ブログ

  • 2025/05/26

ランサムウェアインシデントから学ぶ、個人情報保護の盲点と暗号化対策の重要性

ランサムウェア被害と個人情報保護法の観点から、暗号化対策の重要性を解説します。

こんにちは。「FinalCode」製品担当です。
先月、2025年4月30日に某大手保険代理店がランサムウェアの被害において約510万件の個人情報が漏えいした可能性があることを公表しました。
今回はこのインシデントからみる、個人情報保護の盲点と暗号化対策の重要性について解説します。

「ランサムウェアインシデントから学ぶ、個人情報保護の盲点と暗号化対策の重要性」イメージ
目次

1. 被害の概要について

某大手保険代理店が被害を受けたランサムウェアインシデントの概要をご紹介します。

2025年2月

某大手保険代理店はランサムウェアによるサイバー攻撃を受け、社内システムに障害が起きたと発表。
2月25日~2月28日まで全国の250店舗余りを臨時休業とし、顧客情報が漏えいしていないか調べるため、従業員の端末などの点検を進める。

2025年3月

調査の結果、一部のデータサーバーに保管されていたファイルがランサムウェアによって暗号化されていることが判明。
また、暗号化されたファイルの中には、顧客の保険契約に関する個人情報や、協業先企業から受託した業務に関連する個人情報が含まれていることを確認。

2025年4月

現時点では、個人情報が外部に流出したことを示す事実や、攻撃者によって情報が公開された事実は確認されていないものの、最大で約510万件の情報が漏えいした可能性があると公表

2.公開されていない=漏えいしていない、とは限らない

多くの企業が直面している課題のひとつが、インシデント発生後における「情報漏えいの有無を明確に証明できない」ことです。

今回のインシデントでは「情報の外部流出は確認されていない」と公表されていますが、これはあくまで現時点での事実であり、漏えいしていないことを保証するものではありません。

個人情報保護法では、漏えいの可能性がある場合、原則として個人情報保護委員会と本人への報告が義務付けられております。※1

今回の事例のように「暗号化されたデータの中に個人情報が含まれていた」となると、たとえ外部流出の証拠がなくても、企業はその可能性を否定できず、結果として「情報漏えいの恐れがある」と報告せざるを得ません

このように「情報漏えいの有無を証明できない」ことは組織の信頼性や顧客との関係に大きな影響を及ぼしかねません。

※1出典:https://www.mhlw.go.jp/content/10808000/000943451.pdf

3.高度な暗号化で守られていれば報告を要しない

先ほどご紹介しましたように、個人情報の漏えいが発生した、あるいはそのおそれがある場合には、原則として「個人情報保護委員会」および「本人」への報告が義務付けられています。

ただし、一定の条件を満たす場合には、この報告義務が免除されるケースもあります。
その一つが、「高度な暗号化等の秘匿化が施されている場合」です。※2

個人情報保護法における「高度な暗号化」とは、仮に情報が外部に流出したとしても、第三者が内容を容易に読み取ることができないよう、十分な技術的対策が講じられている状態を指します。
具体的には、電子政府推奨暗号リストに掲載されている暗号化技術を適切に実装していることが要件のひとつとされています。
加えて、遠隔操作によるデータの削除機能や、第三者による復号が事実上不可能な設計となっていることも重要な要素です。

このような高度な暗号化が施されている場合、情報が漏えいしたとしても実害が発生するリスクは低いと判断され、報告義務の対象外となることがあります。

情報セキュリティ対策として、万一の事態を想定した暗号化の実装は、ますます重要性を増しています。技術的・法的な観点の両面から、あらためて対策状況を見直すことが求められます。

※2出典: https://www.ppc.go.jp/all_faq_index/faq5-q17-14/

4.「FinalCode」なら、「漏えいしていない」と断言できる

弊社のファイル暗号化・遠隔削除ソリューション「FinalCode」で暗号化されたファイルであれば、万が一窃取された場合でも、第三者がファイルの中身を閲覧することはできません

また電子政府推奨の暗号化技術を用いており、「高度な暗号化」に該当するため、個人情報保護委員会への報告義務は生じません

このように「FinalCode」で暗号化されたファイルであれば、たとえランサムウェアにより暗号化されたとしても、「復号されておらず、漏えいしていません」と明確に伝えることが可能です。

「FinalCode」の高度な暗号化技術

5.まとめ

今回の事例では、情報が外部に公開された事実がなくても、暗号化されたファイルに個人情報が含まれていたことで「漏えいの可能性あり」として報告義務が発生しました。つまり、「漏えいしていない」と断言できる状態でなければ、企業は大きなリスクを抱えることになります。「FinalCode」は電子政府推奨の暗号化技術を採用しており、万が一情報が流出した場合でも「漏えいしていない」と明確に説明できるため、報告義務の対象外となります。

「万が一」に備える最善の選択肢として、「FinalCode」の導入を是非ご検討ください!

03-5220-3090平日 9:00~18:00(土・日・祝日、弊社指定休業日除く)

- 弊社製品の海外でのご利用について

資料請求・お問い合わせ

お問い合わせ・資料請求

14日間無料試用版ご利用の申込み

このページの先頭へ