こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
内閣官房内閣サイバーセキュリティセンター、警察庁、総務省、経済産業省は3月8日、「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果と「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】サイバー攻撃被害の共有と公表について、ガイダンスが発表されています。サイバー攻撃の被害を受けた際に情報の共有と公表に関する考え方や、インシデントが発生した際に生じる義務について説明します。
今回のガイダンスでは、被害組織を保護しながら、いかに速やかな情報共有や目的に沿ったスムーズな被害公表が行えるのか、実務上の参考となるポイントがFAQ形式でまとめられています。同ガイダンスでは、被害公表のタイミングについて、「すべての調査を終えてから最後に公表を行うだけでなく、二次被害が発生するおそれや社会的にインパクトの大きな被害が判明した時点で、適宜第一報的な公表を検討することが望ましい」としています。
なお、サイバーセキュリティ協議会等の場を通じて「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の普及を図ることにより、サイバー攻撃被害に係る情報の円滑かつ効果的な共有を促進するとともに、今後も必要に応じ、ガイダンスの見直しを検討していくということです。
被害者保護の観点から、サイバー攻撃被害の共有は速やかに行われるべきです。そのためには、情報の共有と公表を分離して考えることが必要です。
例えば、Aさんがストーカーの被害にあったとします。Aさんの近隣住民にとっては、ストーカーが出現しているという事実は、同じ被害者を生まないためにも、犯人の特徴などに関する情報の共有について速やかに行われることが求められます。ただし、Aさんが被害を受けたという被害者固有に関する情報は、Aさんのプライバシーにも配慮して、情報の公表について検討する必要があります。
サイバー攻撃被害でも同様に、情報の共有と公表を分離して考えるべきとされています。総務省が発表した「サイバー攻撃被害情報の共有と公表のあり方について」では、「サイバー攻撃については、原因究明に一定の期間を要する場合もあるが、個人情報などの流出が疑われる時点で、影響を受ける主体との関係なども踏まえつつ、速やかに情報の公表を検討することが望ましく、また、類似の被害の拡大を防ぐ観点から、インシデントに関する情報の共有を速やかに行うことが求められる」としています。
サイバー攻撃被害は、その程度に応じて、法令等に基づき所轄省庁への報告が必要になる場合があります。
まず、最も懸念される個人情報漏洩があった場合、2021年6月から個人情報保護委員会への報告と本人への通知が義務化されました。よって、サイバー攻撃の被害を受けた際に、まずは、個人情報漏洩の可能性があるか確認することが必要です。
情報漏洩がなかった場合でも、各業法による事故報告が必要になる場合があります。クレジットカード番号等の適切な管理に係る自主規制規則では、クレジットカード番号が漏えいした際は、行政又は日本クレジット協会に対して、当該漏えい等の事故の状況を報告するとしています。
また、総務省からは電気通信事故報告制度、経済産業省からは一定の電力供給障害があった場合の報告、金融庁からは主要行等向けの総合的な監督指針が出されています。サイバー攻撃被害の報告が必要かどうか迷った際は、各所轄省庁の窓口へ取り急ぎ問い合わせてみるのが得策かもしれません。
今回は、サイバー攻撃の被害を受けた際に情報の共有と公表に関する考え方や、インシデントが発生した際に生じる義務についてお届けしました。何よりも優先されるべきは被害者保護の観点と考えられますので、そのために何ができるか、インシデント発生時は最優先で考えられるようにしましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ