ランサムウェア被害案件で個人情報保護委員会から「個人情報漏洩なし」判断をいただきました

弊社が調査を行ったランサムウェア被害の案件で、ネットワーク内のデータベースからは個人情報の漏洩がなかったとする判断をいただきました。

個人情報保護法は、個人情報漏洩の「おそれ」があるだけで同委員会に報告しなければならないとされています。
ランサムウェアをはじめとする何らかのサイバー攻撃被害に遭うと、組織内のネットワークに侵入されている以上、何らかの個人情報が漏洩した可能性が考えられます。
この可能性、つまり「おそれ」を否定するのは並大抵のことではありません。
ある事が「なかった」ことを証明するのは「悪魔の証明」といわれるくらい難しいことだといわれています。

今回、弊社では、データベースサーバーだけでなく、その他のサーバーなどに対する緻密な調査を行い、矛盾のない論理の積み上げにより、データベースへの侵害があったとする明確な証拠はなかったという結論を導き出しました。
デジタルフォレンジックでは、「なかった」と断言できるケースはほとんどありません。調査のときに見えている証跡の範囲でしか判断できないからです。
その中でどれだけ説得力のある証拠とそれらをつなぎ合わせる論理構成ができるかが勝負になります。

また、今回のケースでは、データベースがAESで暗号化され、その鍵が適切に保管されていたこともあり、それが個人情報保護委員会の「漏洩なし」判断に大きく貢献しました。
AESで暗号化され、鍵が適切に管理されていたのであれば、万一データベースが漏洩したとしても、鍵がない状態だと、現在の技術レベルでは復号することがほぼ不可能で、漏洩していないことと変わりないわけです。

データベースから個人情報漏洩がなかったする判断をもらえると、被害企業の負担が大幅に軽減されます。
当社では、行政書士の資格をもった代表取締役が責任をもって調査しています。

【参考リンク】
個人情報保護委員会のFAQ
「特定個人情報について、高度な暗号化等の秘匿化がされている場合」とは、どのような場合が該当しますか。
https://www.ppc.go.jp/all_faq_index/faq5-q17-14/