情報セキュリティ関連法規応用問題
個人情報保護法の適用対象となる企業が、顧客の個人情報を含むサーバーがランサムウェアに感染し、データが暗号化されてしまった場合、企業が取るべき対応として最も適切なものはどれか?
A.身代金を支払ってデータを復号化するため、攻撃者の指示に従う
✗ 身代金支払いは違法性が高く、攻撃者を助長するため法的・倫理的に認められない対応である。
B.個人情報保護委員会への報告と本人への通知義務の確認を含め、迅速に対応を開始する← 正解
✓ 正解です。個人情報保護法では、個人情報の漏洩や侵害が発生した場合、本人への通知と主務大臣への報告が義務付けられており、迅速な対応が求められる。
C.サーバーの電源を切らずに稼働させ続け、攻撃者との交渉を継続する
✗ サーバーを稼働させ続けると被害が拡大する可能性があるため、適切な対応ではない。
D.事件から30日以内であれば個人情報保護委員会への報告は不要である
✗ 個人情報保護法では報告期限の猶予がなく、速やかな報告が義務付けられているため誤りである。