みなさま、こんにちは。有限会社マイカのライター「秋葉けんた」です。朝夕はめっきり冷え込んできておりまますが、お変わりございませんか？今回の「分かりやすいセキュリティ用語集」は「委託先の監督」です。

【委託先の監督】

個人情報の漏えい事故が後を絶ちません。個人情報を保有している企業の運用に問題があるケースだけではなく、業務委託先の企業から漏えいする事故も多いようです。

現在、多くの企業は自社のみならず、グループ企業やパートナー企業とともにビジネスを展開する機会が増えています。

これまでの商習慣では委託先の企業で問題があった場合、その責務を負うのは委託先の企業というケースがほとんどでした。例えば、委託先の発注ミスにより、原価が上がってしまった／納期が間に合わなくなったという場合にその責務はを追うのは委託先というのが一般的でした。

しかし、個人情報の取り扱いについては、これまでの商習慣をそのまま当てはめることができません。個人情報保護法の第22条で「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」と明記されているためです。

よりわかりやすくするために、実例で考えてみましょう。大規模な個人情報流出があった「ベネッセ」の場合、顧客情報が保存されているデータベースの運用や保守をグループ会社の「シンフォーム」に委託していました。このシンフォームの派遣社員がベネッセの個人情報を複製し、漏えいさせたと報道されています。

これまでの商習慣によれば、「シンフォーム」がその責任を問われることはあっても、ベネッセが責任を問われることはありませんでした。しかし、この事件では「ベネッセ」が緊急対策本部を設置し、その対策に当たっています。委託先が情報を漏えいしているのですが、前面に立って対策を取ったのは「ベネッセ」そのものであり、その責任を問われたのも「ベネッセ」でした。

これは、委託先に対して「必要かつ適切な監督」を怠ったため、ベネッセがその対応を迫られたのです。情報漏えいに関して言えば、委託先の取り扱いに問題があったとしても、委託元がその責務を負うことになります。そのため、「必要かつ適切な監督」が必要となるのです。この「必要かつ適切な監督」というのは、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」（ガイドライン）に詳細が定められているので、紹介します。

ガイドラインでは、
(1)委託先を適切に選定する、
(2)委託先に安全管理措置を順守させるために必要な契約を締結する
(3)委託先における個人データの取り扱い状況を把握する

の3つが「必要かつ適切な監督」に含まれるとしています。具体的な内容は表組みにまとめたので参照してください。

最近では、標的型攻撃などにより、委託先経由で情報が漏えいする事件・事故が増えています。安心してビジネスを行っていく上では、自社のみならず、委託先も自社と同様のセキュリティ対策を行っていることを確認していくことが必要になるでしょう。

※表組み
(1)委託先を適切に選定
委託先の安全管理措置体制、規程等の確認、必要に応じて、実地検査などを行い適切に評価をする

(2)委託先と必要な契約を締結する
個人データの取り扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取り扱い状況を合理的に把握することを盛り込む

(3)委託先における個人データの取り扱い状況を把握する
個人データの取り扱い状況を把握するためには、定期的に、監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、個人情報保護管理者などが、委託の内容等の直しを検討することを含め、適切に評価する

著：秋葉けんた（編集プロダクション「マイカ」に所属するIT専門のライター。オプティマ・ソリューションズのコンサルティングを受けて、自社内の個人情報保護体制を構築し、維持運用している。その中で「セキュリティの専門用語」を理解するのに困難を感じ、同じ課題を持つ方々への情報共有をしたいと考えて、この分かりやすい用語集を執筆している）
監修：中康二（オプティマ・ソリューションズ株式会社）

※イラストは「いらすとや」さんから頂きました。