群雄割拠の情報セキュリティ業界。恐らく、IT業界で今もっとも営業競争が熾烈な業態の一つだと認識しています。

専任のシステム担当者、担当役員がベンダーとの折衝に臨む大手企業とは違い、中小・小規模規模の会社の場合は、基本的に経営者か経営幹部が折衝を行います。

よって、細かな要件定義云々ではなく、いかにして経営者を”落とす”かが意思決定の鍵になると考えられているのです。

ここでいう”落とす”とは、あまりいい意味では使われません。

UTM(ネットワークの出入り口に設置する、いくつもの脅威対策がパケージ化された機器)のセールスに関して、必要以上に不安を煽るセールスマンが多い印象を受けます。

今までは情報量が少なく、ユーザサイドで検証する手段が非常に少なかったですが、今や情報はどこからでも入手できる時代になっています。

そういった意味でも、業界全体的にもう少し健全になるべきだと思っています。

不適切な管理の元、個人情報を漏洩した場合の罰則規定は以下のようになります。

個人情報取扱事業者は法の定める義務に違反し、この件に関する個人情報保護委員会の改善命令にも違反した場合、「6ヶ月以下の懲役または30万円以下の罰金」の刑事罰が課せられます。

5,000名以上の情報を有する”個人情報取扱事業者”が規制対象となり、違反した場合は、主務大臣による注意勧告や命令の対象となります。命令にも違反した場合には、罰則規定により6ヶ月以下の懲役または30万円以下の罰金に処せられることになります。

個人情報保護法対策室より抜粋

このような引用を上手く抜粋し、”懲役”というキーワードを誇張して伝えます。

「セキュリティ対策をちゃんとしないと捕まっちゃいますよ」といった具合に根拠の薄いデタラメを平気で伝えている業者がいます。

この場合、きちんとした定義があります。

まず、対象となるのは、”5000名以上の情報を有する”「個人情報取扱事業者」が規制の対象になります。

では、個人情報取扱事業者とはどのような事業者のことを指すのでしょうか?

この法律において個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者をいう。ただし、次に掲げる者を除く。(国の機関、地方公共団体、独立行政法人等、地方独立行政法人)

なお、ここでいう「事業」とは、一定の目的を持って反復継続して遂行される同種の行為であり、営利事業のみを対象とせず、法人格のない任意団体や個人であっても個人情報取扱事業者に該当し得る。

一般社団法人個人情報保護士会より抜粋

事業の定義がやや不透明で境界が曖昧ですが、「個人情報データベース等」を社員の管理のために社内のみで利用するような場合(事業の内部でのみ利用する場合)も「事業」に該当します。

一方で個人的に年賀状等や挨拶メールなどを送るため、個人のパソコンに「個人情報データベース等」があり、それを利用して年賀状等を作成するような場合は、社会通念上の「事業」に当たらずせず、「事業」に該当しません。

5000件以上の個人情報を事業者が扱っていれば、それは「事業の用に供している」と認識して間違いなさそうですが、情報量と管理の仕方によっては特定事業者に該当せず、対象外となるわけです。

そもそも、このような既定になったのは、2014年に大手通信教育事業者が大量の個人情報を漏洩させてしまったことがきっかけで、2015年に法改正がされています。

あの事件に関しては、グループ企業に派遣されていた派遣社員が、個人情報を名簿業者に売却したヒューマンエラーになります。

よく、セキュリティ対策のセールスの世界では引き合いに出されますが、あれはそもそも、人が起こしたインシデントであり、対策よりもスタッフの教育や意識改革が重要になるわけです。

その上で、データにアクセスできないようにしたり、USBへの持ち出しをできないようにしたりと、物理的な対策を行って行く必要がある訳です。

このように、大きなインシデントは定期的に発生していますが、それを中小企業レベルの対策に対して、引き合いに出すのはどうかと思います。

このブログでは、再三お伝えしていますが、一人ひとりの意識の向上(教育面)とウイルスに感染した際に検知できるような仕組みを構築し、事後の対策が取れるような体制の構築が必要だと思います。

セキュリティ対策のセールスマンから必要以上に不安を煽られ、心配になった際は、ぜひ私たちにご相談下さい。

UTMに関する”駆け込み寺”はこちら

セキュリティ機器の営業を受けたが「なぜ必要なのか?」「料金は適正なのか?」「機能は十分なのか?」などいまいち分からない方は、一度ご相談下さい。当社では、希望されない方への電話連絡や訪問による、勧誘・営業は一切いたしません。

UTMに関するご相談はこちらから

お気軽にご相談下さい