3つのRで総合的な対策を考える

 2022年4月に施行された改正個人情報保護法では、企業が個人情報を流出させた場合、個人情報保護委員会への報告と、本人への通知を行うことが義務化された。

 仮に100万人分の情報が流出した場合、100万件の通知を行わなければならないのだから、それにかかるコストや人的負担は想像以上に重くなる。

 「しかも、データベースから流出したのなら誰の情報かを特定するのは比較的容易ですが、従業員が個人のPCに保存している情報が流出した場合、ファイルを一件一件調べるなど、作業がますます膨大になります。そうした手間を解消するためには、個人情報を従業員のPCには保存せず、サーバーにアクセスして利用する仕組みや、企業全体の情報を一元管理できるドキュメントマネジネントシステムなどの導入も検討すべきです」(清水氏)

 個人情報保護法は原則3年ごとに改正され、内容が段階的に厳しくなっている。今後の改正も見据えながら、保護体制を整備していくことが企業には求められる。

 ひとたびインシデントが発生した場合、その対応を誤るとクライシスを招き、回復には大きなコストと時間を要することになる。

 デロイト トーマツ グループは、クライシスマネジメントをReadiness(予防)、Response(対処)、Recovery(回復)の3つのステージに分け、総合的な対策を講じることを提唱しており、グループ全体で一貫してサポートする体制を整えている。

 サイバーセキュリティはもちろんのこと、クライシスがIT以外に波及した時も、財務や法務など支援領域は幅広い。「海外でインシデントが発生した場合も、デロイトのグローバルネットワークを活かしてサポートできます」と中島氏。経営者にとっては心強い味方になりそうだ。

■お問い合わせ
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
〒100-8363 東京都千代田区丸の内3-3-3 丸の内二重橋ビルディング
URL:https://www2.deloitte.com/jp/ja/