サイバー被害通知義務化!賃貸経営、賃貸管理への影響は?
サイバー被害通知義務化!賃貸経営、賃貸管理への影響は?
どうも、なば屋のモノグサ店長です。今回も、最新情報をお届けしていきます!
あれからもう6年になります。ニュースでも散々取り上げられ、世間を大きく(悪い方向で)賑わせた、2014年のベネッセホールディングスの大規模な個人情報流出は、未だに記憶に鮮明に残っています。
東京商工リサーチによると、このベネッセホールディングスの大規模流出を含め、2012~2019年間に紛失・漏洩した可能性のある個人情報は累計8,889万人分にもなるそうです。
そんな中、サイバー被害に対して政府が動きました。
政府の個人情報保護委員会はサイバー攻撃で個人情報が漏洩した企業に対し、被害が発生した全員への通知を義務付ける。違反には最高で1億円の罰金を科し、悪質な場合は社名も公表する。2022年春にも実施する。
(「日本経済新聞 電子版」 より抜粋。抜粋元記事はこちら)
個人情報漏洩や紛失に対して、今後これまで以上に厳格化されます。
もっとも、欧米諸国においてはこれまでの日本の様な曖昧な対応が許されていないので、「グローバルスタンダードに近づく」という考え方が近いのかもしれません。
実は私自身、過去に情報漏洩の被害を受けたことがあるのですが、それは本記事内で後述します。
それではまずは、個人情報の取り扱いの義務から見ていきます。
【参考】個人情報取扱事業者の責務
個人情報取扱事業者は、個人情報保護法によって下記の通り義務付けられます。
- 個人情報を取り扱うに当たっては利用目的をできる限り特定し、原則として利用目的の達成に必要な範囲を超えて個人情報を取り扱ってはならない。
- 個人情報を取得する場合には、利用目的を通知・公表しなければならない。なお、本人から直接書面で個人情報を取得する場合には、あらかじめ本人に利用目的を明示しなければならない。
- 個人データを安全に管理し、従業員や委託先も監督しなければならない。
- あらかじめ本人の同意を得ずに第三者に個人データを提供してはならない。
- 事業者の保有する個人データに関し、本人からの求めがあった場合には、その開示を行わなければならない。
- 事業者が保有する個人データの内容が事実でないという理由で本人から個人データの訂正や削除を求められた場合、訂正や削除に応じなければならない。
- 個人情報の取扱いに関する苦情を、適切かつ迅速に処理しなければならない。
個人情報漏洩・紛失に対するこれまでとこれから
個人情報漏洩・紛失に対して、その被害を被った被害者一人ひとりに対する通知について、これまでは実は「努力義務」でした。ですので、「本来はいけないこと」としながらも、実際には企業は曖昧な対応で済ませてきていることが多くありました。
冒頭お話しした通り、実は私も情報漏洩の被害者の一人でした。某有名ソーシャルゲームのキャンペーンで、ちょっとした記念品が当選したことがきっかけです。
一応、特定出来てしまうところは黒塗りさせてもらっています。(わかってしまうかもしれませんが、そっとしておいてね笑)
この件で650件以上のメールアドレスや、氏名等が漏洩しています。(メールの設定で、表示名を設定している場合、氏名やニックネーム、所属等も同時に漏洩してしまいます。)
これに対して運営会社の補償や損害金等は一切なく、またこの「メールアドレス流出に関するお詫び」の記事も運営サイトの目立たないところに小さくリンクを貼っている状態。しっかりしたお詫びの連絡が来るかと思えば、経緯説明不十分な形だけの謝罪メールと「受信したメールを削除してください」というメッセージ。
当時はひどく腹立たしかったのを覚えています。今はもう何とも思っていませんけどね!
そして今後は、冒頭の日経新聞抜粋でお伝えした通り「政府の個人情報保護委員会はサイバー攻撃で個人情報が漏洩した企業に対し、被害が発生した全員への通知を義務付ける。違反には最高で1億円の罰金を科し、悪質な場合は社名も公表する。」ということになります。被害者一人ひとりへの通知は「努力義務」ではなく「義務」となります。
今のところの予定では、2022年の春頃には実施される見通しです。
実施された場合、企業は対応を誤れば当然訴訟リスクも高まりますし、これまで許されてきた曖昧な対応は許されません。より厳密な対応が求められます。
通知義務化の賃貸経営、賃貸管理への影響は?
賃貸経営をするオーナー様や、賃貸管理会社等は今回の決定がどう影響するのか気になる部分かと思います。まずは、「個人情報取扱事業者」について簡単にですがご説明します。個人情報取扱事業者とは「個人情報データベース等を事業用に供している事業者」と定義されています。2015年の法改正以前は、保有する個人情報の件数が5,000件以上、という項目も含まれていましたが、これは現在は削除されています。
個人情報データベース等については、「個人情報を検索できる状態・体系的な管理状態」であることが必要です。個人情報を保管・管理しているだけではデータベース等にはあたりません。
ちなみに、上記した通り個人情報の保有数の条件が無くなったこととは関係なく、そもそも個人情報取扱事業者は会社に限定されるものではありません。個人や、会社以外の団体等でもあてはまります。
特に、多くの賃貸物件を管理するオーナー様や、法人化しているオーナー様の多くは、入居者情報等の個人情報を体系的に管理していることが多く、個人情報取扱事業者にあたるケースが多くなるかと思います。
賃貸管理会社や不動産仲介業者等は言わずもがなです。
ですので、賃貸経営業や賃貸管理業においても、当然、これまで以上に個人情報の取り扱い方に留意することが求められます。
万が一紛失や漏洩があったら、曖昧にせずしっかりと通知義務を果たさなければなりません!
ヒューマンエラーは、しっかりした意識や、確認作業で防げるかもしれません。
問題はタイトルにもある「サイバー被害」。外部からのサイバー攻撃に対する備えを、これまで以上にしっかりしておかないと、経営上の余計なリスクを増やしてしまうことになりかねません。自社で運営するWebサイト内や自社サーバー内で、PINや任意のパスワードを使って個人情報を管理している場合、特に気を付けなければいけないでしょう。
しっかりしたサイバー被害対策をすることは、個人情報保護以外にも当然重要です。
脆弱なサイバー被害対策では、独自情報を守ることも出来ません。ランサムウェア・ウイルスによって業務が止まってしまうこともあるでしょう。
特に賃貸管理を行う場合、税務署へ提出する支払い調書の中に家賃の支払い先のマイナンバーを記載する必要がありますので、最も取扱いに気を付けなければいけないマイナンバーを収集し、管理しなければなりません。より強固なサイバー被害対策は必須です。
終わりに
今回は、「サイバー被害 全員に通知義務化」という時事ネタをキーワードに情報をお届けしてきましたが、いかがだったでしょうか?
繰り返しますが、賃貸経営・賃貸管理をする上でも個人情報の漏洩・紛失に対してこれまで以上に留意する必要があります。外部からのサイバー被害対策も、やはりこれまで以上に徹底する必要があります。
しっかりとした対策をして、余計なストレスの無い賃貸経営を目指しましょう!