前回に引き続き,個人情報の保護に関する法律について,経済産業分野を対象とするガイドラインの改正案を取り上げます。前回も言及しましたが,改正案はアウトソーシングにおける委託元企業の委託先企業に対する監督義務を,検討対象に加えています。
経済産業分野のガイドラインは基本的に年1回は見直すことになっており,今回もその一環としての見直しです。ただし,「委託先,再委託先に対して委託元が十分に監督を行っていなかったことに起因する事案も多発」(注1)している状況を踏まえての改正案ですから,委託先の監督に対する現状が,改正内容には反映されていると考えられます。そこで今回は,その改正内容から逆に,委託先管理の現状についての問題点を検討していきます。
場面ごとのリスク評価を詰める必要がある
経済産業省が公表している改正案の概要は,以下のとおりです(平成19年12月「『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』の改正案(概要)」より)。
|
(1)委託先に対する必要のない個人データの提供の禁止 委託する業務内容に対して,委託先に必要のない個人データを提供しないことを明記。 (2)委託先に対する「必要かつ適切な監督」の内容を明確化 委託先に対して必要かつ適切な監督を行うための措置として,以下の3つを明記。 1.委託先を適切に選定すること 委託先を適切に選定するためには,委託先の個人情報保護水準が委託する当該業務内容に応じて,少なくとも保護法第20条で定める個人情報保護水準と同等の水準にあることを,合理的に確認することが望ましい。また,委託先の評価は適宜実施することが望ましい。 2.受託者との間で必要な契約を締結すること 委託契約には,当該個人データの取扱いに関する,必要かつ適切な安全管理措置として,委託者,受託者双方が同意した内容とともに,受託者における委託された個人データの取扱状況を合理的に把握することを契約に盛り込むことが望ましい。 3.受託者における委託された個人データの取扱状況を把握すること 受託者における委託された個人データの取扱状況を把握するためには,委託契約で盛り込んだ内容の実施の程度を相互に確認することが望ましい。 なお,漏えいした場合に二次被害が発生する可能性が高い個人データ(例えば,クレジットカード情報(カード番号,有効期限等)を含む個人データ等)の取扱いを委託する場合は,上記3つの事項について,より高い水準で運用することが望ましい旨明記。 |
まず,「(1)委託先に対する必要のない個人データの提供の禁止」ですが,これは前回も紹介したように,本当に委託先の業務に必要な範囲に限定して個人データを提供しているのか,という問題に関わります。当然やるべき対策と言うことになるでしょうが,現実にどの程度実行されているか,となるとどうでしょうか。
必要な情報を必要なだけ集め,利用する。言うのは簡単ですが,実際に行う場合には,業務ごとに必要な情報を特定し,リスク評価する必要があります。これは委託業務だけでなく,自社内部における個人情報のやりとりでも同じです。自社に情報が入ってくる場面だけでなく,利用や委託といった場面ごとのリスクをどのように評価するのか。それらを詰める必要があります。
上記に引用した改正案の概要末尾では,「なお,漏えいした場合に二次被害が発生する可能性が高い個人データ」は,より高い水準で運用することが望ましいとしています。これもリスク評価の考慮要素の1つでしょう(注2)。
認証は情報セキュリティの水準を担保しない
改正案概要の「1.委託先を適切に選定すること」も,“ごもっとも”というところですが,どうやれば適切に選定できるのでしょうか。プライバシーマークやISO/IEC 27001の認証をとっている会社を選定すればそれでよいのでしょうか。認証を取得しているということは選定の考慮要素にはなりますが,それだけで済ませることは実際的ではありません。
確かに,選定基準を自社で確立できるような会社は少数です。社内的に選定の理由を示すときに,委託先が認証を取得していれば説明しやすいということも理解できます。しかし,これらの認証規格の根幹をなしているマネジメントシステムは,あくまでも改善を行う仕組み作りの考え方,枠組みに過ぎません。具体的な情報セキュリティの水準を担保するような性質のものではありません。
特にプライバシーマークの準拠規格(JIS Q 15001)の大部分は,情報セキュリティに関するものではなく,個人情報の適正な取り扱いに関するルールとマネジメントシステム自体を示したものであり,情報セキュリティを詳細に規定するものではありません。そもそもJIS Q 15001は個人情報の本人同意,開示等を適正に行っているかを主眼に組み立てられています。消費者向けに個人情報を取り扱う企業には適していますが,アウトソーシング先となる委託先企業向きの認証制度ではないと考えられます(注3)。
従って,適切な委託先を選定するためには,委託先が認証を持っているかどうか以外に,何らかの選定基準,相手方に要求する具体的なセキュリティの水準を決めることが必要になります。
個別具体的な対策のチェックまで求められる
次に「2.受託者との間で必要な契約を締結すること」です。委託契約の締結自体は,従来のガイドラインも要求していました。今回の改正部分は,「受託者における委託された個人データの取扱状況を合理的に把握することを契約に盛り込むことが望ましい」のところです。
「3.受託者における委託された個人データの取扱状況を把握すること」も,改正のポイントは「委託契約で盛り込んだ内容の実施の程度を相互に確認することが望ましい」の部分です。
これら2,3ともに,具体的な取扱状況を把握することが改正のポイントとなっています。認証を取得しているか,セキュリティポリシーを策定しているか等の,どちらかというと外形的な把握ではなく,実際にどのような状況であるのかを把握することを求めていると考えるのが素直でしょう。このことは,当然ながら委託先選定の段階でも考慮すべき事項です。
前回紹介したプライバシーマーク取得事業者の漏えい事例において,改善結果の報告がなされています(注4)。そこで報告されているのは,業務機能ごとに担当と作業室を明確に区分する,データ記憶媒体への書き出しは必ず2名で行うなど,個別具体的な対策です。もちろん,これらの個別具体的な対策を行っていなかったことが,マネジメントシステムとしての不備であるという評価は可能でしょう。ですが,これらをマネジメントシステムの一環としての改善で対応できたかというと,現実的には難しいと思います。同様に,委託先の管理においても,個別具体的な対策が取られているかどうかまでチェックする必要があるのではないでしょうか。
次回は,このような委託先管理の現状での問題点を前提に,アウトソーシングする上での委託契約の在り方を検討したいと思います。
(注1)経済産業分野を対象とする「ガイドライン改正案の概要」より(注2)二次被害が発生する可能性の高い個人データの例として「クレジットカード情報」が挙げられています。この評価には賛否両論があり得ると思います。確かに二次被害が生じるデータではあるのですが,そのデータは容易に変更可能であり(住所など比較した場合),金銭的損害についても保険による填補が受けられる可能性が高いからです
(注3)現実には,委託先企業側が委託元から認証取得を迫られているという事情もあり,多数の委託先企業が取得している現実があります。また,自治体の中には個人情報に関わる委託業務についてプライバシーマークを入札基準としているところもありますが,あまり意味のあることだとは思えません。もちろん認証制度が無意味ということではありませんが,それぞれの制度の持つ限界を意識して利用すべきだと考えます
(注4)プライバシーマーク推進センターのリリース「大日本印刷株式会社に対し現地確認調査を実施」
→「知っておきたいIT法律入門」の記事一覧へ |
■北岡 弘章 (きたおか ひろあき)【略歴】 弁護士・弁理士。同志社大学法学部卒業,1997年弁護士登録,2004年弁理士登録。大阪弁護士会所属。企業法務,特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護,プライバシーマーク取得のためのコンサルティング,営業秘密管理に関連する相談業務や,産学連携,技術系ベンチャーの支援も行っている。 2001~2002年,堺市情報システムセキュリティ懇話会委員,2006年より大阪デジタルコンテンツビジネス創出協議会アドバイザー,情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。 【著書】 「漏洩事件Q&Aに学ぶ 個人情報保護と対策 改訂版」(日経BP社),「人事部のための個人情報保護法」共著(労務行政研究所),「SEのための法律入門」(日経BP社)など。 【ホームページ】 事務所のホームページ(http://www.i-law.jp/)の他に,ブログの「情報法考現学」(http://blog.i-law.jp/)も執筆中。 |
