近年、委託先PCがサイバー攻撃に遭ったり、委託先の従業者が不正に個人情報を持ち出してしまうなど、委託先に預けた個人情報や機密情報が漏えいしてしまう事件が後を絶ちません。委託先が個人情報や機密情報を漏えいしてしまった場合、機密保持契約を結んでいたとしても、発注元は監督責任を果たしていないと見なされ、その責任は発注元にも及びます。
この記事では、委託先からの情報漏えいを防ぐために、どのようなことに気を付けるべきなのか、情報漏えいが起きてしまった場合は何をすべきかについて、解説していきます。
委託先から個人情報が漏えいした事例については、下記の記事で紹介しています。
また弊社では、委託先のリスク管理におけるチェックシートのやりとりを自動化できる「VendorTrustLink」というサービスを提供しています。下記より製品資料をダウンロードいただけます。
1. 個人情報漏えいの可能性がある委託業務一覧
個人情報漏えいが起こる可能性のある委託業務としては、主に以下のようなものがあります。
|
これらの業務において、委託先が適切なデータ保護措置を講じていない場合、個人情報の漏えいリスクが高まります。また、上記以外でも委託先に個人情報を渡している業務や、自社のデータベースに委託先からもアクセスが可能な場合は情報漏えいのリスクがあります。
そのため、事業者は委託業務の選定や監査に注意を払い、情報管理に関わる契約内容や責任範囲を確認することが重要です。
■委託先管理とは
委託先管理とは、サイバーセキュリティやコンプライアンス、製品の不備、ハラスメントといった委託先におけるリスクによって、企業が倒産しないように、委託先を管理することです。
具体的には、以下のような手順で委託先管理を行います。
- 委託先管理のガイドラインを作成する
- 委託先管理のチェックシートを作成する
- 委託先をリストアップする
- 委託先のリスクを確認する
委託先管理とは?目的や必要な理由、実施する際のポイントを解説
■個人情報とは
個人情報とは、個人情報保護法に基づいて保護されている、特定の個人を識別できる情報です。個人の情報には名前や住所、電話番号だけでなく、顔写真や指紋、オンライン上の識別子なども含まれます。個人情報の保護はプライバシーの確保や不正利用の防止に直結しており、現代社会において非常に重要な役割を果たしています。
2. 委託先による個人情報漏洩の委託元の責任
委託先で個人情報漏えいが生じた場合、企業は法律上の責任と賠償義務を負います。委託先で情報漏えいが発生した場合、委託先が損害賠償責任を負うことになりますが、委託元の使用者責任が認められ、委託元も損害賠償責任を負うとした裁判例もあります。
個人情報保護法第25条では、委託元は委託先に対する監督責任があることも明示されています。
また、委託先が原因となった情報漏えいだとしても、多くの場合ニュース等では委託元の社名が取り上げられます。顧客や取引先の情報が漏えいしたとなれば、そのサービスへの信頼が低下することも避けられません。
■個人情報保護法に基づく監督責任
個人情報を取り扱う事業者は、個人データの取り扱いの全部又は一部を外部の事業者へ委託する際に、委託先が適切に個人データを取り扱うように監督する義務を負います。(個人情報保護法第25条)
|
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 出典:e-Gov法令検索「個人情報保護法第25条」 |
単に契約を結ぶだけではなく、委託先が個人情報を適切に取り扱っているかどうかを確認する責任があるということです委託元が適切な監督を行っていなかったと判断された場合、委託元企業も法律上の責任を問われる可能性があります。
個人データの取扱いを委託する際には、委託先の選定段階から個人情報保護の体制が整っているかを評価し、契約後も定期的に監査や評価を行うことが重要です。
【関連記事】
■民法に基づく使用者責任
使用者責任とは、委託先が業務を遂行する過程で個人情報を漏洩した場合、委託元企業がその結果に対して負う責任です。民法第715条に基づき、委託元企業は委託先がその業務を行うにあたり第三者に損害を与えた場合、その損害を賠償する責任を負うとされています。委託元企業は業務の一部を委託する際に、委託先の選定や業務遂行の監督を適切に行う義務があるため、これを怠った場合に責任を問われるわけです。
|
ある事業のために他人を使用する者は、被用者がその事業の執行について第三者に加えた損害を賠償する責任を負う。ただし、使用者が被用者の選任及びその事業の監督について相当の注意をしたとき、又は相当の注意をしても損害が生ずべきであったときは、この限りでない。 引用:民法第715条 |
■損害賠償責任が発生するリスク
委託先が個人情報を漏洩した場合、委託元企業は漏洩に対する損害賠償責任を負う可能性があります。個人情報が悪用された場合には、被害者からの訴訟リスクも考慮しなければなりません。これらのリスクを軽減するためには、委託先の選定や契約内容の見直し、定期的な監査が必要です。
■企業としての社会的責任
委託先が個人情報を漏洩した場合、委託元企業も社会的責任を免れません。委託先での個人情報の漏洩は、委託元企業が法的な責任を問われるだけでなく、企業としての信頼を失墜させる恐れがあります。
■報告義務
個人情報を取り扱う全ての事業者には、個人情報漏洩が発生した場合に関係機関へ速やかに報告する義務があります。
- 報告義務が発生するケースは以下の4つです。
- 要配慮個人情報が含まれる場合
- 財産的被害が発生する恐れがある場合
- 不正目的による漏えいが発生した場合
- 大規模な漏えいが発生した場合
また、影響を受ける可能性のある個人にも通知し、適切な対応を促す必要があります。
【関連記事】
個人情報漏えい時の報告義務とは?本人への通知が必要な場合や具体例、手続きを解説
3. 委託先の個人情報漏えい対策におけるポイント
委託先からの個人情報漏えいを防ぐには、契約時に委託先において必要な対策やルールの設置がなされているかを確認し、また契約後も定期的に監査を行い、契約時に確認した内容が適切に実施されているかを確認することが重要です。
■契約時に確認すべき内容
委託先と契約する際には、個人情報保護やデータ管理が適切に行われるよう、以下のポイントに注意しましょう。
|
これらのポイントを押さえた契約を結ぶことが、委託先と円滑な業務進行や問題発生時の対応に繋がります。
■個人情報保護への取り組みを盛り込んだ契約内容
個人情報を委託先に預ける業務の契約内容には、以下の要素が含まれることが望ましいです。
|
■アクセス制限などの個人情報保護措置の確認
個人情報の取扱いに関しては、アクセス制限や保護措置を講じることが重要です。データ管理者は、適切なアクセス制限を設けることで、不正アクセスや情報漏えいのリスクを減らすことができます。具体的には、以下のような対策が考えられます。
|
■定期的な監査
個人情報保護に関する取り組みには、定期的な監査が不可欠です。監査を行うことで、実施中の個人情報保護措置が適切であるかを確認し、問題が発生した場合には迅速に対応することができます。
監査の内容としては、アクセス制限やデータ管理の状況、従業員の教育状況、再委託の内容などが対象となります。
また監査の結果に基づいて、改善策を立案し実施していくことが重要です。
【関連記事】
4. 委託先が原因で情報漏えいが発生した場合の対応策
委託先が原因で個人情報漏えいが発生した場合、以下の対応策が考えられます。
|
事業者は、適切な対応策を練ることで、顧客への信頼回復や法的なリスクを軽減できます。また、定期的な監査や評価を行い、個人情報保護の取り組みを継続的に改善することで、リスクの見落としや早期発見につながります。
5. まとめ
この記事では、委託先の個人情報漏えい対策として契約内容やアクセス制限などを解説しました。
個人情報が漏えいした場合、関係者である個人や情報を保有する企業は、さまざまな対応が求められます。
まずは、個人情報が漏えいしない仕組みを個人や企業で作り遵守していくことが重要です。
■委託先リスク管理サービス「VendorTrustLink」
弊社では、委託先管理に課題を抱える企業に向けて、委託先リスク管理サービス「VendorTrustLink」を提供しています。
委託先の選定や監査を効率化し、リスクを可視化することができます。
委託先のリスクマネジメントにお悩みであれば、ぜひお気軽にお問合せください。
また、委託先リスク管理として企業が行うべきことをまとめた「委託先リスク管理ガイド」を公開しております。
リスク管理の必要性は認識しつつも、実際に対策を打てていなかったり、これまでのやり方を踏襲してしまったりしている方は、ぜひご参照ください。
下記のリンクより無料で資料をダウンロードいただけます。
