個人情報保護法の「委託」が迷子になっている?件〜2023漏えい事案から3つの論点
こんにちは!
3月最終日、良いお天気ですね☀️
(と2ヶ月放置してしまい、はや6月です笑)
個人情報保護法の3年ごと見直しのプロセス中ですが、昨年度をふりかえると、こんな印象でした↓
ゆく年くる年
— Ami (@Informationlaw1) March 29, 2024
今年度は、指導事案が多かった印象
3件の共通点=安全管理の責任が迷子?
・NTT西: CSシステム利用を委託と認識せず
・社労夢: SaaS利用を委託と認識せず
・LY不正アクセス: SC先は個人データ委託でなく自社整理だが他社含安全管理不備
3年ごと論点だよなー、考えてみよう🤔
もし、現在のルールの重要なポイントが、
多くの企業に理解されていない or わかっていても守られていない のだとしたら…?
そこで今日は、個人情報保護委員会の3つの行政指導事案と注意喚起をふりかえり、個人情報保護法における「委託」の規範、実態と課題について、見てみたいと思います。
⚫︎3つの行政指導
今回取り上げる事案は以下の3つです。
①NTT西日本グループのコールセンター業務受託業務での個人データ従業者持ち出し事案
②SaaS社労夢への不正アクセスによる個人データ漏えいおそれ事案
④LINEヤフーの海外業務委託先への不正アクセスによるデータ漏えい事案
それでは、順番に見ていきましょう!
①コールセンター事案
事案概要
・NTT西日本グループのProCX社は民間企業や自治体等から、コールセンター業務を受託(その際、各顧客の個人データを取り扱い)
・ProCX社は委託を受けたコールセンター業務の実施にあたり、同じグループのBS社が構築したシステムを利用。(BS社は個人データを取り扱いがある態様)
・事案は、金銭目的でBS社の従業者(派遣社員)が、委託元の個人データを不正に持ち出した。
個人情報保護法上の整理
上図に個人情報保護委員会が、黄色の矢印で示しているように、
ProCX社も、BS社も個人データの取り扱いがあることが明確で、
個人情報保護法上、主たる個人情報取扱事業者は委託元の民間企業、自治体、ProCX社は委託先、BS社は再委託先となります。
法25条は、委託先の監督を以下と定めています。
法第25条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託(※1)する場合は、委託を受けた者(以下「委託先」という。)において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならない。
具体的には、個人情報取扱事業者は、法第23条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする(※2)。
(※1)「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される。
(※2)委託元が法第23条が求める水準を超える高い水準の安全管理措置を講じている場合に、委託先に対してもこれと同等の措置を求める趣旨ではなく、法律上は、委託先は、法第23条が求める水準の安全管理措置を講じれば足りると解される。
それに対し、本事案の指導文書では、
2つの理由から、法第25条委託先監督の規定の違反と結論づけています。
ア 再委託先との契約の不備、顧客(委託元)への再委託時の承諾プロセスの不履行
イ 再委託先の取扱状況の把握が不十分、定期監査未実施
3 ProCX社-委託先の監督(法第25条)の不備
(2) BS社に対する監督
法第25条において、個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならないと規定されている。さらに、ガイドラインにおいて、委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元及び委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むこととされ(3-4-4(2) 委託契約の締結)、委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することとされている(3-4-4(3) 委託先における個人データ取扱状況の把握)。
ア ProCX 社とBS 社との間において、個人データ等の取扱いに関する取り決めがなされていなかったこと
ProCX 社と BS 社との間で締結されたコールセンターサービス利用契約においては、BS 社の個人データ等の取扱いに関する安全管理措置の実施状況を確認するための取り決めについて明記がないにもかかわらず、前記(1)のとおり、実態として個人データ等の取扱いを委託していた。 さらに、ProCX社は、コールセンター業務の履行に当たり、一部の本件委託元との契約において、事前に委託元に再委託することを申請し、承諾を得た場合に限り、第三者に個人情報の処理を委託してもよいと規定していたにもかかわらず、委託元に報告することなく、BS社に個人データ等を取り扱わせていた。
イ 委託先であるBS社における個人データ等の取扱状況の把握が不十分であったこと
ProCX 社は、本件委託元の大量の個人データ等をコールセンター業務用システムで管理し、その保守運用としてBS社に指示し個人データ等を取り扱う業務を行わせていたにもかかわらず、定期的な監査や委託の内容等の見直しの検討を行っておらず、BS社における個人データ等の取扱状況を適切に把握していなかった。
(3) 小括
以上のことから、ProCX社において、委託先であるBS社に対する必要かつ適切な監督が十分になされていなかったことが認められ、本件事案発生当時の同社の取扱いは、法第25条の規定に違反する。
この事案を受け、個人情報保護委員会は、注意喚起を行い、本件のように外部のシステムを利用する場合も委託(再委託)にあたるとして、注意喚起を行なっています。
コールセンター業務における個人データの取扱いに係る安全管理措置、従業者の監督及び委託先の監督に関する留意点について(注意喚起)
今般、多数の事業者等から委託を受けてコールセンター業務(注)を実施する個人情報取扱事業者(個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)第16条第2項) が取り扱う、 委託元の多数の顧客等に関する個人データ (法第 16 条第3項)等について、当該個人情報取扱事業者の委託先にあたるコールセンターシステムの運用保守業務を担っていた個人情報取扱事業者において、派遣社員が不正に持ち出し、漏えいが発生した事例がありました。
コールセンター業務を実施する個人情報取扱事業者は、多数の顧客等に関する個人データ等を取り扱うことから、 その漏えい等を引き起こさないよう、 安全管理措置 (法第23条)及び従業者の監督(法第 24条)について、より一層留意することが求められます。また、コールセンター業務自体のほか、システムの運用保守等において、個人データの取扱いの全部又は一部を委託する場合も少なくないことから、その場合、委託先の監督の着実な実施も求められます(法第 25条) 。
(略)
3 委託先の監督(法第25条)に関する留意点
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければなりません(法第25条)。
ここでいう個人データの取扱いの委託とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいいます。したがって、個人データを含む電子データを取り扱う情報システム(機器を含む。)の保守の全部又は一部に外部の事業者を活用している場合、当該保守サービスを提供する事業者(以下「保守サービス事業者」という。)がサービス内容の全部又は一部として情報システム内の個人データを取り扱うこととなっている場合には、本人の同意による個人データの提供である場合を除き、個人データの取扱いの委託に伴う提供に当たるため、委託先である保守サービス事業者を監督する必要があります。
論点
本事案をふまえ、他の事業者も改めて以下の2点を確認すべきであるように思います。
A) 個人データの取り扱いで、外部システムを利用する場合「委託」にあたる場合がある。
→そもそもその認知が、委託先、顧客ともに薄い可能性があるのではないか?
B) 契約には事前に委託元に再委託を連絡、承認となっていても、その実施が行われていない。
→加えて委託元が、再委託を認知しておらず、そのことを課題(改善が必要)と思っていない可能性があるのではないか?
A)は、次の事案②でも見られたように、(悪気なく?)システム利用を委託と思わず運用しているケースは相当数あるように感じています。
本件のNTT西日本グループの調査報告書でも、委託元・委託先という明確な立場の切り分けがなかったとの記述があります。
B)は、実際、日本経済新聞による調査でも、顧客の8割超は再委託先である漏えい元認知がなく、再委託先把握の必要性を感じているのは3割という結果がでています。
NTT西日本子会社から900万件超の個人情報が流出した問題を巡り、被害にあった自治体の8割超が漏洩元の企業を把握していなかったことが、日本経済新聞の調査で分かった。情報を取り扱う業者の監督は法律などで義務付けられているが、昨年10月の問題発覚後も実態を「把握すべきだった」と回答したのは3割にとどまった。
https://www.nikkei.com/article/DGKKZO78942380T00C24A3CT0000/
実務担当者からすると、再委託はどこまで確認する必要があるんだろう?と一度は思ったことがあるテーマかもしれません。今回のケースは再委託先が海外でなく、違う会社とはいえ同じグループで日常業務は一体的に運用されてきたのやもしれません。(また、本件と異なる例ですがおよそSaaSは、そのサービス提供において、他のクラウドやSaaSを利用しており、それが再委託になる可能性も0ではないように思います)
本件は、委託元である自治体等の監督責任については、現時点では表立った指導はありませんが、ひとたび、漏えい事案があれば、再委託先含めて委託先の監督責任が問われることは間違いありません。
データの質や量、種類、相手先の安全管理措置の信頼度などをふまえ、リスクの大きい事案を優先するなどして、点検することが現実的な運用なのかもしれないと感じています。
参考
なお、NTTグループは、この事案やNTTドコモ社の委託先で従業者が個人データを持ち出した事案もふまえ、社長退任、セキュリティ対策に3年で300億を投じ、体制強化することを発表、組織改変など、グループとしての取組強化を内外に示しています。
では、次の事案です。
②SaaS社労夢事案
事案概要
この事案は、こちらのノートに詳しく書きましたので早回しで。
ざっくりまとめると、
・社労士事務所・独立社労士が多く使うSaaSがランサムウェア攻撃を受け、サービスが一時利用できない事態に、SaaSの主な利用者である社労士は業務に影響をきたした。
・多くの社労士等は、企業から委託を受けて、個人データの取扱いを行っていたが、当該SaaS利用はシステムの利用であっても、個人データの再委託と認識している人は多くなかった。
・個人データ漏えいのおそれが否定できないこととなり、これは委託なのか?、漏えい報告をどの主体が行うか?という点で、社労士関係の協会の見解も二転三転するなど、情報が錯綜して混乱した。
そんな事案です。
個人情報保護法上の整理と指導
法での提供の定義は以下で、
SaaS事業者等自己以外の者が個人データを利用することができれば、提供に該当、
その利用が処理を代行するためで、自社で勝手に使わないとしている場合は委託となります。
(提供>委託)
提供とは、自己以外の者(すなわち第三者)が利用することです。
「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
この点は、事案①と同じ考え方ですが、SaaS等クラウド場合、Q&A7-53にある2点を満たせば、委託ではなく、自社の取扱いとの整理が可能です。
Q&A7-53は、提供先がクラウドサービス事業者の場合、そのクラウド事業者が当該個人データを取り扱わないことになっているか、が判断ポイントであるとし、
その判断においては、以下の条件を2つとも満たせば、提供(第三者提供や委託)に当たらないとされています。
①契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わないことが定められており、
②適切にアクセス制御を行っている場合
本件は以下の指導文書で、Q&A7-53には該当せず、当該SaaS事業者は個人データの委託を受けていたと判定されています。
注意喚起
論点
本②事案はSaaSへの外部からのサイバーセキュリティ攻撃というもので、①の利用していた外部システムからの不正持ち出しとは、一見、事案の性格は異なります。
一方、SaaS利用を委託と思っていなかった、という論点は、事案①の論点A、すなわち、
A) 個人データの取り扱いで、外部システムを利用する場合「委託」にあたる場合がある。
→そもそもその認知が、委託先、顧客ともに薄い可能性があるのではないか?
と本質的には同じで、以下のようにまとめられるように思います。
A) 個人データの取り扱いで、外部システムやSaaS等クラウドを利用する場合「委託」にあたる場合がある。
→そもそもその認知が、委託先、顧客ともに薄い可能性があるのではないか?
また、本件、漏えいのおそれがあった個人データは、社労士事務所等の委託元である企業の従業員の個人データでしたが、多くの企業は社労士事務所への委託は知っていたものの、本SaaSの名前や会社を初めて聞いたという企業が多いように見受けられました。
この状況も事案①の論点Bと同じです。
B) 契約には事前に委託元に再委託を連絡、承認となっていても、その実施が行われていない。
→加えて委託元が、再委託を認知しておらず、そのことを課題(改善が必要)と思っていない可能性があるのではないか?
最後の事案は、業務委託であるものの個人データの委託ではないケースです。
③LINEヤフーの業務委託先の不正アクセスによるデータ漏えい事案
事案概要
この事案も、以前こちらのノートに詳しく書きましたので早回しで。
ざっくりまとめると、
・LINEヤフー社(LY社)は、社内システム関係の業務を韓国のネイバー社(NC社)に業務委託、ネットワーク保守等の業務を別の韓国の会社(A社)に委託していた。
・その業務について、LY社は、個人データの委託に該当しない、と整理していた。
・ネットワーク保守を委託していた韓国の会社の従業者のPCがマルウェア感染、同社および、ネイバー社、LY社では、その事態を直ちに検知できなかった。
・その間、侵入者は、徐々にシステムに侵入、LY社の社内システムに到達し、個人情報等を持ち出しされた。
個人情報保護法上の整理と行政指導
本事案について、個人情報保護委員会は、
LY社が個人データの委託としていなかったため、委託先の監督は行っていなかったとした上で、
3 本件事案との関連性
⑴ 委託先の監督について
旧L社及びLY社は、前記2⑴及び⑵に従い、個人データの取扱いがある委託先を監督していたが、本件において、LY社は、NC社及びA社に対し、本件個人データの取扱いを委託していなかったため、NC社及びA社は個人データの取扱いがある委託先として管理されておらず、定期的な実地監査等の委託先に対する監督は行っていなかった。
(令和6年3月28日) |個人情報保護委員会
https://www.ppc.go.jp/news/press/2024/240328/
一方、その場合、法令上、自らの判断で安全管理措置をすべきところ、
個人データの委託は行なっていないと整理していたため、(NC社に自らと同等の安全管理措置を求めることも、自社自身で業務委託先の設備について安全管理措置を行うこともなく)、安全管理のための責任の所在や手段の検討が曖昧なまま、大量の個人データを扱っていたことが問題とされました。
ア NC社との関係に応じたリスク管理に関する問題点
LINE は、(中略)
そのような沿革から、LY 社は、今回不正アクセスを受けたシステムを含む複数の重要なシステムについても、サーバやソフトウェア等のインフラの構築及び運営業務をNC社に任せ、NAVERグループと共同利用する共通認証基盤システムやNC社が提供するシステムの利用を続けてきた。
個人情報取扱事業者は、個人情報保護法第23条及びガイドライン「10 (別添)講ずべき安全管理措置」に例示される具体的な措置に従い、取り扱う個人データの性質及び量やそのリスクに応じて、必要かつ適切な措置を自ら判断し、個人データを管理する情報システムやネットワーク構成を構築し、又は業務委託先等に構築させなければならない。
しかしながら、LY 社は、個人データの取扱いに関し、自らの判断でガイドラインに則した安全管理措置を講じなければならないところ、旧 L 社の沿革に起因するNC 社との共通認証基盤システムやNC社との広範なネットワーク接続を許容するネットワーク構成の利用を継続してきた。また、LY社は、NC社に対して本件個人データの取扱いの委託は行っていないと整理していたため、実際にNC社に対して自らの安全管理措置と同等の措置が講じられるよう監督を行うことはなく、結果として、NC 社に業務委託し構築させたシステムが侵入経路及び漏えい原因となり、本件個人データが漏えいした。
すなわち、LY 社は、その安全管理のために必要かつ適切な措置を講ずる責任の所在と手段の検討及び把握が曖昧なまま、ユーザーの個人データを含む大量の個人データを取り扱っていたものである。
LY 社は、このようなリスクや課題を認識すべきであったにもかかわらず、共通認証基盤システムの共同利用や、NC 社に対する重要なシステムの構築及び運営の業務委託を継続してきたものであり、個人データの取扱状況の把握及び安全管理措置の評価、見直し及び改善に問題があると言わざるを得ない。
(令和6年3月28日) |個人情報保護委員会
https://www.ppc.go.jp/news/press/2024/240328/
論点
C) 個人データの取り扱いで他社に委託、他社システムの利用をしている場合で、かつ、個人情報保護法の「委託」でないと整理している場合、25条委託先の監督の規範には該当しないが、23条安全管理の責任はあり、自社で対応必須
本件では、クラウド例外等で委託ではないと整理したとしても、ひとたび事故が起きれば、自社として安全管理責任を果たしていたかが問われることが明確になりました。委託先に安全管理を委任し、監督のみとすることができない分、より自社自らでの安全管理を求められることをふまえると、特に海外への業務委託は、自社で実効性をもって安全管理できるのか?という視点での検討が必要であることを、本件は示唆しているように思います。
もっとも、LINEヤフー社の事案のような業務委託の場合、会社によってはその法的整理を個人データの委託と整理し、委託先の監督を選ぶ会社もありそうです。
個人情報漏えい、特に不正アクセスや不正な持ち出しは、一般に手薄なところ、安全管理がより弱いところを狙って行われ、本事案のように、正規の管理者アカウントを乗っ取られた場合、検知が難しくなることがあります。
サイバー攻撃が活発化する中、サプライチェーンリスクという視点で、安全管理措置の弱い箇所がないか、仮に攻撃されたとして、検知体制は下流も含めて問題ないか、本丸のデータベース守れるか、再点検する必要性がありそうです。
⚫︎まとめと所感
以上、①②③3つの事例から、3つの論点を抽出しました。
A)個人データの取り扱いで他社のシステム(オンプレ・SaaS等)を利用する場合も、個人情報保護法上の委託に該当し、委託先の監督義務が生じる
B) 再委託の安全管理措置事前確認と委託元の承認の徹底
C)(クラウド例外として)委託でないとする場合、何もしなくても良い訳ではなく、自社で安全管理措置の義務はあることに注意
いずれも、新しいテーマではなく、個人情報保護法の基本的な事項で、頭でわかっていても、完璧に運用徹底することは難しい側面はあるものの、
内外の不正な持ち出しは、こうした運用の隙を突かれるもの。
ひとたび、事案が発生すれば、企業の委託先の監督や安全管理措置の遵守の不備を問われることを前提に、着実に対応していくしかなさそうです。
⚫︎総務省の委託先の監督モニタリング
このような事態をふまえ、総務省では、5/24、相次いだ電気通信事業者の事案(特に上記の①事案等)をふまえ、今年度、大手通信事業者6者に委託先の監督等に関するモニタリングを行うことを発表しました。
ヒアリング項目
ヒアリング項目は、個人情報保護法の委託先の監督に関する基本的な事項となっており、
・委託の規範を頭で理解してるか
・契約に必要事項盛り込んでるか
・運用どうやってるか、形骸化してないか、件数は?
・内外不正アクセスへの技術的・物理的安全管理措置やってるか
というような設問となっています。
なお、本件は、総務省が実施するため、大手通信事業者のみが対象です。一方、ヒアリング対象情報は個人データのみで、通信の秘密や外部送信、特定利用者情報といった電気通信事業法特有の情報規範の質問は含まないもようです。
モニタリングスケジュール
予定は、6月末にアンケートシート配布、7月以降にWGで説明の予定となっています。
モニタリングの結果を受けて、秋に取りまとめとのこと、各社の実態確認ふまえ課題が浮き彫りになるか注目されます。
個人データの委託の課題は、個人情報を取り扱うほぼ全事業者にとっての課題であると思います。
監督官庁がモニタリングするのは一部事業者のみですが、自主的に振り返ることが求められるテーマではないかと思います。
以上、個人情報の保護の基本中の基本であるものの、事故が多い割に見落とされがちな重要論点を振り返ってみました。
それでは、また!
今日のDall-E3
p.s. その後の妄想…
なんで迷子になりがち?1人ブレスト
— Ami (@Informationlaw1) June 3, 2024
・「業務委託契約」≠個人データの委託
だけど、フツーの人はそう思ってない
・社外システム・SaaS利用が当たり前になり、委託元も注意深くない
・SaaS等クラウドの多層構造化
・クラウド例外等にあてはまるとホッとして、自社の安全管理忘れる#まだある?
この記事が気に入ったらサポートをしてみませんか?