重要
年末年始休業 2023年12月29日~2024年1月3日
近年の情報漏えい事案には、委託先が関わっているケースが多数見受けられますが、昨年から特に委託先に関連した個人情報漏洩のインシデントがよくニュースでとりあげられるようになりました。
2022年6月 尼崎市 USBメモリー紛失事案
2022年10月 T-Connect 誤アップロードによるメールアドレス等漏えい事案
2023年1月 複数の保険会社の外部委託先へのサイバー攻撃による顧客データ流出事案
そこで、組織の情報セキュリティ体制を構築・維持することの一環として、委託先管理が必要になってきています。
今回は、委託先管理について考えておきたいポイントを取り上げます。
現代の経済活動では、コア業務に集中することなどをはじめ様々な理由から、自組織の業務の一部を別組織に委託するということが広く行われています。
このとき、業務の一部を委託した別組織を「外部委託先」と呼びますが、「委託先管理」とは、この外部委託先が委託した業務を正しく遂行しているかを定期的にチェック・モニタリングすることを指します。
そして、委託先管理が必要な理由は大きく分けて、以下の2つがあります。
今回は、このうちの1.の「業務で取り扱う情報を守る」観点からポイントを掘り下げていきます。2.の「ビジネスプロセスを守る」観点については、別途取り上げます。
委託先管理は組織の情報セキュリティ体制を構築・維持することの一環であると書きました。では、その情報セキュリティ体制で守る対象となる情報は何でしょうか?
守る対象となる情報は、大きく分けて2つあります。個人情報と営業秘密です。そして、コンプライアンスの観点で見ると、個人情報と営業秘密とでは、守り方が違います。
個人情報のうち、個人情報データベース等を構成するものを個人データといいますが、個人データについては個人情報保護法上、個人情報取扱事業者に安全管理措置を講じる義務が発生します。一方、営業秘密についてはどうかというと、不正競争防止法には、個人情報保護法上の安全管理措置に相当する義務が存在しません。そして、委託先管理は個人情報保護法上の安全管理措置の一環として定められています。
以上のことから、委託先管理について考えておきたいポイントを把握するには、個人情報保護法を紐解いていくことがよいと理解できます。組織間でやりとりする営業秘密については、組織間で結ぶ個別の契約で扱いを取り決めますが、別個に扱いを取り決めるのは無駄ですので、まずは法的要件としての委託先管理を個人情報保護法から把握して、さらに営業秘密等まで保護する対象を広げて定めていくのがよいのではないでしょうか。
個人情報保護法の第23条と第25条で、個人情報取扱事業者の委託先管理義務が記されています。
(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(委託先の監督)
第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
第23条で安全管理措置が規定され、第25条でも「安全管理」という言葉が使われています。すなわち、自社の安全管理措置と同等の措置が講じられるよう、委託先を監督する必要があるということです。
これは、個人情報保護委員会『個人情報の保護に関する法律についてのガイドライン(通則編)』にも記述があります。
具体的には、個人情報取扱事業者は、法第23条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする(※2)。
そして、「リスクに応じて」、適切な委託先の選定・委託契約の締結・委託先における個人データ取扱状況の把握といった、「必要かつ適切な措置」を講じなければなりません。ここでいう「必要かつ適切な措置」とは個人情報を念頭に置いていますが、組織によっては、個人データよりむしろ、委託先における機密データ取扱状況の把握が大事ということもあるでしょう。
「必要かつ適切な措置」の筆頭に出てくるのは「適切な委託先の選定」です。もちろん、「選定すれば運用しなくてもいい」というわけではなく、それこそ弊社で提供しているプロダクトシリーズ「Conorisシリーズ」では運用改善も目的のひとつです。しかし、選定の段階が適切でなければ、適切な運用は無理というものです。
そこで、適切な委託先の選定とは何をしたらいいか、ということが出てきます。
筆者が調べた限りでは、「適切な委託先の選定とは何をしたらいいか」という問いに対しては、NISC(内閣サイバーセキュリティセンター)の『外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕様書策定手引書』 (以下「NISC資料」とします)の「3.外部委託の際に考慮すべき事項及び仕様書記載例」が非常に優れていると考えます。
NISC資料は、公共機関の関係者が読むことを念頭に置いて記述されていますが、ISO/IEC 27036をベースにしているため公共機関に特化した記述が比較的少なく、ほとんどの内容は企業にも当てはめることができます。
また、総務省の『地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月版)』(以下「総務省資料」とします) の「8.業務委託と外部サービスの利用」も同じように、ほとんどの内容を企業にも当てはめることができます。なお、総務省資料はISMS(ISO/IEC27001)を意識した記述が多分になされていますので、ISMSを取得している企業や取得しようとしている企業には馴染みのある内容と言えるでしょう。
ただし、以上に挙げた公的資料2つでは意識されていない視点がひとつあります。それは、委託先が国外にある事業者の場合です。
公共機関の場合は国外にある事業者への委託をすること自体が稀ですが、一般の企業では普通に考えられることでしょう。
国外にある事業者への委託については、令和2年の個人情報保護法の改正で「外国にある第三者への提供の制限」が追加されたことを考慮する必要があります。
(外国にある第三者への提供の制限)
第二十八条 個人情報取扱事業者は、外国(本邦の域外にある国又は地域をいう。以下この条及び第三十一条第一項第二号において同じ。)(個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。)にある第三者(個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置(第三項において「相当措置」という。)を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。)に個人データを提供する場合には、前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。この場合においては、同条の規定は、適用しない。
2 個人情報取扱事業者は、前項の規定により本人の同意を得ようとする場合には、個人情報保護委員会規則で定めるところにより、あらかじめ、当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報の保護のための措置その他当該本人に参考となるべき情報を当該本人に提供しなければならない。
3 個人情報取扱事業者は、個人データを外国にある第三者(第一項に規定する体制を整備している者に限る。)に提供した場合には、個人情報保護委員会規則で定めるところにより、当該第三者による相当措置の継続的な実施を確保するために必要な措置を講ずるとともに、本人の求めに応じて当該必要な措置に関する情報を当該本人に提供しなければならない。
日本国外の事業者は、当然のことながら、日本の法体系とは別の法体系に拘束されています。日本より厳しい国もあれば日本よりゆるい国もあり、また、日本とは法令の目的・意図が違うということもあります。国によっては、政府の要求があった場合は保有している個人情報を提供しなければならないということもあり得ます。
そこで、国外にある事業者への委託にあたっては、委託先に適用される法制度などを把握して、そのことを本人も知っている状態にしなければなりません。
個人情報以外にも、機密情報の取り扱いを国外の事業者に委託することがあり得ます。視点は同じで、委託している業務にどのような法制度が適用されるのかという点は考えなければなりません。
余談ですが、日本国外にある事業者への委託について、個人情報取扱の観点から問題になった事案として、LINE社の個人情報管理問題があります。きっかけは歌手でスマホアプリの開発も手がける野口五郎さんの問題提起で、LINEが収集した個人情報が業務委託先であるLINE中国に渡っていたことが2021年に発覚し、個人情報保護委員会が改善を指導するなどの事態に発展、データ提供先が国外である場合のリスクが浮かび上がる結果となりました。
