2018年は企業において「個人情報の厳格な管理」がより一層求められる、きっかけの年になりそうだ。欧州では2018年5月から、EU一般データ保護規則(GDPR) の罰則が施行される。GDPRは欧州でビジネスを展開し、欧州地域の顧客情報を保有する全ての企業が対象となり、欧州地域以外に個人情報を持出した場合には、最大で年間売上の4%が制裁金として科せられる。

　米国でも昨年発生したUberの情報漏えいの隠蔽や、エクイファックスの1億4千万人を超える情報漏えいをきっかけとして、ビル・ネルソン上院議員らが、情報漏えい事故を故意に隠蔽しようとした企業幹部に対して、刑事罰を与える法案を提出している。

　そしてまた、新たに米ノースカロライナ州でも「個人情報盗難防止を強化する」法案が提出された。

■法案提出の背景

　ノースカロライナ州のジョン・スタイン司法長官と共和党員ジェイソン・セイン氏は2018年1月8日、「個人情報盗難防止を強化する法案」を提出した。同法案提案に伴う記者発表にて、同法案提出の背景に昨今のサイバー攻撃急増を挙げ「昨年ノースカロライナ州では、1022件の情報漏えいが発生し2016年から15%増加し、530万人以上の市民の個人情報漏えいに繋がった可能性が有る」とコメントした。ノースカロライナ州の人口は約1千万人なので、約半数の市民が被害にあった計算だ。

　ノースカロライナ州のセキュリティレポートによれば、2017年のハッキング被害は516件であり、レポートが発刊された2006年から約10年間で3,500%増加している。

また、フィッシング詐欺が2016年から急増している。

　こういった状況に対して、企業による「ベストエフォート」のセキュリティ対策には限界が有ると考えることも出来そうだ。

■厳しい報告義務やランサムウェア感染も報告対象に

　提出された法案には、次のような要求事項が盛り込まれている。

　・15日以内に消費者、関係機関に通知

　　情報漏えいの被害にあった企業は15日以内に、該当する消費者や、関係機関に連絡しなければならない。これにより、企業は「サイバー攻撃の発生」を逸早く検出し、被害状況を迅速に把握する機能が求められる。

　・無料のモニタリングサービスの提供

　　影響を受ける消費者に対して5年間の無料の信用調査を提供する必要が有る。

　・ランサムウェアの感染も報告対象に

■グローバルで企業の管理体制強化を求める動きの加速

　これまでも「個人情報」は企業にとっても保護対象として優先順位は高いものであったが、万が一情報流出に繋がったとしても、企業のイメージダウン、情報漏えいの被害者への賠償等が主なペナルティで有った。

　しかし、欧米のトレンドを見ると(欧州については、法案が施行されるが、米国ではまだ法案が提出された段階であり、正式には成立していない)企業に適切な情報管理体制、行政への報告義務を求めるもので有り、罰金や刑事罰といった厳格なペナルティを科せられるトレンドが生まれつつ有る。

　日本においては、同種の法案検討の目立った動きはないが、GDPR等は日本法人であっても欧州でビジネスを実施している限り対象となる。各国の法案対応を疎かにしていると、巨額の制裁金を支払うリスクも発生するため、日本企業のIT管理者、リスク管理者であってもこういったトレンドは認識しておく必要が有るだろう。