2022년 4월 1일에 개인정보 보호법이 개정되어 개인정보를 취급하는 모든 사업자가 대상이 되어 법 개정에 대한 대응을 완료할 필요가 있습니다. 그러나 시행 1개월 전인 2022년 3월 시점에서 "법 개정에 대한 대응이 완료되었다"라고 회답한 법인 조직은 59.4%이었으며, 40.6%는 "미완료"라고 회답했습니다.
또한 종업원수 5000명 이상의 기업에서는 "대응 완료" "대응중, 4월 1일까지 완료 예정"이 91.5%이지만, 100명 499명인 기업에서는 75.0%에 머무릅니다.
과거 1년간에 "개인정보의 유출, 재산적 피해가 발생할 우려가 있는 정보", "부정한 목적으로 행해진 우려가 있는 정보", "1000건 이상"의 어느 하나가 발생했는지에 대해서 조사한 결과, "여러 번 발생" (12.1%), "발생 중" (18.3%) 등 약 30%의 기업에서 유출 사안이 발생한 것으로 판명되었습니다.
유출 이유는 "종업원이나 위탁업체에 의한 사고(송신실수 등) "가 49.0%로 최다이며, "종업원이나 위탁업체에 의한 고의의 범행(내부 범) "(39.1%), "외부로부터의 사이버 공격" (32.5%)이라고 사내외의 이유에 의해서 정보 유출이 발생하고 있습니다.
이번 법 개정에서는 개인정보 유출이 일어났을 경우 개인정보보호위원회에 보고하거나 본인에 대한 통지가 의무화되었습니다.
개인정보 유출 보고 의무에는 "속보"와 "확보"가 있으며, 속보는 사태 파악 시로부터 5일 이내에 그 시점에서 파악하고 있는 사항, 확보는 30일 이내에 보고가 요구되는 사항을 모두 보고·통지하도록 되어 있습니다(부정한 목적에 의한 우려가 있는 개인정보 유출의 경우는 60일 이내).
하지만, 본조사의 회답에서는, 의무화에 대해서 "파악되어 있지 않았다"가 23.1%이였습니다.
사내외로부터의 유출 방지 대책으로서는, 액세스 권한의 설정에 더하여, 불필요한 애플리케이션이나 외부 스토리지의 이용을 제한하는 것이 중요하다고 말하고 있습니다.
또한 "액세스 로그 모니터링", "EDR, XDR의 도입"이 효과적이지만, 조사에서는 "개인정보가 저장된 서버에 대한 적절한 액세스 권한 부여"가 54.8%처럼, 약 절반의 법인 조직이 이러한 효과적인 대응을 하지 않는 것으로 밝혀졌습니다.
이처럼 "액세스 로그 모니터링"(30.9%), "EDR야 XDR 도입"(13.0%)도 많은 기업에서 도입되지 않았습니다.
요약
이번 조사는 기업·조직의 개정 개인정보 보호법 대응의 추진 담당자 800명을 대상으로 했습니다.
조사 결과에서는 1년 이내에 30% 이상에서 정보유출이 발생하고 있음에도 불구하고 개정법에 대한 이해나 유출 시의 대책이 불충분한 기업이 대부분을 차지하고 있는 현 상황을 엿볼 수 있습니다.
개정법을 정보보안 시점에서 보면 내외를 막론하고 공격이나 범행의 발생을 전제로 제로 트러스트 아키텍처의 사고방식을 바탕으로 한 대책이나 유출 시의 원인추적이 요구되어야 하며, 정보보안 위험에 대응하는 데 있어서 자 조직의 안전성 담보와 거래처의 안전성 확인이 불가결하다는 점을 보다 널리 침투시킬 필요가 있습니다. 또한 보안 협회 및 벤더에 의한 새로운 교육이 필요하다고 생각합니다.
2022년 4월 1일에 개인정보 보호법이 개정되어 개인정보를 취급하는 모든 사업자가 대상이 되어 법 개정에 대한 대응을 완료할 필요가 있습니다. 그러나 시행 1개월 전인 2022년 3월 시점에서 "법 개정에 대한 대응이 완료되었다"라고 회답한 법인 조직은 59.4%이었으며, 40.6%는 "미완료"라고 회답했습니다.
또한 종업원수 5000명 이상의 기업에서는 "대응 완료" "대응중, 4월 1일까지 완료 예정"이 91.5%이지만, 100명 499명인 기업에서는 75.0%에 머무릅니다.
과거 1년간에 "개인정보의 유출, 재산적 피해가 발생할 우려가 있는 정보", "부정한 목적으로 행해진 우려가 있는 정보", "1000건 이상"의 어느 하나가 발생했는지에 대해서 조사한 결과, "여러 번 발생" (12.1%), "발생 중" (18.3%) 등 약 30%의 기업에서 유출 사안이 발생한 것으로 판명되었습니다.
유출 이유는 "종업원이나 위탁업체에 의한 사고(송신실수 등) "가 49.0%로 최다이며, "종업원이나 위탁업체에 의한 고의의 범행(내부 범) "(39.1%), "외부로부터의 사이버 공격" (32.5%)이라고 사내외의 이유에 의해서 정보 유출이 발생하고 있습니다.
이번 법 개정에서는 개인정보 유출이 일어났을 경우 개인정보보호위원회에 보고하거나 본인에 대한 통지가 의무화되었습니다.
개인정보 유출 보고 의무에는 "속보"와 "확보"가 있으며, 속보는 사태 파악 시로부터 5일 이내에 그 시점에서 파악하고 있는 사항, 확보는 30일 이내에 보고가 요구되는 사항을 모두 보고·통지하도록 되어 있습니다(부정한 목적에 의한 우려가 있는 개인정보 유출의 경우는 60일 이내).
하지만, 본조사의 회답에서는, 의무화에 대해서 "파악되어 있지 않았다"가 23.1%이였습니다.
사내외로부터의 유출 방지 대책으로서는, 액세스 권한의 설정에 더하여, 불필요한 애플리케이션이나 외부 스토리지의 이용을 제한하는 것이 중요하다고 말하고 있습니다.
또한 "액세스 로그 모니터링", "EDR, XDR의 도입"이 효과적이지만, 조사에서는 "개인정보가 저장된 서버에 대한 적절한 액세스 권한 부여"가 54.8%처럼, 약 절반의 법인 조직이 이러한 효과적인 대응을 하지 않는 것으로 밝혀졌습니다.
이처럼 "액세스 로그 모니터링"(30.9%), "EDR야 XDR 도입"(13.0%)도 많은 기업에서 도입되지 않았습니다.
요약
이번 조사는 기업·조직의 개정 개인정보 보호법 대응의 추진 담당자 800명을 대상으로 했습니다.
조사 결과에서는 1년 이내에 30% 이상에서 정보유출이 발생하고 있음에도 불구하고 개정법에 대한 이해나 유출 시의 대책이 불충분한 기업이 대부분을 차지하고 있는 현 상황을 엿볼 수 있습니다.
개정법을 정보보안 시점에서 보면 내외를 막론하고 공격이나 범행의 발생을 전제로 제로 트러스트 아키텍처의 사고방식을 바탕으로 한 대책이나 유출 시의 원인추적이 요구되어야 하며, 정보보안 위험에 대응하는 데 있어서 자 조직의 안전성 담보와 거래처의 안전성 확인이 불가결하다는 점을 보다 널리 침투시킬 필요가 있습니다. 또한 보안 협회 및 벤더에 의한 새로운 교육이 필요하다고 생각합니다.