近年、委託先PCがサイバー攻撃に遭ったり、委託先の従業者が不正に個人情報を持ち出してしまうなど、委託先に預けた個人情報や機密情報が漏えいしてしまう事件が後を絶ちません。委託先が個人情報や機密情報を漏えいしてしまった場合、機密保持契約を結んでいたとしても、発注元は監督責任を果たしていないと見なされ、その責任は発注元にも及びます。
この記事では、委託先からの情報漏えいを防ぐために、どのようなことに気を付けるべきなのか、情報漏えいが起きてしまった場合は何をすべきかについて、解説していきます。
委託先から個人情報が漏えいした事例については、下記の記事で紹介しています。
また弊社では、委託先のリスク管理におけるチェックシートのやりとりを自動化できる「VendorTrustLink」というサービスを提供しています。下記より製品資料をダウンロードいただけます。
1. 個人情報漏えいの可能性がある委託業務一覧
個人情報漏えいが起こる可能性のある委託業務としては、主に以下のようなものがあります。
|
これらの業務において、委託先が適切なデータ保護措置を講じていない場合、個人情報の漏えいリスクが高まります。また、上記以外でも委託先に個人情報を渡している業務や、自社のデータベースに委託先からもアクセスが可能な場合は情報漏えいのリスクがあります。
そのため、事業者は委託業務の選定や監査に注意を払い、情報管理に関わる契約内容や責任範囲を確認することが重要です。
■委託先管理とは
委託先管理とは、サイバーセキュリティやコンプライアンス、製品の不備、ハラスメントといった委託先におけるリスクによって、企業が倒産しないように、委託先を管理することです。
具体的には、以下のような手順で委託先管理を行います。
- 委託先管理のガイドラインを作成する
- 委託先管理のチェックシートを作成する
- 委託先をリストアップする
- 委託先のリスクを確認する
委託先管理とは?目的や必要な理由、実施する際のポイントを解説
■個人の情報とは
個人の情報とは、個人情報保護法に基づいて保護されている、特定の個人を識別できる情報です。個人の情報には名前や住所、電話番号だけでなく、顔写真や指紋、オンライン上の識別子なども含まれます。個人情報の保護はプライバシーの確保や不正利用の防止に直結しており、現代社会において非常に重要な役割を果たしています。
2. 委託先の個人情報漏えい対策におけるポイント
委託先からの個人情報漏えいを防ぐには、契約時に委託先において必要な対策やルールの設置がなされているかを確認し、また契約後も定期的に監査を行い、契約時に確認した内容が適切に実施されているかを確認することが重要です。
■契約時に確認すべき内容
委託先と契約する際には、個人情報保護やデータ管理が適切に行われるよう、以下のポイントに注意しましょう。
|
これらのポイントを押さえた契約を結ぶことが、委託先と円滑な業務進行や問題発生時の対応に繋がります。
■個人情報保護への取り組みを盛り込んだ契約内容
個人情報を委託先に預ける業務の契約内容には、以下の要素が含まれることが望ましいです。
|
■アクセス制限などの個人情報保護措置の確認
個人情報の取扱いに関しては、アクセス制限や保護措置を講じることが重要です。データ管理者は、適切なアクセス制限を設けることで、不正アクセスや情報漏えいのリスクを減らすことができます。具体的には、以下のような対策が考えられます。
|
■定期的な監査
個人情報保護に関する取り組みには、定期的な監査が不可欠です。監査を行うことで、実施中の個人情報保護措置が適切であるかを確認し、問題が発生した場合には迅速に対応することができます。
監査の内容としては、アクセス制限やデータ管理の状況、従業員の教育状況、再委託の内容などが対象となります。
また監査の結果に基づいて、改善策を立案し実施していくことが重要です。
3. 委託先で個人情報漏えいが発生した場合の責任範囲と賠償義務
委託先で個人情報漏えいが生じた場合、企業は法律上の責任と賠償義務を負います。委託先で情報漏えいが発生した場合、委託先が損害賠償責任を負うことになりますが、委託元の使用者責任が認められ、委託元も損害賠償責任を負うとした裁判例もあります。
個人情報保護法第25条では、委託元は委託先に対する監督責任があることも明示されています。
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 出典:e-Gov法令検索「個人情報保護法第25条」 |
また、委託先が原因となった情報漏えいだとしても、多くの場合ニュース等では委託元の社名が取り上げられます。顧客や取引先の情報が漏えいしたとなれば、そのサービスへの信頼が低下することも避けられません。
4. 委託先が原因で情報漏えいが発生した場合の対応策
委託先が原因で個人情報漏えいが発生した場合、以下の対応策が考えられます。
|
事業者は、適切な対応策を練ることで、顧客への信頼回復や法的なリスクを軽減できます。また、定期的な監査や評価を行い、個人情報保護の取り組みを継続的に改善することで、リスクの見落としや早期発見につながります。
5. まとめ
この記事では、委託先の個人情報漏えい対策として契約内容やアクセス制限などを解説しました。
個人情報が漏えいした場合、関係者である個人や情報を保有する企業は、さまざまな対応が求められます。
まずは、個人情報が漏えいしない仕組みを個人や企業で作り遵守していくことが重要です。
■委託先リスク管理サービス「VendorTrustLink」
弊社では、委託先管理に課題を抱える企業に向けて、委託先リスク管理サービス「VendorTrustLink」を提供しています。
委託先の選定や監査を効率化し、リスクを可視化することができます。
委託先のリスクマネジメントにお悩みであれば、ぜひお気軽にお問合せください。
また、委託先リスク管理として企業が行うべきことをまとめた「委託先リスク管理ガイド」を公開しております。
リスク管理の必要性は認識しつつも、実際に対策を打てていなかったり、これまでのやり方を踏襲してしまったりしている方は、ぜひご参照ください。
下記のリンクより無料で資料をダウンロードいただけます。