中小企業のためのセキュリティインシデント対応の手引き
(出典:IPA)
独立行政法人情報処理推進機構(IPA)は、2025年4月1日より、企業や組織を対象としたサイバーセキュリティ相談窓口を新たに開設しました。これまでも個人向けには電話で相談できる「IPA情報セキュリティ安心相談窓口」が設けられていましたが、今回は企業組織向けに特化したもので、電話ではなく専用メールでの相談を受け付けています。
この窓口では、各種インシデント発生時の初動対応に関する相談や、標的型サイバー攻撃に関するインシデント相談、その他の情報セキュリティに関する一般的な相談、脅威情報に関する情報提供など、幅広い内容に対応しています。ただし、IPA自体が直接的な調査や解析を行うことはなく、相談内容をヒアリングしたうえで、被害の有無を判断。インシデントであると判断された場合には、専門業者や必要な報告先などの紹介を受けることができます。
実際にセキュリティインシデントが発生した場合、影響を及ぼした取引先や顧客への報告はもちろんのこと、法令で定められた報告義務にも対応しなければなりません。主な報告義務としては以下の4種類です。
- 個人データの漏えい・滅失・毀損に対する報告義務
→個人情報保護法により、個人情報保護委員会への報告義務と本人への通知義務があります。 - 特定個人情報の漏えいに対する報告義務
→マイナンバー法により、個人情報保護委員会への報告義務と本人への通知義務があります。 - 業法に基づく事故報告義務
→業法ごとに報告先が異なるため、業種に応じた正確な対応が必要です。 - 報告書の求めへの対応義務
→サイバーセキュリティ基本法により、当局からの報告要請には、原則として対応義務が発生します。
また、サイバー犯罪の被害者にもなるため、警察への通報や相談、被害届の提出なども行いましょう。
個人情報保護法は2022年の改正により、個人データ漏えい時の報告義務が「努力義務」から「義務」へと強化されました。1件でも漏えい・滅失・毀損が発生した場合には、個人情報保護委員会への報告と本人への通知が必要です。今回の企業組織向け相談窓口の開設は、中小企業において被害の増加が目立つ一方で、セキュリティ対策やインシデント発生時の対応体制が十分に整備されていない現状を反映しているとも言えます。IPAでは「中小企業のためのセキュリティインシデント対応の手引き」も公開していますので、あわせて確認し、備えを強化していきましょう。
関連リンク
| 情報提供:地域貢献事業部 サイバーセキュリティ担当 藁科 |
|
セキュリティトピックス最新記事の更新通知は、メールマガジン「サンロフトマガジン」をご利用ください。 |
