委託先リスク管理Blog

委託先の個人情報漏洩対策について解説!契約時のポイントと対応策

お役立ち情報情報セキュリティ

近年、委託先PCがサイバー攻撃に遭ったり、委託先の従業者が不正に個人情報を持ち出してしまうなど、委託先に預けた個人情報や機密情報が漏洩してしまう事件が後を絶ちません。委託先が個人情報や機密情報を漏洩してしまった場合、機密保持契約を結んでいたとしても、発注元は監督責任を果たしていないと見なされ、その責任は発注元にも及びます。

この記事では、委託先からの情報漏洩を防ぐために、どのようなことに気を付けるべきなのか、情報漏洩が起きてしまった場合は何をすべきかについて、解説していきます。

また弊社では、委託先のリスク管理におけるチェックシートのやりとりを自動化できる「VendorTrustLink」というサービスを提供しています。下記より製品資料をダウンロードいただけます。

 

目次
1. 個人情報漏洩の可能性がある委託業務一覧
2. 委託先の個人情報漏洩対策におけるポイント
■契約時に確認すべき内容
■個人情報保護への取り組みを盛り込んだ契約内容
■アクセス制限などの個人情報保護措置の確認
■定期的な監査
3. 個人情報漏洩が発生した場合の責任と賠償義務
4. 委託先が原因で情報漏洩が発生した場合の対応策
5. まとめ
■委託先リスク管理サービス「VendorTrustLink」

1. 個人情報漏洩の可能性がある委託業務一覧

個人情報漏洩が起こる可能性のある委託業務としては、主に以下のようなものがあります。

  • 顧客データの管理業務
  • 営業活動やマーケティング調査
  • サービス提供に伴うデータ入力や分析
  • ITシステムの開発・運用・保守
  • 改善提案などの事業推進活動

これらの業務において、委託先が適切なデータ保護措置を講じていない場合、個人情報の漏洩リスクが高まります。また、上記以外でも委託先に個人情報を渡している業務や、自社のデータベースに委託先からもアクセスが可能な場合は情報漏洩のリスクがあります。

そのため、事業者は委託業務の選定や監査に注意を払い、情報管理に関わる契約内容や責任範囲を確認することが重要です。

 

 

2. 委託先の個人情報漏洩対策におけるポイント

委託先からの個人情報漏洩を防ぐには、契約時に委託先において必要な対策やルールの設置がなされているかを確認し、また契約後も定期的に監査を行い、契約時に確認した内容が適切に実施されているかを確認することが重要です。

 

■契約時に確認すべき内容

委託先と契約する際には、個人情報保護やデータ管理が適切に行われるよう、以下のポイントに注意しましょう。

  • 個人情報の取扱いに関するルールや監督方法が明確になっているか
  • 安全管理措置やプライバシーポリシーがあるか
  • 万が一の事態に対応するための責任や賠償責任の所在

これらのポイントを押さえた契約を結ぶことが、委託先と円滑な業務進行や問題発生時の対応に繋がります。

 

 

■個人情報保護への取り組みを盛り込んだ契約内容

個人情報を委託先に預ける業務の契約内容には、以下の要素が含まれることが望ましいです。

  • 個人情報の取得・利用・管理方法に関するルール
  • 適切な保護措置の実施
  • 不正アクセスや情報漏洩の防止策
  • 事業者間での情報共有ルールの設定

 

 

■アクセス制限などの個人情報保護措置の確認

個人情報の取扱いに関しては、アクセス制限や保護措置を講じることが重要です。データ管理者は、適切なアクセス制限を設けることで、不正アクセスや情報漏洩のリスクを減らすことができます。具体的には、以下のような対策が考えられます。

  • ログインによる認証機能の実装
  • パスワードポリシーの設定
  • 不審なアクセスを検出するセキュリティソフトの導入
  • 異なる権限レベルの設定

 

 

■定期的な監査

個人情報保護に関する取り組みには、定期的な監査が不可欠です。監査を行うことで、実施中の個人情報保護措置が適切であるかを確認し、問題が発生した場合には迅速に対応することができます。

監査の内容としては、アクセス制限やデータ管理の状況、従業員の教育状況、再委託の内容などが対象となります。

また監査の結果に基づいて、改善策を立案し実施していくことが重要です。

 

 

3. 個人情報漏洩が発生した場合の責任と賠償義務

個人情報漏洩が生じた場合、企業は法律上の責任と賠償義務を負います。委託先で情報漏洩が発生した場合、委託先が損害賠償責任を負うことになりますが、委託元の使用者責任が認められ、委託元も損害賠償責任を負うとした裁判例もあります。

個人情報保護法第25条では、委託元は委託先に対する監督責任があることも明示されています。

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

出典:e-Gov法令検索「個人情報保護法第25条

 

また、委託先が原因となった情報漏洩だとしても、多くの場合ニュース等では委託元の社名が取り上げられます。顧客や取引先の情報が漏洩したとなれば、そのサービスへの信頼が低下することも避けられません。

 

 

4. 委託先が原因で情報漏洩が発生した場合の対応策

委託先が原因で個人情報漏洩が発生した場合、以下の対応策が考えられます。

  1. 速やかに委託先に確認を行い、原因や被害の範囲を把握
  2. 法律やガイドラインに従い、関係者に報告・対応
  3. 実証的なデータ漏洩の防止策を講じる
  4. 顧客への謝罪や説明、個人情報の取扱いに関する改善の取り組みを共有
  5. 委託先との契約内容を見直し、問題が改善されるまで業務委託を停止

事業者は、適切な対応策を練ることで、顧客への信頼回復や法的なリスクを軽減できます。また、定期的な監査や評価を行い、個人情報保護の取り組みを継続的に改善することで、リスクの見落としや早期発見につながります。

 

5. まとめ

この記事では、委託先の個人情報漏洩対策として契約内容やアクセス制限などを解説しました。

個人情報が漏洩した場合、関係者である個人や情報を保有する企業は、さまざまな対応が求められます。

まずは、個人情報が漏洩しない仕組みを個人や企業で作り遵守していくことが重要です。

 

■委託先リスク管理サービス「VendorTrustLink」

弊社では、委託先管理に課題を抱える企業に向けて、委託先リスク管理サービス「VendorTrustLink」を提供しています。
委託先の選定や監査を効率化し、リスクを可視化することができます。

委託先のリスクマネジメントにお悩みであれば、ぜひお気軽にお問合せください。