情報セキュリティ対策を考える上で,アウトソーシングの問題は避けることができません。他方,何をいまさらという感じを持たれるかもしれません。確かに,個人情報保護法の全面施行時(2005年4月)に委託先管理についてかなり騒がれた面もあり,それなりに対策が進んでいるかのような印象があります。ですが,十分な対策が本当に行われていると言えるでしょうか。
セキュリティ対策には機密性,完全性,可用性,それぞれの対策が求められます。個人情報保護法の対策は,これらのうち情報漏えい対策を中心とした機密性の問題に偏っていたのではないでしょうか。もちろん,個人情報の場合,法律上,完全性にかかわる「情報の正確性」は努力義務とされています。また,風評(レピュテーション)リスクを含め,やはり漏えいの問題がリスクとしては一番大きいと考えること自体は問題ありません。それでも,それ以外の対策がほとんど考慮されていなかったのではないかと思います。
現在,金融商品取引法の内部統制の観点から,情報の正確性や正確性を確保するためのIT統制が注目を浴びています。IT統制として要求されていること自体は,情報セキュリティの教科書的な対策です。もともと当然実施しておくべき内容であり,個人情報保護法の対策の際に,総合的なバランスのとれた情報セキュリティ対策を実施している企業であれば,新たな対応はさほど必要なかったはずです。多くの企業にとって,内部統制がらみのIT統制への対応が場当たり的でないことを願うばかりですが,仮に場当たり的な対策だとすれば,それによってひずみがさらに拡大し,本当に必要な対策が講じられていない可能性があります。それが今回のシリーズの問題意識です。
委託業務に必要のないデータは委託先に渡さない
企業が業務委託先にアウトソーシングする情報は,個人情報に限りません。個人情報とそれ以外の機密情報ではリスクが異なるはずですが,委託先では情報管理の対象として同じように扱われているのではないでしょうか。もちろん,個人情報とそれ以外の機密情報が混在する場合もあるでしょうが,それでも個人情報が漏えいした場合とそうでない場合は,その後の対応は大きく違います。
個人情報は個人という第三者が絡む問題です。それ以外の機密情報は,情報の保有者自身がどの程度厳格に管理するかを自由に判断できます。その点でリスクに対する考え方は,両者で大きく異なるはずです。アウトソーシングする情報の性質によりリスクが異なること自体は,多くの事業者が理解しているところだと思います。ですが,それを業務委託契約書等に反映しているでしょうか。私の印象では,業務委託契約書等の委託先管理に関する条項は,委託情報によらず画一的なものが多いように感じられます。また,その前提として,どのような委託先を選定すべきかについても,非常に抽象的な委託先選定基準しかなく,また,情報の種類に応じた選定基準も設けられていないことがほとんどではないでしょうか。
画一的な業務委託契約書,画一的な委託先選定基準によって,委託先の情報セキュリティ対策が万全になされ,情報漏えい等の事故が生じていないということであれば,とやかく言う必要はありません。ですが,実際には情報漏えい事故は,多くの企業で発生しています。
例えば,2007年にはプライバシーマーク取得事業者である大日本印刷(受託者)で個人情報の漏えい事件が発生し,委託元企業43社の個人情報約864万件が流出しました。この事件では,膨大な漏えい件数だけでなく,委託情報にクレジットカード番号が含まれていたことが大きな問題となりました。クレジットカード番号の漏えい自体ももちろん問題ですが,DM(ダイレクトメール)発送という委託業務内容で,委託元企業がクレジットカード番号を委託者に渡す必要が果たしてあったのかが問題になったのです。また,多くの企業では,プライバシーマーク取得事業者を委託先選定の基準として採用しています。しかし,この事件はプライバシーマーク取得事業者である大日本印刷で発生しました。そのことは,同マークが委託先の選定基準として果たして有効なのかという問題も提起しました。
委託業務内容に必要のないデータは委託先に渡さない。これはリスク管理の基本のように思いますが,実際にはあまりできていないのではないでしょうか。おそらく,このような実態を踏まえ,2007年12月に公表された「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案(注1)の「2-2-3-4.委託先の監督(法第22条関連)」の項目で「委託する業務内容に対して必要の無い個人データを提供しないようにすることは当然のこととして,取扱いを委託する個人データの内容を踏まえ」て管理する旨の一文が追加されています。
この追加予定の一文でもわざわざ「当然のこととして」書かなければならないほど,企業の多くは委託するデータの内容に無頓着ではないのでしょうか。そこで,次回からは現状のアウトソーシング管理,契約の問題点について検討を加え,さらに,今後どのような見直しを行っていくべきかを考えていきたいと思います。
(注1)経済産業省のガイドライン改正案については,意見募集中案件のページで参照できる→「知っておきたいIT法律入門」の記事一覧へ |
■北岡 弘章 (きたおか ひろあき)【略歴】 弁護士・弁理士。同志社大学法学部卒業,1997年弁護士登録,2004年弁理士登録。大阪弁護士会所属。企業法務,特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護,プライバシーマーク取得のためのコンサルティング,営業秘密管理に関連する相談業務や,産学連携,技術系ベンチャーの支援も行っている。 2001~2002年,堺市情報システムセキュリティ懇話会委員,2006年より大阪デジタルコンテンツビジネス創出協議会アドバイザー,情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。 【著書】 「漏洩事件Q&Aに学ぶ 個人情報保護と対策 改訂版」(日経BP社),「人事部のための個人情報保護法」共著(労務行政研究所),「SEのための法律入門」(日経BP社)など。 【ホームページ】 事務所のホームページ(http://www.i-law.jp/)の他に,ブログの「情報法考現学」(http://blog.i-law.jp/)も執筆中。 |
