1. ホーム
  2. 委託先管理Blog
  3. 記事

委託先で個人情報漏えいが発生した際の責任範囲と対策について解説!

近年、委託先PCがサイバー攻撃に遭ったり、委託先の従業者が不正に個人情報を持ち出してしまうなど、委託先に預けた個人情報や機密情報が漏えいしてしまう事件が後を絶ちません。委託先が個人情報や機密情報を漏えいしてしまった場合、機密保持契約を結んでいたとしても、発注元は監督責任を果たしていないと見なされ、その責任は発注元にも及びます。

この記事では、委託先からの情報漏えいを防ぐために、どのようなことに気を付けるべきなのか、情報漏えいが起きてしまった場合は何をすべきかについて、解説していきます。

委託先から個人情報が漏えいした事例については、下記の記事で紹介しています。

委託先から個人情報が漏えいした事例を紹介

 

また弊社では、委託先のリスク管理におけるチェックシートのやりとりを自動化できる「VendorTrustLink」というサービスを提供しています。下記より製品資料をダウンロードいただけます。

 

目次
1. 個人情報漏えいの可能性がある委託業務一覧
■委託先管理とは
■個人の情報とは
2. 委託先の個人情報漏えい対策におけるポイント
■契約時に確認すべき内容
■個人情報保護への取り組みを盛り込んだ契約内容
■アクセス制限などの個人情報保護措置の確認
■定期的な監査
3. 委託先で個人情報漏えいが発生した場合の責任範囲と賠償義務
4. 委託先が原因で情報漏えいが発生した場合の対応策
5. まとめ
■委託先リスク管理サービス「VendorTrustLink」

1. 個人情報漏えいの可能性がある委託業務一覧

個人情報漏えいが起こる可能性のある委託業務としては、主に以下のようなものがあります。

  • 顧客データの管理業務
  • 営業活動やマーケティング調査
  • サービス提供に伴うデータ入力や分析
  • ITシステムの開発・運用・保守
  • 改善提案などの事業推進活動

これらの業務において、委託先が適切なデータ保護措置を講じていない場合、個人情報の漏えいリスクが高まります。また、上記以外でも委託先に個人情報を渡している業務や、自社のデータベースに委託先からもアクセスが可能な場合は情報漏えいのリスクがあります。

そのため、事業者は委託業務の選定や監査に注意を払い、情報管理に関わる契約内容や責任範囲を確認することが重要です。

 

 

■委託先管理とは

委託先管理とは、サイバーセキュリティやコンプライアンス、製品の不備、ハラスメントといった委託先におけるリスクによって、企業が倒産しないように、委託先を管理することです。

具体的には、以下のような手順で委託先管理を行います。

 

  • 委託先管理のガイドラインを作成する
  • 委託先管理のチェックシートを作成する
  • 委託先をリストアップする
  • 委託先のリスクを確認する

 

委託先管理とは?目的や必要な理由、実施する際のポイントを解説

 

 

■個人の情報とは

個人の情報とは、個人情報保護法に基づいて保護されている、特定の個人を識別できる情報です。個人の情報には名前や住所、電話番号だけでなく、顔写真や指紋、オンライン上の識別子なども含まれます。個人情報の保護はプライバシーの確保や不正利用の防止に直結しており、現代社会において非常に重要な役割を果たしています。

 

 個人の情報とは?定義や具体例を解説

 

 

2. 委託先の個人情報漏えい対策におけるポイント

委託先からの個人情報漏えいを防ぐには、契約時に委託先において必要な対策やルールの設置がなされているかを確認し、また契約後も定期的に監査を行い、契約時に確認した内容が適切に実施されているかを確認することが重要です。

 

 

■契約時に確認すべき内容

委託先と契約する際には、個人情報保護やデータ管理が適切に行われるよう、以下のポイントに注意しましょう。

  • 個人情報の取扱いに関するルールや監督方法が明確になっているか
  • 安全管理措置やプライバシーポリシーがあるか
  • 万が一の事態に対応するための責任や賠償責任の所在

これらのポイントを押さえた契約を結ぶことが、委託先と円滑な業務進行や問題発生時の対応に繋がります。

 

 

■個人情報保護への取り組みを盛り込んだ契約内容

個人情報を委託先に預ける業務の契約内容には、以下の要素が含まれることが望ましいです。

  • 個人情報の取得・利用・管理方法に関するルール
  • 適切な保護措置の実施
  • 不正アクセスや情報漏えいの防止策
  • 事業者間での情報共有ルールの設定

 

 

■アクセス制限などの個人情報保護措置の確認

個人情報の取扱いに関しては、アクセス制限や保護措置を講じることが重要です。データ管理者は、適切なアクセス制限を設けることで、不正アクセスや情報漏えいのリスクを減らすことができます。具体的には、以下のような対策が考えられます。

  • ログインによる認証機能の実装
  • パスワードポリシーの設定
  • 不審なアクセスを検出するセキュリティソフトの導入
  • 異なる権限レベルの設定

 

 

■定期的な監査

個人情報保護に関する取り組みには、定期的な監査が不可欠です。監査を行うことで、実施中の個人情報保護措置が適切であるかを確認し、問題が発生した場合には迅速に対応することができます。

監査の内容としては、アクセス制限やデータ管理の状況、従業員の教育状況、再委託の内容などが対象となります。

また監査の結果に基づいて、改善策を立案し実施していくことが重要です。

 

 

3. 委託先で個人情報漏えいが発生した場合の責任範囲と賠償義務

委託先で個人情報漏えいが生じた場合、企業は法律上の責任と賠償義務を負います。委託先で情報漏えいが発生した場合、委託先が損害賠償責任を負うことになりますが、委託元の使用者責任が認められ、委託元も損害賠償責任を負うとした裁判例もあります。

個人情報保護法第25条では、委託元は委託先に対する監督責任があることも明示されています。

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

出典:e-Gov法令検索「個人情報保護法第25条

 

また、委託先が原因となった情報漏えいだとしても、多くの場合ニュース等では委託元の社名が取り上げられます。顧客や取引先の情報が漏えいしたとなれば、そのサービスへの信頼が低下することも避けられません。

 

 

4. 委託先が原因で情報漏えいが発生した場合の対応策

委託先が原因で個人情報漏えいが発生した場合、以下の対応策が考えられます。

  1. 速やかに委託先に確認を行い、原因や被害の範囲を把握
  2. 法律やガイドラインに従い、関係者に報告・対応
  3. 実証的なデータ漏えいの防止策を講じる
  4. 顧客への謝罪や説明、個人情報の取扱いに関する改善の取り組みを共有
  5. 委託先との契約内容を見直し、問題が改善されるまで業務委託を停止

事業者は、適切な対応策を練ることで、顧客への信頼回復や法的なリスクを軽減できます。また、定期的な監査や評価を行い、個人情報保護の取り組みを継続的に改善することで、リスクの見落としや早期発見につながります。

 

 

5. まとめ

この記事では、委託先の個人情報漏えい対策として契約内容やアクセス制限などを解説しました。

個人情報が漏えいした場合、関係者である個人や情報を保有する企業は、さまざまな対応が求められます。

まずは、個人情報が漏えいしない仕組みを個人や企業で作り遵守していくことが重要です。

 

■委託先リスク管理サービス「VendorTrustLink」

弊社では、委託先管理に課題を抱える企業に向けて、委託先リスク管理サービス「VendorTrustLink」を提供しています。
委託先の選定や監査を効率化し、リスクを可視化することができます。

委託先のリスクマネジメントにお悩みであれば、ぜひお気軽にお問合せください。

 

また、委託先リスク管理として企業が行うべきことをまとめた「委託先リスク管理ガイド」を公開しております。

リスク管理の必要性は認識しつつも、実際に対策を打てていなかったり、これまでのやり方を踏襲してしまったりしている方は、ぜひご参照ください。

 

下記のリンクより無料で資料をダウンロードいただけます。