個人情報保護法の「委託」が迷子になっている?件〜2023漏えい事案から3つの論点
こんにちは!
3月最終日、良いお天気ですね☀️
(と2ヶ月放置してしまい、はや6月です笑)
個人情報保護法の3年ごと見直しのプロセス中ですが、昨年度をふりかえると、こんな印象でした↓
もし、現在のルールの重要なポイントが、
多くの企業に理解されていない or わかっていても守られていない のだとしたら…?
そこで今日は、個人情報保護委員会の3つの行政指導事案と注意喚起をふりかえり、個人情報保護法における「委託」の規範、実態と課題について、見てみたいと思います。
⚫︎3つの行政指導
今回取り上げる事案は以下の3つです。
①NTT西日本グループのコールセンター業務受託業務での個人データ従業者持ち出し事案
②SaaS社労夢への不正アクセスによる個人データ漏えいおそれ事案
④LINEヤフーの海外業務委託先への不正アクセスによるデータ漏えい事案
それでは、順番に見ていきましょう!
①コールセンター事案
事案概要
・NTT西日本グループのProCX社は民間企業や自治体等から、コールセンター業務を受託(その際、各顧客の個人データを取り扱い)
・ProCX社は委託を受けたコールセンター業務の実施にあたり、同じグループのBS社が構築したシステムを利用。(BS社は個人データを取り扱いがある態様)
・事案は、金銭目的でBS社の従業者(派遣社員)が、委託元の個人データを不正に持ち出した。
個人情報保護法上の整理
上図に個人情報保護委員会が、黄色の矢印で示しているように、
ProCX社も、BS社も個人データの取り扱いがあることが明確で、
個人情報保護法上、主たる個人情報取扱事業者は委託元の民間企業、自治体、ProCX社は委託先、BS社は再委託先となります。
法25条は、委託先の監督を以下と定めています。
それに対し、本事案の指導文書では、
2つの理由から、法第25条委託先監督の規定の違反と結論づけています。
ア 再委託先との契約の不備、顧客(委託元)への再委託時の承諾プロセスの不履行
イ 再委託先の取扱状況の把握が不十分、定期監査未実施
この事案を受け、個人情報保護委員会は、注意喚起を行い、本件のように外部のシステムを利用する場合も委託(再委託)にあたるとして、注意喚起を行なっています。
論点
本事案をふまえ、他の事業者も改めて以下の2点を確認すべきであるように思います。
A) 個人データの取り扱いで、外部システムを利用する場合「委託」にあたる場合がある。
→そもそもその認知が、委託先、顧客ともに薄い可能性があるのではないか?
B) 契約には事前に委託元に再委託を連絡、承認となっていても、その実施が行われていない。
→加えて委託元が、再委託を認知しておらず、そのことを課題(改善が必要)と思っていない可能性があるのではないか?
A)は、次の事案②でも見られたように、(悪気なく?)システム利用を委託と思わず運用しているケースは相当数あるように感じています。
本件のNTT西日本グループの調査報告書でも、委託元・委託先という明確な立場の切り分けがなかったとの記述があります。
B)は、実際、日本経済新聞による調査でも、顧客の8割超は再委託先である漏えい元認知がなく、再委託先把握の必要性を感じているのは3割という結果がでています。
実務担当者からすると、再委託はどこまで確認する必要があるんだろう?と一度は思ったことがあるテーマかもしれません。今回のケースは再委託先が海外でなく、違う会社とはいえ同じグループで日常業務は一体的に運用されてきたのやもしれません。(また、本件と異なる例ですがおよそSaaSは、そのサービス提供において、他のクラウドやSaaSを利用しており、それが再委託になる可能性も0ではないように思います)
本件は、委託元である自治体等の監督責任については、現時点では表立った指導はありませんが、ひとたび、漏えい事案があれば、再委託先含めて委託先の監督責任が問われることは間違いありません。
データの質や量、種類、相手先の安全管理措置の信頼度などをふまえ、リスクの大きい事案を優先するなどして、点検することが現実的な運用なのかもしれないと感じています。
参考
なお、NTTグループは、この事案やNTTドコモ社の委託先で従業者が個人データを持ち出した事案もふまえ、社長退任、セキュリティ対策に3年で300億を投じ、体制強化することを発表、組織改変など、グループとしての取組強化を内外に示しています。
では、次の事案です。
②SaaS社労夢事案
事案概要
この事案は、こちらのノートに詳しく書きましたので早回しで。
ざっくりまとめると、
・社労士事務所・独立社労士が多く使うSaaSがランサムウェア攻撃を受け、サービスが一時利用できない事態に、SaaSの主な利用者である社労士は業務に影響をきたした。
・多くの社労士等は、企業から委託を受けて、個人データの取扱いを行っていたが、当該SaaS利用はシステムの利用であっても、個人データの再委託と認識している人は多くなかった。
・個人データ漏えいのおそれが否定できないこととなり、これは委託なのか?、漏えい報告をどの主体が行うか?という点で、社労士関係の協会の見解も二転三転するなど、情報が錯綜して混乱した。
そんな事案です。
個人情報保護法上の整理と指導
法での提供の定義は以下で、
SaaS事業者等自己以外の者が個人データを利用することができれば、提供に該当、
その利用が処理を代行するためで、自社で勝手に使わないとしている場合は委託となります。
(提供>委託)
この点は、事案①と同じ考え方ですが、SaaS等クラウド場合、Q&A7-53にある2点を満たせば、委託ではなく、自社の取扱いとの整理が可能です。
本件は以下の指導文書で、Q&A7-53には該当せず、当該SaaS事業者は個人データの委託を受けていたと判定されています。
注意喚起
論点
本②事案はSaaSへの外部からのサイバーセキュリティ攻撃というもので、①の利用していた外部システムからの不正持ち出しとは、一見、事案の性格は異なります。
一方、SaaS利用を委託と思っていなかった、という論点は、事案①の論点A、すなわち、
と本質的には同じで、以下のようにまとめられるように思います。
A) 個人データの取り扱いで、外部システムやSaaS等クラウドを利用する場合「委託」にあたる場合がある。
→そもそもその認知が、委託先、顧客ともに薄い可能性があるのではないか?
また、本件、漏えいのおそれがあった個人データは、社労士事務所等の委託元である企業の従業員の個人データでしたが、多くの企業は社労士事務所への委託は知っていたものの、本SaaSの名前や会社を初めて聞いたという企業が多いように見受けられました。
この状況も事案①の論点Bと同じです。
最後の事案は、業務委託であるものの個人データの委託ではないケースです。
③LINEヤフーの業務委託先の不正アクセスによるデータ漏えい事案
事案概要
この事案も、以前こちらのノートに詳しく書きましたので早回しで。
ざっくりまとめると、
・LINEヤフー社(LY社)は、社内システム関係の業務を韓国のネイバー社(NC社)に業務委託、ネットワーク保守等の業務を別の韓国の会社(A社)に委託していた。
・その業務について、LY社は、個人データの委託に該当しない、と整理していた。
・ネットワーク保守を委託していた韓国の会社の従業者のPCがマルウェア感染、同社および、ネイバー社、LY社では、その事態を直ちに検知できなかった。
・その間、侵入者は、徐々にシステムに侵入、LY社の社内システムに到達し、個人情報等を持ち出しされた。
個人情報保護法上の整理と行政指導
本事案について、個人情報保護委員会は、
LY社が個人データの委託としていなかったため、委託先の監督は行っていなかったとした上で、
一方、その場合、法令上、自らの判断で安全管理措置をすべきところ、
個人データの委託は行なっていないと整理していたため、(NC社に自らと同等の安全管理措置を求めることも、自社自身で業務委託先の設備について安全管理措置を行うこともなく)、安全管理のための責任の所在や手段の検討が曖昧なまま、大量の個人データを扱っていたことが問題とされました。
論点
C) 個人データの取り扱いで他社に委託、他社システムの利用をしている場合で、かつ、個人情報保護法の「委託」でないと整理している場合、25条委託先の監督の規範には該当しないが、23条安全管理の責任はあり、自社で対応必須
本件では、クラウド例外等で委託ではないと整理したとしても、ひとたび事故が起きれば、自社として安全管理責任を果たしていたかが問われることが明確になりました。委託先に安全管理を委任し、監督のみとすることができない分、より自社自らでの安全管理を求められることをふまえると、特に海外への業務委託は、自社で実効性をもって安全管理できるのか?という視点での検討が必要であることを、本件は示唆しているように思います。
もっとも、LINEヤフー社の事案のような業務委託の場合、会社によってはその法的整理を個人データの委託と整理し、委託先の監督を選ぶ会社もありそうです。
個人情報漏えい、特に不正アクセスや不正な持ち出しは、一般に手薄なところ、安全管理がより弱いところを狙って行われ、本事案のように、正規の管理者アカウントを乗っ取られた場合、検知が難しくなることがあります。
サイバー攻撃が活発化する中、サプライチェーンリスクという視点で、安全管理措置の弱い箇所がないか、仮に攻撃されたとして、検知体制は下流も含めて問題ないか、本丸のデータベース守れるか、再点検する必要性がありそうです。
⚫︎まとめと所感
以上、①②③3つの事例から、3つの論点を抽出しました。
A)個人データの取り扱いで他社のシステム(オンプレ・SaaS等)を利用する場合も、個人情報保護法上の委託に該当し、委託先の監督義務が生じる
B) 再委託の安全管理措置事前確認と委託元の承認の徹底
C)(クラウド例外として)委託でないとする場合、何もしなくても良い訳ではなく、自社で安全管理措置の義務はあることに注意
いずれも、新しいテーマではなく、個人情報保護法の基本的な事項で、頭でわかっていても、完璧に運用徹底することは難しい側面はあるものの、
内外の不正な持ち出しは、こうした運用の隙を突かれるもの。
ひとたび、事案が発生すれば、企業の委託先の監督や安全管理措置の遵守の不備を問われることを前提に、着実に対応していくしかなさそうです。
⚫︎総務省の委託先の監督モニタリング
このような事態をふまえ、総務省では、5/24、相次いだ電気通信事業者の事案(特に上記の①事案等)をふまえ、今年度、大手通信事業者6者に委託先の監督等に関するモニタリングを行うことを発表しました。
ヒアリング項目
ヒアリング項目は、個人情報保護法の委託先の監督に関する基本的な事項となっており、
・委託の規範を頭で理解してるか
・契約に必要事項盛り込んでるか
・運用どうやってるか、形骸化してないか、件数は?
・内外不正アクセスへの技術的・物理的安全管理措置やってるか
というような設問となっています。
なお、本件は、総務省が実施するため、大手通信事業者のみが対象です。一方、ヒアリング対象情報は個人データのみで、通信の秘密や外部送信、特定利用者情報といった電気通信事業法特有の情報規範の質問は含まないもようです。
モニタリングスケジュール
予定は、6月末にアンケートシート配布、7月以降にWGで説明の予定となっています。
モニタリングの結果を受けて、秋に取りまとめとのこと、各社の実態確認ふまえ課題が浮き彫りになるか注目されます。
個人データの委託の課題は、個人情報を取り扱うほぼ全事業者にとっての課題であると思います。
監督官庁がモニタリングするのは一部事業者のみですが、自主的に振り返ることが求められるテーマではないかと思います。
以上、個人情報の保護の基本中の基本であるものの、事故が多い割に見落とされがちな重要論点を振り返ってみました。
それでは、また!
今日のDall-E3
p.s. その後の妄想…