|
2008/01/27 日曜日 14:59:02 JST |
(続プライバシーマーク入門)
昨年の7月より、毎週1回、26回に渡って連載した「プライバシーマーク入門講座」を終わり、これからは不定期の発行になるが、引き続き、時々の話題や、個人情報保護マネジメントシステムの構築や運用をもう少し掘り下げることをテーマに、雑文をお届けしたいと思う。
その第1回目として、2008年1月17日まで「パブリックコメント」を受け付けていた「経済産業省のガイドラインの改定」に関して考えてみたい。
「経済産業省のガイドライン」、正式には「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」は「個人情報の保護に関する法律」第8条に基づき経済産業省が定めるものである。
毎年、見直し・改定が行われており、昨年は平成19年3月に改定が行われた。
今年度の改定は、項目としては2~3のマイナーな改定もあるものの、中心は"業務の委託"に関するものである。
背景としては、皆様ご存知のように、昨年は業務の委託に関連した大きな個人情報の漏えい事故が幾つか発生したことがある。
それらの内、大きな話題となったものを以下に示す。
大日本印刷㈱の事例
大日本印刷㈱はコンピュータープログラムの作成・保守を業務委託しており、その委託先の従業員が、2001年5月から2006年3月までの間大日本印刷㈱内に常駐して、主に販促用ダイレクトメールを取り扱う電算処理室内に勤務していたが、その間に勤務中に不正にデータをコピーして持ち出していたとのことである。
持ち出していた情報の中には、クレジットカードの情報も含まれており、それをインターネット通販詐欺グループに売り渡し、それらが不正使用されたことで事件が発覚した。
インターネット通販詐欺グループの人間に対しては詐欺罪、顧客情報を持ち出して売った委託先の従業員に対しては詐欺ほう助(2007年2月1日逮捕)と会社のMOを盗んだとして窃盗罪(2月21日再逮捕)が適用され、逮捕・起訴された。
委託の流れは次のようになっている。
委託元企業43社→大日本印刷㈱→プログラムの作成・保守の業務委託先
委託先には、コンピュータープログラムの作成・保守を業務委託していたので、通常は当然にコンピュータにアクセスする権限は与えられており、委託という側面だけでなく、権限者による犯罪という側面も考えさせる事件であった。
この事件では、大日本印刷㈱は勿論、委託元企業43社も委託元として、自らの顧客への対応に追われ、ホームページへの謝罪文の掲載、個々の顧客への謝罪文の送付や、補償も行なわれたと聞いている。
ちなみに、実害は発生していないが、小職も被害者の一人で、2社から謝罪文が送られてきた。
㈱山口電子計算センターの事例
住民基本情報や年金情報、選挙情報等々が、Winnyを通じて漏えいしたもので、発注元は地方自治体であり、㈱山口電子計算センターが直接受託していた業務もあるが、殆どは再委託で受託したものであったこと、また、中には再委託が禁止されていながら無断で再委託が行なわれていたこと、また、事故は㈱山口電子計算センターの社員と㈱麻生情報システム(関係は下記参照)の社員が無断でデータを自宅に持ち帰り、自宅のパソコンからファイル交換ソフトWinnyを通じて情報漏えいを起こしたこと、さらにおまけとして、この㈱山口電子計算センターの社員と㈱麻生情報システムの社員は夫婦であり、自宅パソコンを共有していたことがある。
愛媛県愛南町 → ㈱デンケン → ㈱山口電子計算センター(無断再委託)
山口県山口市 → ㈱山口電子計算センター
長崎県対馬市 → ㈱BCCに㈱山口電子計算センターの人間を出向受け入れ、情報の持ち出し
秋田県北秋田市 → NEC㈱ → ㈱山口電子計算センター(再委託)
福岡県北九州市、飯塚市 → NEC㈱ →㈱山口電子計算センター(再委託):個人情報はなし
福岡県嘉麻市 → ㈱麻生情報システム
この事件では、勿論、委託元の自治体も住民への対応に追われ、ホームページへの謝罪文の掲載や、個々の住民への謝罪等も行なわれたと聞いている。
上記を含め、住民情報が関連する一連の情報漏えい事件を受けて、総務省は「住民基本台帳に係る電算処理の委託等に関する検討会」を発足し、有識者による専門的な検討を行っている。
上記の事故の概要は、「住民基本台帳に係る電算処理の委託等に関する検討会(第1回)資料3
愛南町事案等の全体像」 http://www.soumu.go.jp/menu_03/shingi_kenkyu/kenkyu/jyukidaicho/pdf/070627_1_3.pdf
に示されている。
また、上記の漏えい事件を受けて、総務省は、平成19年5月25日付けで「外部委託に伴う個人情報漏えい防止対策の徹底について」という通達を出している。
その中で、次のように述べている。
-----------------------------------------
このような事案の発生は、住民の行政に対する信頼を損なうものであり、再発防止のため徹底した対策を実施することが必要です。
このため、外部委託に伴う個人情報漏えい防止対策について、以下の措置を含め、積極的に推進して頂きますようお願いします。
・個人情報保護条例の罰則対象に受託業者を追加
・契約に違反した場合に、受託業者に対し、厳正な措置(違約金・損害賠償請求、契約解除、入札参加資格の制限等)を実施
・受託業者に対する監督(報告徴収・立入検査等)を強化
・個人情報保護を徹底するための契約事項の見直し
-----------------------------------------
また、経済産業省も、業務の委託に関わる事故の発生等を受けて、上記の如く「経済産業省のガイドライン」の改定においては、業務の委託関連の事項を中心に改定が検討され、今回、パブリックコメントの募集が行なわれた訳である。
以下に、ガイドラインの改定案の内容を示す。
詳細は経済産業省のホームページを参照願いたい。
-----------------------------------------
経済産業省のガイドライン(個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン)の改定案の内容
2-2-3-2.安全管理措置(法第20条関連)
(略)
【必要かつ適切な安全管理措置を講じているとはいえない場合】
事例1)(略)
事例2)(略)
事例3)(略)
事例4)(略)
事例5)(略)
事例6)委託する業務内容に対して必要のない個人データを提供し、受託者が個人データを漏えいした場合
(以下略)
2-2-3-2.(略)
2-2-3-4.委託先の監督(法第22条関連)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう、受託者に対し必要かつ適切な監督をしなければならない(2-1-4.「*電話帳、カーナビゲーションシステム等の取扱いについて」の場合を除く。
その際、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じた、必要かつ適切な措置を講じるものとする。
「必要かつ適切な監督」には、委託先を適切に選定すること、受託者との間で必要な契約を締結すること、受託者における委託された個人データの取扱状況を把握することが含まれる。
委託先を適切に選定するためには、委託先の個人情報保護水準が委託する当該業務内容に応じて、少なくとも法第20条で定める個人情報保護水準と同等の水準にあることを、合理的に確認することが望ましい。また、委託先の評価は適宜実施することが望ましい。
委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容とともに、受託者における委託された個人データの取扱状況を合理的に把握することを盛り込むことが望ましい。
なお、本人からの損害賠償請求に係る責務を、安全管理措置に係る責任分担を無視して一方的に受託者に課すなど、優越的地位にある者が委託者の場合、受託者に不当な負担を課すことがあってはならない。
受託者における委託された個人データの取扱状況を把握するためには、委託契約で盛り込んだ内容の実施の程度を相互に確認することが望ましい。
また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じたときは、元の委託者がその責めを負うことがあり得るので、再委託する場合は注意を要する。
なお、漏えいした場合に二次被害が発生する可能性が高い個人データ(例えば、クレジットカード情報(カード番号、有効期限等)を含む個人データ等)の取扱いを委託する場合は「必要かつ適切な監督」に含まれる3つの事項について、より高い水準で運用することが望ましい。
【受託者に必要かつ適切な監督を行っていない場合】
事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も把握せず適宜外部の事業者に委託した場合で、受託者が個人データを漏えいした場合、
事例2)個人データの取扱いに関して定めた安全管理措置の内容を受託者に指示せず結果、受託者が個人データを漏えいした場合
事例3)再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り、受託者が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合
事例4)契約の中に、委託者は受託者による再委託の実施状況を把握することが盛り込まれているにも関わらず、受託者に対して再委託に関する報告を求めるなどの必要な監督を実施せずに放置し、その結果、委託者の認知しない再委託が行われ、その再委託先が個人データを漏えいした場合
(以下略)
------------------------------------------------
これらのように、総務省は個人情報の取扱いに関して、自治体からの業者への業務委託に関して、また、経済産業省は産業分野における個人情報の取扱いに関しての業務委託に関して、その業務委託の実施における評価・選定、管理・監督等、特に委託元による「管理・監督」における強化を要求している。
ここで、「委託元の責任」について考えてみよう。
「京都宇治市住民基本台帳データ大量漏洩事件」の詳細は、ここでは繰り返さない。
ここでは、宇治市が大阪高判の出した判決を不服として、最高裁に上告したが、宇治市の上告が棄却されたことで、最高裁の判断が示され、大阪高等裁判所の判決が支持された点がある。
大阪高等裁判所による判決の内容は「宇治市住民基本台帳データ大量漏洩事件控訴審判決 大阪高等裁判所
平成13年(ネ)第1165号 損害賠償請求控訴事件」を参照のこと。
これは、宇治市が「住民基本台帳のデータを使用して乳幼児検診システムを開発することを企図し,その開発業務を民間業者に委託」したが、その再々委託先のアルバイトが、このデータを不正にコピーして、名簿販売業者に販売していた事件である。
この件に関し、宇治市民より、データの流出によって精神的苦痛を被ったとして、宇治市に対して、国家賠償法1条、民法715条の使用者責任、プライバシー権の権利侵害、等に基づいて提訴されたものである。
これらに対し、大阪高等裁判所(最終的には最高裁判所)は原審の京都地方裁判所の判決を相当であるとして、プライバシー権の侵害、並びに、宇治市と再々委託先のアルバイトとの間の実質的な指揮監督関係を認め、宇治市に対し慰謝料の支払いを命じたものである。
このように、再々委託先の、しかもアルバイトの不正行為に対して、宇治市が責任を負う結果になったことに留意する必要がある。
総務省の通達や経済産業省のガイドラインの改定を待つまでも無く、委託元は委託先を適切に管理・監督する義務があり、委託元は委託した業務が委託先でどのように実施されているかについて常に把握し、その最終的な責任を負わなければならない立場であることを考えると、業務の委託先の評価・選定、また委託先との間の契約の締結だけでなく、更には業務が実施される段階での管理・監督も疎かにはできないことがお分かり頂けると思う。
プライバシーマーク(JIS Q 15001)における委託に関する要求事項
1999年版のJIS Q 15001では、委託に関しては、次のように規定されていたが、2006年版において、その考え方が大きく変わったことに留意いただきたい。
-------------------------1999年版-----------------------------
事業者が、情報処理を委託するなどのために個人情報を預託する場合は、十分な個人情報の保護水準を満たしている者を選定する基準を確立しなければなければならない。
また、契約によって次に示す内容を規定し、その保護水準を担保しなければならない。
a) 個人情報に関する秘密保持
b) 再委託に関する事項について
c) 事故時の責任分担
d) 契約終了時の個人情報の返却及び消去
当該契約書などの書面又はこれに代わる記録を、個人情報の保有期間にわたって保存しなければならない。
------------------------2006年版------------------------------
事業者は,個人情報の取扱いの全部又は一部を委託する場合は,十分な個人情報の保護水準を満たしている者を選定しなければならない。
このため,事業者は,委託を受ける者を選定する基準を確立しなければなければならない。
事業者は,個人情報の取扱いの全部又は一部を委託する場合は,委託する個人情報の安全管理が図られるよう,委託を受けた者に対する必要、かつ、適切な監督を行わなければならない。
事業者は,次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保しなければならない。
a)委託者及び受託者の責任の明確化
b)個人情報の安全管理に関する事項
c)再委託に関する事項
d)個人情報の取扱状況に関する委託者への報告の内容及び頻度
e)契約内容が遵守されていることを委託者が確認できる事項
f)契約内容が遵守されなかった場合の措置
g)事件・事故が発生した場合の報告・連絡に関する事項
事業者は,当該契約書などの書面を少なくとも個人情報の保有期間にわたって保存しなければならない。
------------------------------------------------------------
上記を比べて頂くと分かるように、内容的には、次の3点に関して大きなスタンスの変化が見受けられるのがお分かり頂けると思う。
d)個人情報の取扱状況に関する委託者への報告の内容及び頻度
e)契約内容が遵守されていることを委託者が確認できる事項
f)契約内容が遵守されなかった場合の措置
これらは、「個人情報保護法」(経済産業省のガイドラインも同様である)の考え方を取り入れたものとなっている。
-----------------------個人情報保護法---------------------------
第二十二条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行なわなければならない。
----------------------------------------------------------------
経済産業省のガイドラインの今回の改定案においては、委託における事故の多発を受け、「個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行なう」措置の強化を求める内容になっている。
上記した、経済産業省のガイドラインの今回の改定案につき、経済産業省がその概要として公表している文章を示す。
---------------------------------------------------------------
概要
(1) 委託先に対する必要のない個人データの提供の禁止委託する業務内容に対して、委託先に必要のない個人データを提供しないことを明記。
(2) 委託先に対する「必要かつ適切な監督」の内容を明確化委託先に対して必要かつ適切な監督を行うための措置として、以下の3つを明記。
①委託先を適切に選定すること
委託先を適切に選定するためには、委託先の個人情報保護水準が委託する当該業務内容に応じて、少なくとも保護法第20条で定める個人情報保護水準と同等の水準にあることを、合理的に確認することが望ましい。また、委託先の評価は適宜実施することが望ましい。
②受託者との間で必要な契約を締結すること
委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容とともに、受託者における委託された個人データの取扱状況を合理的に把握することを契約に盛り込むことが望ましい。
③受託者における委託された個人データの取扱状況を把握すること
受託者における委託された個人データの取扱状況を把握するためには、委託契約で盛り込んだ内容の実施の程度を相互に確認することが望ましい。
なお、漏えいした場合に二次被害が発生する可能性が高い個人データ(例えば、クレジットカード情報(カード番号、有効期限等)を含む個人データ等)の取扱いを委託する場合は、上記3つの事項について、より高い水準で運用することが望ましい旨明記。
----------------------------------------------------------------
JIS Q 15001:2006に基づき、個人情報保護マネジメントシステムを構築し、JIS Q 15001:2006に基づく「委託先の監督」についての内部規定を確立し、委託先の評価・選定や契約の締結の実施、並びに委託先の管理・監督を実施している企業においては、上記の経済産業省のガイドラインの要求事項を既に取り込んで実施をしているものと思うが、今回述べてきた事項を再度確認し、貴社の業務の委託(評価・選定、契約の締結、等)が適確に実施され、委託先の管理・監督が適確に行なわれているかを再度見直して頂きたい。
特に、"JIS Q 15001:1999 4.4.4.3個人情報の委託処理に関する措置"に基づいた委託先との間の契約のみを行っていて、貴社による委託先の管理・監督を十分に行なうことができるような貴社の権利が契約書のなかで明記されていない場合は、早急な契約書の改定をお勧めする。
今回、述べてきたように、委託先における個人情報の事故に対しては貴社の委託元としての責任を逃れることができないことを念頭に、まずは、貴社による委託先の管理・監督を十分に行なえるよう、貴社の権利として契約書のなかでそれを明記し、それを実施してゆくことが重要である。
(中小企業診断士 中村 隆昭)
|
