した、LINEヤフーにおける情報漏洩事件に関して、その是正状況を追いかけている資料だ。
技術的な要素はあまりないが、表でまとめてくれているのでボリュームに対して読みやすい。また、3か月に1回報告を求め、その結果を約1か月後に公表しているようだ。継続的に報告を求め、改善状況を追跡できるのは、この組織の強みではないだろうか。
🎖️個人情報保護法サイバーセキュリティ連絡会
ここまでだと、サイバーセキュリティに無関係とまでは言わないが、やらかした企業以外の、界隈への影響力はあまりないのでは、と感じるだろう。
そこで話は冒頭の「個人情報保護法サイバーセキュリティ連絡会」の開催に戻る。
令和6年12月4日に開催された第308回個人情報保護委員会の議題6において、「個人情報保護法サイバーセキュリティ連絡会の開催について」説明がなされている。(議事録はこちら)
ざっくり言うと、近年、サイバー攻撃が個人情報取扱事業者からの情報漏洩の大きな要因となっているので、個人情報保護委員会が、データ関係省庁等との連携を強化し、個人情報保護法上求められる各種の安全管理措置として講じ得る方策等について検討・把握するとともに、個人情報取扱事業者等に対する効果的な普及啓発の在り方等を検討する観点から、「個人情報保護法サイバーセキュリティ連絡会」を四半期ごとに開催する。という事らしい。
で、肝心な中身は次のとおり。
■検討事項
直近の漏えい等報告や指導の状況(四半期公表内容。不正アクセスによる個人データ等の漏えい等事例を含む。)を説明し、専門的見地から個人データ等の漏えい等の対策や留意すべき点等について、助言を得る。
その他、安全管理措置の実施方策や効果的な普及啓発の方法に係る情報交換を実施。
■参加機関
内閣官房内閣サイバーセキュリティセンター(NISC)
警察庁サイバー警察局
独立行政法人情報処理推進機構(IPA)
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
個人情報保護委員会事務局
連絡会なので、当然た組織が関与するとは思っていたが、前回紹介した組織の内、NICT、IPA、JPCERT/CCが含まれている。これは、結構ガチなのでは?
各機関と情報共有して助言を得る、という事で、是非議事録も拝見したいところだ。
なお、前出の第308回個人情報保護委員会の議事録には、次のように記載されている。
委員会は飽くまで個人情報保護の観点から安全管理措置を中心とした内容の指導を行っており、技術的安全管理措置の面での指導も、基本的な体制整備を促すなどの内容である。そのため、委員会は、 どのようなシステム・プログラム上の脆弱性があるのかなど、高度で技的な情報提供の面では役割を担うものではなく、他の機関との分担ができていると考えている。
実際に、セキュリティ技術面での脆弱性情報などに ついてはIPAなどが公表しており、事業者もこうした情報を踏まえてセ キュリティ対策を講じているのが実態である。今般、連絡会を開催するとしても、このような分担は変わらないと考えている。
ランサムウェアを含むサイバー攻撃起因の個人情報漏洩については、基本的に個人情報保護委員会に情報が上がってくる。しかし、必ずしも上記の参加機関に同程度の情報が上がって来るかというと、そうでない場合も結構ありそうだ(みんな役割が違うので)。
そんな中で、個人情報保護委員会がこのような連絡会を開催することは、個人情報保護委員会のためのみならず、参加機関を通して、日本のサイバーセキュリティ能力の向上の一助になるのではないだろうか。
🫠感想
個人情報保護委員会が今回こういう動きに出たという事に、デジタル化社会が進む中での時代の変化を感じる。
互いの領域を超えて、こういう形で情報共有ができるのは、参加機関からしても良いことで、Win-Winの関係になれるのではないだろうか。
四半期ごとに開催という頻度も、サイバー空間の状況がどんどん変化していくというに実態に即しており、形だけの開催でなく、実効性を求めたものとして好感が持てる。
どんな感じの連絡会になるのか非常に興味がある。是非議事録を公開して欲しい。
状況が刻一刻と動いており、ウォッチしていて楽しい。今後も中の人たちの頑張りを応援していきたい。
