2022년 4월 1일에 개정 개인정보 보호법이 시행되고 개인정보를 취급하는 모든 사업자가 대상이 되어 법 개정에 대한 대응을 완료할 필요가 있습니다. 그러나 시행 1개월 전인 2022년 3월 시점에서 "법 개정에 대한 대응이 완료되었다"라고 회답한 법인 조직은 59.4%이며, 40.6%는 "미완료"라고 회답했습니다.

또한 종업원수 5000명 이상의 기업에서는 ＂대응 완료＂ ＂대응중, 4월 1일까지 완료 예정＂이 91.5%이지만, 100명 499명인 기업에서는 75.0%에 머무릅니다.

과거 1년간에 "개인정보의 유출, 재산적 피해가 발생할 우려가 있는 정보", "부정한 목적으로 행해진 우려가 있는 정보", "1000건 이상"의 어느 하나가 발생했는지에 대해서 조사한 결과, ＂여러 번 발생" (12.1%), "발생 중" (18.3%) 등 약 30%의 기업에서 유출 사안이 발생한 것으로 판명되었습니다.

유출 이유는 "종업원이나 위탁차에 의한 불의의 사고(송신 실수 등) "가 49.0%로 최다이며,"종업원이나 위탁차에 의한 고의의 범행(내부 범) "(39.1%), "외부로부터의 사이버 공격" (32.5%)이라고 사내외의 이유에 의해서 정보 유출이 발생하고 있습니다.

이번 법 개정에서는 개인정보 유출이 일어났을 경우 개인정보보호위원회에 보고하거나 본인에 대한 통지가 의무화되었습니다.

개인정보 유출 보고 의무에는 "속보"와 "확보"가 있으며, 속보는 사태 파악 시로부터 5일 이내에 그 시점에서 파악하고 있는 사항, 확보는 30일 이내에 보고가 요구되는 사항을 모두 보고·통지하도록 되어 있습니다(부정한 목적에 의한 우려가 있는 개인정보 유출의 경우는 60일 이내).

하지만, 본조사의 회답에서는, 의무화에 대해서 "파악되어 있지 않았다＂가 23.1%이였습니다.

사내외로부터의 유출 방지 대책으로서는, 액세스 권한의 설정에 더하여, 불필요한 애플리케이션이나 외부 스토리지의 이용을 제한하는 것이 중요하다고 말하고 있습니다.

또한 ＂액세스 로그 모니터링＂, ＂EDR, XDR의 도입＂이 효과적이지만, 조사에서는 ＂개인정보가 저장된 서버에 대한 적절한 액세스 권한 부여＂가 54.8%처럼, 약 절반의 법인 조직이 이러한 효과적인 대응을 하지 않는 것으로 밝혀졌습니다.

이처럼 "액세스 로그 모니터링"(30.9%), "EDR야 XDR 도입"(13.0%)도 많은 기업에서 도입되지 않았습니다.

이번 조사는 기업·조직의 개정 개인정보 보호법 대응의 추진 담당자 800명을 대상으로 했습니다.

조사 결과에서는 1년 이내에 30% 이상에서 정보유출이 발생하고 있음에도 불구하고 개정법에 대한 이해나 유출 시의 대책이 불충분한 기업이 대부분을 차지하고 있는 현 상황을 엿볼 수 있습니다.

개정법을 정보보안 시점에서 보면 내외를 막론하고 공격이나 범행의 발생을 전제로 제로 트러스트 아키텍처의 사고방식을 바탕으로 한 대책이나 유출 시의 원인추적이 요구되어야 하며, 정보보안 위험에 대응하는 데 있어서 자 조직의 안전성 담보와 거래처의 안전성 확인이 불가결하다는 점을 보다 널리 침투시킬 필요가 있습니다. 또한 보안 협회 및 벤더에 의한 새로운 교육이 필요하다고 생각합니다.

Web 보안 「i-FILTER」와 메일 보안 「m-FILTER」에 바이러스 대책 옵션

디지털 아트는, Web 보안 소프트웨어 "i-FILTER" 및 메일 보안 소프트웨어 "m-FILTER"에, 바이러스 대책의 새로운 옵션 "Anti-Virus & Sandbox"를 추가한다고 발표했습니다.

Web에서 다운로드하는 파일(i-FILTER)이나 메일 첨부 파일(m-FILTER)을 대상으로 서명 데이터에 의한 정적인 바이러스 대책 기능과 샌드박스로 동작시켜 움직임을 조사하는 동적인 바이러스 대책 기능을 제공하고 있습니다.

i-FILTER는 다운로드 파일의 위험을 확장자로 판별해 주는 다운로드 필터 기능을 갖추고 있습니다. 또한 이번 바이러스 대책 옵션을 사용하면, 위험한 확장자라고 인식해 지금까지 다운로드하지 않았던 파일을 다운로드해, 바이러스인지 아닌지를 조사할 수 있으며, 바이러스가 아니라고 판별했을 경우에는 그대로 수중에 입수할 수 있기 때문에, 지금까지 다운로드하고 있지 않았던 파일을 다운로드해 활용할 수 있게 됩니다.

NEC, 생성 파일을 클라우드에 저장하여 PC에 남기지 않는 서비스 "NEC Cloud File Sync"

NEC는, 데이터 리스 클라이언트 서비스 「NEC Cloud File Sync」를 발표했습니다.

클라이언트 PC 상에서 파일을 작성하면 암호화한 후에 클라우드 스토리지로 HTTPS로 이동해 로컬에는 캐시 데이터로 파일이 남으며 로컬 캐시 파일과 클라우드상의 파일이 동기화 되며 PC를 셧다운할 때 캐시 파일을 삭제합니다. 또한 PC를 사용하지 않을 경우 PC 상에 파일이 존재하지 않으므로 PC를 매개로 한 파일 데이터의 유출을 효과적으로 막을 수 있습니다.

클라우드 스토리지 측에서는, 표준으로 2세대까지의 데이터 백업 기능을 제공하고 있으며 유상 Backup Option을 사용하면 최대 99세대까지 저장할 수 있습니다. 또한 다른 유상 옵션으로서 PC 분실 시를 위해서 리모트로 HDD/SSD의 데이터를 전부 삭제하는 Wipe Option도 준비했습니다.