CHECK
01
サプライチェーンにおけるセキュリティリスクの再評価と委託先管理の徹底
今回のインシデントは、自社のセキュリティ対策が強固であっても、業務委託先の脆弱性が重大な情報漏洩に直結する「サプライチェーンリスク」の典型例です。多くの組織が外部サービスを利用する現代において、委託先はもはや単なる「外部」ではなく、自社のセキュリティ境界の一部と捉える必要があります。
対策としては、委託先選定時のセキュリティ評価基準を抜本的に見直し、契約内容にセキュリティ要件を具体的に盛り込むことが不可欠です。 例えば、委託先に対して第三者機関によるセキュリティ認証(ISMS認証など)の取得を義務付ける、定期的な脆弱性診断や監査報告を求めるといった具体的な要求が考えられます。また、インシデント発生時の報告義務や連携体制を明確に定め、共同での対応訓練を実施することも有効です。
CHECK
02
ランサムウェア攻撃を前提とした多層防御と事業継続計画(BCP)の見直し
ランサムウェア攻撃は年々巧妙化しており、侵入を100%防ぐことは極めて困難です。そのため、「侵入されること」を前提とした多層的な防御策と、万一の事態に備えた迅速な復旧体制の構築が求められます。
具体的には、ネットワークのセグメンテーション(区分け)を行い、万が一侵入されても被害範囲を限定できる構成にすることが重要です。また、データのバックアップは必須ですが、単にバックアップを取得するだけでなく、ネットワークから隔離されたオフライン環境や、書き換え不可能なイミュータブルストレージに保管することで、ランサムウェアによるバックアップデータの暗号化を防ぐことができます。定期的なバックアップからの復旧テストを実施し、事業継続計画(BCP)の実効性を常に検証しておくべきです。
見解3:預託する個人情報の「データミニマイゼーション」の徹底
本件では、納税通知書の印刷・発送といった業務委託において、口座情報など、その業務に直接必要とは考えにくい情報までが委託先に渡っていた可能性が示唆されます。これは、個人情報保護の基本原則である「データミニマイゼーション(必要最小限の原則)」が徹底されていなかった可能性を示しています。
対策として、業務委託を行う際は、その目的達成のために本当に必要なデータは何かを厳密に精査し、提供する情報を必要最小限に絞り込むプロセスを設けるべきです。 例えば、印刷・発送業務であれば、宛名情報のみを提供し、他の機微な情報はマスキングする、あるいはそもそも提供しないといった運用が考えられます。保有するデータのリスクを正しく評価し、リスクに見合った管理・委託を行うという基本に立ち返ることが、結果として被害を最小限に抑えることに繋がります。
