IIJ 有事対応支援サービス

個人データ漏洩等のインシデント発生時にも
専門家が対応を支援

お問い合わせやお見積り希望はこちら

執行事例

【保険企業の安全管理措置義務違反】
2023年8月28日、スウェーデンのデータ保護監督機関は、スウェーデンの保険企業であるTrygg-Hansa社に35,000,000クローナの制裁金

【遺伝子検査キット提供企業におけるセンシティブ情報利用】
2023年9月7日、米連邦取引委員会（FTC）は、lHealth.io 社のFTC法5条（a）違反に対して、75,000ドルの制裁金

【人材サービス企業のセキュリティ措置未実施】
2023年9月15日、シンガポールのデータ保護監督機関（PDPC）は、Century Evergreen社に、9,000シンガポールドルの制裁金

【GDPR違反】
2023年9月1日、アイルランドデータ保護当局DPCは、TikTokの運営会社に対して違反に対する戒告、3ヶ月以内の違反是正、3億4,500万ユーロ（約545億円）の制裁金

【セキュリティ対策不備】
2023年7月12日、韓国の個人情報保護委員（PIPC）は、大手電気通信事業者であるLGユープラスに68億ウォンの制裁金と過怠金2700万ウォン

» 最新の制裁金事例はこちら

有事対応支援の重要性

世界各国でプライバシー保護規制の整備が進み、情報漏えい等インシデント発生時に制限時間内に現地当局への報告義務が生じるケースもあることから、海外展開する日本企業の間で、有事対応への感度は以前よりも高まっています。

改正個人情報保護法では、個人データの漏えい等のインシデントが発生した場合、一定の条件のもとに個人情報保護委員会への報告が義務となりましたが、海外でも当局への報告が義務化されている国は存在します。また、適切に本人（データ主体）へ通知する必要もあります。

有事対応フローの全体像（例：GDPR適用対象である場合）

情報セキュリティ事件・事故の主な原因として、(1)ミスやシステム障害、(2)内部不正、(3)外部からの不正（例：ハッキング、スパイウェア、サイバー攻撃）、(4)内部関係者と外部の者（例：取引先）の共謀による不正に大別できます。

金銭的なダメージに至るまでのリスクシナリオ（例）

何も起きないに越したことはありませんが、個人データの漏えいやサービス停止というのはなかなか避けて通れない経営リスクの1つです。しかもGDPRでは制裁金が巨額になりえるため、個人データ侵害が発生した際に、対応を間違えると、企業の評判（レピュテーション）リスクや事業停止命令、制裁金が高額になるという問題が発生します。そのため、有事の監督機関に対する初動対応やデータ主体への通知、事後対策の適切な設計は、制裁金を下げたり、その他のリスクを低減する上で非常に重要です。

お問い合わせやお見積り希望はこちら

迅速・適切な初期対応を実現するためにも、法律・コンプライアンスとITセキュリティの両面からの有事対応を求められることが多く、「周到な平時の準備」、最近では模擬訓練を実施している企業も増えています。また、重大インシデントとなった場合には、集団訴訟等も視野に入れフォレンジック調査も必要になります。

特長

専門家がお客様のインシデント対応チームの横でアドバイス
各種作業のサポート
制限時間内（例：EUの場合72時間以内）の世界各国の監督機関への報告に対応
保険会社との連携

IIJ有事対応支援サービスでは、インシデント発生時に法令で定められた時間内での各国監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等必要な作業もサポートします。