4月から『改正個人情報保護法』が施行されました。
個人情報の漏洩が判明したら「個人情報保護委員会」への報告および被害者本人への通知が義務付けられました。
個人情報保護委員会からの命令違反や虚偽報告は罰金刑がありますが、今までは最高50万円の罰金だったのが、4月からは最高1億円の罰金になります。
中小企業では死活問題です。
会社としてどんなに優れたセキュリティ対策をしていても、社員がうっかり偽装されたメールに返信したり、添付ファイルを開いてしまったら終わりです。
初期報告期限は5日以内、再発防止策も含めた確報は30日以内となっています。
以前は5000超の個人情報を保有する企業だけでしたが、現在はすべての企業が対象です。
情報漏洩等に関する報告義務は1000人超です。小規模な事業者でも対象になります。
今後は、サイバーリスクに対するリスクマネジメント対策が必須ですね。