危機管理産業展

1. なぜ中小企業がサイバー攻撃
に狙われやすいのか
湯淺 墾道
情報セキュリティ大学院大学教授
yuasa@iisec.ac.jp
2017年10月13日
危機管理産業展

2. 自己紹介
 青山学院大学法学部公法学科卒業、同大学院法学研究科
公法専攻博士前期課程修了、慶應義塾大学大学院法学研
究科政治学専攻博士課程退学
 慶應義塾大学講師等をへて、2004年九州国際大学法学部
専任講師、2005年助教授、2007年准教授、2008年教授、
副学長・国際センター長、2011年情報セキュリティ大学院大
学情報セキュリティ研究科教授、2012年学長補佐
 九州大学、横浜市立大学、愛知学院大学、慶應義塾大学、
中央大学非常勤講師
 情報ネットワーク法学会副理事長、日本セキュリティ・マネジ
メント学会理事、日本選挙学会理事、デジタル・フォレンジッ
ク研究会理事 ほか
 ベネッセホールディングス情報セキュリティ監視委員会委員
長代理、総務省情報通信政策研究所招へい研究員 ほか
2

3. 背景
3

4. 神奈川県内の事業所
の現状
事業所数
：304,113
（平成26
年経済セ
ンサスに
より作成）
4

5. 情報通信業
5
事業所数
：4,032
（平成26
年経済セ
ンサスに
より作成）

6. 中小企業がサイバー攻
撃を受けやすい理由
セキュリティ対策が不十分セキュリティの
専門家がいない、委託先に任せっぱなしに
なっている
情報システム担当者以外はよくわからない
サイバー攻撃を受けたことに気づかない
1台のパソコンを共用している、多目的に
使っている
自社の情報資産の価値、サプライチェーン
における位置に気づかない
6

7. 大企業の場合は
 サイバーセキュリティ基本法
 2014年11月12日に公布され、第2章と第4章を除く
部分が即日施行
 残された部分も2015年1月9日に施行
 目的
サイバーセキュリティに関する施策に関し、基本
理念を定め、国及び地方公共団体の責務等を明
らかにし、並びにサイバーセキュリティ戦略の策
定その他サイバーセキュリティに関する施策の基
本となる事項を定める（第1条）
7

8.  関係者の責務
8
国  サイバーセキュリティに関する総合的な施策を策定し、実施
 政府は施策を実施するため必要な法制上、財政上又は税制上の措
置その他の措置
地方公共団体  国との適切な役割分担を踏まえ、自主的な施策を策定し、実施
重要社会基盤
事業者
 サービスを安定的かつ適切に提供
 自主的かつ積極的にサイバーセキュリティの確保
 国又は地方公共団体が実施する施策に協力
サイバー関連
事業者
 自主的かつ積極的にサイバーセキュリティの確保
 国又は地方公共団体が実施する施策に協力
教育研究機関  自主的かつ積極的にサイバーセキュリティの確保
 人材の育成、研究及びその成果の普及
 国又は地方公共団体が実施する施策に協力
国民  サイバーセキュリティの重要性に関する関心と理解
 サイバーセキュリティの確保に必要な注意

9. サイバーセキュリティ経営ガイドライン
経済産業省・IPA（（独立行政法人 情報処
理推進機構）
経営者が認識する必要がある3原則
1. セキュリティ投資のリターンの算出はほぼ
不可能 → 自主的に判断
2. 自社＋子会社、系列企業、ビジネスパー
トナーも含めた対策
3. 関係者との適切なコミュニケーション 9

10. 中小企業をとりまくサイ
バーセキュリティ環境
セキュリティ経営
サイバーセキュリティ経営ガイドライン
サプライチェーン全体でのサイバーセキュ
リティの強化
法律の制定・改正
マイナンバー法
改正個人情報保護法
EU一般データ保護規則（GDPR）
10

11. セキュリティ経営
11

12. 中小企業とﾏｲﾅﾝﾊﾞｰ
パート、アルバイトしか雇用していない
税金関係は、税理士さんに任せている
労務関係は、社会保険労務士さんに任せて
いる
経理関係は、インターネットで処理できるシス
テムを導入した（「○○大臣」など）
経理は、経理担当のベテランの人に任せて
いるから大丈夫
12

13. 中小企業と個人情報
個人の顧客を相手とするビジネスではないの
で、個人顧客情報は持っていない
顧客の数は、さほど多くない
お得意様の電話番号は、コンピューターでは
なく携帯やスマホに登録してある
お得意様は、紙のカードや台帳で管理してい
る
営業担当者が知っている、他の者は知らない
従業員がいない（個人で事業をしている） 13

14. 個人情報漏えい
報道や企業のウェブページ等で公開されてい
る情報のみ
実数はもっと多いと想像される
 日本ネットワークセキュリティ協会「2015年 情報セキュリティインシデント
に関する調査報告書【速報版】」（2016年）
14
年間の漏えい人数 496万0063人
年間のインシデント件数 799件
一件あたりの漏えい人数 6578人

15. 漏えいの原因
 日本ネットワークセキュリティ協会「2015年 情報セキュリティインシデント
に関する調査報告書【速報版】」（2016年）
15
不正アクセ
ス、盗難、
不正な情報
持ち出し、
内部犯罪、
ウィルスに
よるものが
1/4

16. どこから漏れる?
不正侵入、マルウェア感染
利用権者のパスワード設定・管理の甘さ
使い回し、初期設定のまま
administrator password等の安易なもの
その他

17. 漏えいの被害
直接被害
経済的被害（金銭的被害）
ビジネスの中断
関係先への連絡や謝罪
対策費用・損害賠償費用
漏えいした情報の回復や保護の費用
事故の原因究明や対策の費用
情報システムの原状回復・改善費用
情報拡散防止対策費用
お詫び金や賠償金等 17

18. 個人情報漏えいの場合
18
一件あたり平均想定
損害賠償額
3億3705万円
一人あたり平均想定
損害賠償額
2万8020円
日本ネットワークセキュリティ協会「2015年
情報セキュリティインシデントに関する調査
報告書【速報版】」（2016年）

19. 間接被害
行政からの制裁（入札停止、業務停止）
親会社等からの取引の打ち切り
社会的信用（消費者のイメージ、企業の評
判）・株価
社内の雰囲気の悪化や従業員のモラルの
低下
企業の業績に打撃 19

20. 「サイバーセキュリティ経営ガイドライン」
平成27年12月28日公表
経済産業省・独立行政法人情報処理推進
機構
サイバーセキュリティ経営の3原則
「（2）自社は勿論のこと、系列企業やサプ
ライチェーンのビジネスパートナー、ITシス
テム管理の委託先を含めたセキュリティ対
策が必要」

21.  サプライチェーンのビジネスパートナーやITシステム
管理の委託先がサイバー攻撃に対して無防備であ
った場合、自社から提供した重要な情報が流出して
しまうなどの問題が生じうる。
 自社のみならず、サプライチェーンのビジネスパート
ナーやITシステム管理の委託先を含めたセキュリテ
ィ対策を徹底することが必要。
• 委託先、再委託先の管理強化が求められ
ている
• 下請け、孫請け先の企業の管理強化が求
められている

22. 22http://www.keishicho.metro.tokyo.jp/kurashi/cyber/joho/tcyss.html

23. 法律の制定・改正
23

24. 個人情報保護法の改正
24

25. 個人情報の流出
ベネッセコーポレーション（2014年）
日本年金機構（2015年）
JTB（2016年）
佐賀県立高校（2016年）
米Yahoo!（2017年）
25
【外部から攻撃】
ウィルス感染
不正侵入
【内部に原因】
うっかり・ミス
内部犯行
原因は?

26. 改正個人情報保護法
の内容
 個人情報の定義の明確化、「個人識別符号」
 現行法のルールの適正化
 要配慮個人情報の取扱いについて規定
 第三者提供に関するオプトアウトの徹底
 共同利用に関する現行法の趣旨の徹底
 開示等の請求権について規律
 匿名加工情報
 主務大臣制 → 個人情報保護委員会
 取り扱う個人情報の数が5,000件以下の個人情報
取扱事業者に対する適用除外規定を撤廃 26

27. 企業のマイナンバー対応
27

28. 課されている義務
段階 義務・責務と、関係条文
1 取得  個人番号の提供の要求（第14条）
 個人番号の提供の求めの制限、個人番号を
含む情報（＝特定個人情報）の提供制限
（第15条、第19条、第29条第3項） 収集・
保管制限（第20条）
 本人確認（第16条、国税庁ガイドライン）
2 保管  収集・保管制限（第20条）
3 利用  個人番号の利用制限（第9条、第29条第3項、
第32条）
 個人番号を含むファイル（＝特定個人情報
ファイル）の作成の制限（第28条）
4 提供  個人番号の提供の求めの制限、特定個人情
報の提供制限（第15条、第19条、第29条第
3項）
5 利用停
止
 第三者提供の停止に関する取扱い（第29条
第3項）
6 廃棄  収集・保管制限（第20条）
28
【安全管
理措置】
委託の取扱
い（第10条、
第11条）
安全管理措
置（第12条、
第33条、第34
条）
安全管理措
置（個人情報
保護委員会ガ
イドライン）

29. 安全管理措置の考え方
下記を明確化することが重要
個人番号を取り扱う事務の範囲
特定個人情報等の範囲
特定個人情報等を取り扱う事務に従事す
る従業者
※「従業者」とは、事業者の組織内にあって直接
間接に事業者の指揮監督を受けて事業者の業
務に従事している者をいう。具体的には、従業員
のほか、取締役、監査役、理事、監事、派遣社
員等を含む。 29

30. 検討手順
特定個人情報等の適正な取扱いに関する安
全管理措置について
個人番号を取り扱う事務の範囲の明確化
特定定個人情報等の範囲の明確化
事務取扱担当者の明確化
特定個人情報等の安全管理措置に関する
基本方針の策定
取扱規程等の策定
30

31. 安全管理措置の内容
ガイドラインによれば、次の安全管理措置を
講じなければならない
基本方針の策定
取扱規程等の策定
組織的安全管理措置
人的安全管理措置
物理的安全管理措置
技術的安全管理措置
31

32. 組織的安全管理措置
ガイドラインにより要求されている事項
組織体制の整備
取扱規程等に基づく運用
取扱状況を確認する手段の整備
情報漏えい等事案に対応する体制の整備
取扱状況の把握及び安全管理措置の見
直し
32

33. 物理的安全管理措置
ガイドラインにより要求されている事項
特定個人情報等を取り扱う区域の管理
機器及び電子媒体等の盗難等の防止
電子媒体等を持ち出す場合の漏えい等の
防止
個人番号の削除、機器及び電子媒体等の
廃棄
33

34. 技術的安全管理措置
人的安全管理措置
ガイドラインにより要求されている事項
アクセス制御
アクセス者の識別と認証
外部からの不正アクセス等の防止
情報漏えい等の防止
ガイドラインにより要求されている事項
事務取扱担当者の監督
事務取扱担当者の教育
34

35. セキュリティ侵害通知義務について
の動き
35

36. GDPR
一般データ保護規則（General Data
Protection Regulation：GDPR）
http://ec.europa.eu/justice/data-
protection/reform/files/regulation_oj_en.pdf
これまでEU加盟国に適用されてきた1995年デー
タ保護指令（個人データ取扱いに係る個人の保
護及び当該データの自由な移動に関する1995
年10月24日の欧州議会及び理事会の指令」
(Directive 95/46/EC)に替わり、新たに採択
2018年5月施行予定
36

37. データセキュリティ
GDPRにより事業者に求められる要件
侵害発生前
仮名化・暗号化・システム復元力維
持等の措置の実施、定期的な検査
侵害発生後
個人データ窃盗等の個人の権利・利
益侵害の危険性が高い侵害に関する
通知 37

38. 「個人データ侵害」
「送信、格納、または処理される個人デー
タについて、偶発的または違法な破壊、消
失、変更、権限のない公開またはアクセス
につながるようなセキュリティ侵害を意味す
る。」（第4条第12号）
※訳文は、JIPDEC仮訳参照
https://www.jipdec.or.jp/library/archive
s/gdpr.html
38

39. 個人データ侵害の監督機関への通知（第33
条）
1 個人データの侵害が発生した場合、管理者は、
不当な遅滞なしに、可能であれば、侵害に気が付
いてから72時間以内に、第55条に従って個人デー
タの侵害を管轄監督機関に通知しなければならな
い。ただし、個人データの侵害により自然人の権利
又は自由に対するリスクが生じ得ない場合を除く。
監督機関への通知が72時間以内になされない場
合には、遅滞に関する理由と共に通知されなけれ
ばならない。 ※55条は、管轄権に関する規定 39

40. 2 取扱者は、個人データの侵害に気付いた後、不
当な遅滞なしに管理者に通知しなければならない。
3 第1項で定める通知は少なくとも次に掲げる事項
が含まれなければならない。
(a)個人データ侵害の性質の記述。可能であれば、関連するデータ
主体の種類及び概数並びに関連する個人データの記録の種類及び
概数を含む。
(b)データ保護オフィサーの氏名及び詳細な連絡先又はより情報が
入手できるその他連絡先の通知。
(C)個人データ侵害に関する起こり得る結果の記述。個人データ侵
害に対処するために管理者によって取られている又は取られること
が意図された対策の記述。適切な場合、個人データ侵害により起こ
り得る悪影響を軽減するための対策を含む。
40

41. 4 通知と同時に情報を提供することが不可能である
場合、情報はさらなる不当な遅滞なしに段階的に提
供されてもよい。
5 管理者は、個人データ侵害に関わる事実、その
影響及び取られた救済手段を含め、あらゆる個人
データ侵害を文書で残さなければならない。当該文
書は監督機関が本条の遵守を確かめられるように
しなければならない。
41

42. データ主体への個人データ侵害の通知（第
34条）
1 個人データ侵害が自然人の権利及び自由に対
して高リスクを引き起こし得る場合、管理者は、不
当な遅滞なしにデータ主体に個人データ侵害につ
いて通知しなければならない。
2 本条第1項で定めるデータ主体への通知はデー
タ侵害の性質について明白で平易な文章で記述さ
れ、少なくとも、第33条第3項(b)号、(c)号及び(d)号
で規定された情報並びに推奨事項を含むものとす
る。 42

43. 3 第1項で定めるデータ主体への通知は、次に掲
げるいずれかの状況に合致するのであれば、要求
されない。
(a) 管理者が適切な技術的及び組織的保護対策を実施しており
、当該対策が個人データ侵害によって影響を受ける個人データに
適用されている場合。特に、暗号化のように、当該個人データに
アクセスが許可されていないあらゆる人に対して個人データが判
読できないといった対策
(b)管理者が、第1項で定めるデータ主体の権利及び自由に対す
る高リスクがもはや実現し得ないことを確実にする後続の対策を
とった場合
(C)通知が過度な労力を伴う場合。この場合、代わりとして、公表
又はそれに類似する対策がなければならず、それによってデータ
主体が等しく効果的手法で通知されること。
43

44. 4 管理者が個人データ侵害をデータ主体に未だ通
知していない場合、監督機関は、高リスクを起こし
得る個人データ侵害の可能性を考慮し、管理者に
通知することを要求するか又は第3項で定めるいず
れかの条件に合致することを決定できる。
44

45. 罰則
セキュリティ侵害を監督機関に通知しなか
った場合
データ主体に通知しなかった場合
制裁金
企業の前会計年度の全世界の売上高の2
パーセント以下、または1000万ユーロ以下
のいずれか高い方 45

46. オランダ
データ処理及びサイバーセキュリティ通知義
務法義務法(Data processing and
Cybersecurity Notification Act)
2016年11月23日可決
イギリスのEU離脱とEUによる一般データ
保護規則（GDPR）の施行を踏まえる
セキュリティに関する新たな国内法制度を
制定し、オランダのサイバーセキュリティの
競争力強化
46

47.  第1章 総則
 第1条 定義
 第2条 必須事業者の義務
 第3条 個人データ
 第4条 データ提供要請
 第2章 通知義務
 第5条 適用範囲
 第6条 必須事業者のセキュリティ侵害通知義務
 第7条 データ提供義務
 第8条 別の定め
 第9条 秘密データの取扱い
 第3章 附則規定
 第10条 施行日
 第11条 法律名の略称 47

48. Data breach nofiticationから、cyber
security notificationへ
必須事業者（第1条） vital operator
製品またはサービスの事業者であって、その可
用性及び信頼性がオランダ社会にとって必須の
重要性を有しているもの
マルウェア感染その他のインシデントの発生時に
治安・法務省の下にある国家サイバーセキュリテ
ィセンター(NCSC)に届け出ると共に、必要なデ
ータを提供することを義務づけ
48

49. アメリカの動き
49

50. 特色
個人に関する情報の漏洩は、アイデンティテ
ィ窃盗を引き起こすという観点から問題視
精神的・人格権的権利にかかわる問題であ
るからというよりも、経済的に大きな被害を生
むアイデンティティ窃盗(identity theft)の原因
とあるため
特定領域連邦法規制
包括的州法規制
新たな連邦法化
50

51. 連邦法
健康保険ポータビリティ及び説明責任法
 Health Insurance Portability and Accountability Act,
P.L. 104-191, 110 Stat. 1936 (1996), codified in part
at 42 U.S.C. §§ 1320d et seq.
アメリカ復興・再投資法の一部である経済的・
客観的な健康情報技術に関する法律
 American Recovery and Reinvestment Act of 2009,
P.L. 111-5, codified at 2 U.S.C. 661 et seq.
グラム・リーチ・ブライリー法
 Gramm Leach Bliley Act , Pub.L. 106-102, 113 Stat.
1338. 51

52. アメリカ復興・再投資法
健康保険ポータビリティ及び説明責任法の
プライバシー基準及びセキュリティ基準を
強化
健康情報への侵害(breach)が発生した場
合、または「保護される健康情報がセキュ
アでない(unsecured protected health
information)」状態になった場合の通知・公
表義務を明文で規定
52

53. 個人に対する通知
セキュリティ侵害の発生を事業者が知ったときか
ら60日以内に原則として書面郵送
個人が希望する場合は電子メールによる通知、
個人の転居先が分からなくなっている場合等に
はホームページへの掲載または主要なマスメディ
ア等への掲載によって代えることもできる
個人からの問い合わせを受ける無料電話を設置
しなければならず、緊急性を有する場合には書
面ではなく個人に電話で通知することも可
53

54. 通知内容
侵害が発生した日時等の事案概要、侵害に含ま
れる項目（氏名、社会保障番号、生年月日、住所
等）、侵害を受けた個人が被害に遭わないように
するための対処手段、侵害を受けた個人が被害
を調査するための手段等
このような通知を行った場合には、保健福祉
長官にもその旨を報告
保健福祉長官は、同省のホームページにセ
キュリティ侵害の通知に関する情報を掲載
54

55. 州法
カリフォルニア州法
2002年に全米初のデータセキュリティ侵害
通知法を制定
個人情報の漏洩等のインシデントが発生し
た場合の公表義務と本人への通知義務を
明文で規定
漏洩等のセキュリティ侵害が発生した場合
に公表・通知義務を負うことになる個人情
報の種類を問わないこと、義務を負う者の
業種等を問わない 55

56. 2017年4月時点
48州で制定
アラバマ州、サウスダコタ州が未制定
コロンビア特別区、グアム、プエルトリコも
制定
クレジットカード情報漏洩時のsecurity freeze
law
全州で制定済
56

57. 監督機関への届出の
状況
ニューヨーク州の場合
57
https://ag.ny.gov/press-release/ag-schneiderman-
announces-record-number-data-breach-notices-2016

58. まとめ
58

59.  サプライチェーンの一部としてサイバーセキュリティ
の強化が求められる
 中小企業も、個人情報保護法とマイナンバー法の
遵守が求められ、違反した場合、制裁を受ける可能
性がある
法的制裁・行政からの制裁
社会的な制裁
企業活動における制裁
 サプライチェーンの上流企業は、チェーン全体のセ
キュリティ対策が必要
59