個人情報保護委員会の注意喚起-「人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について(注意喚起)」について

  • 個人情報・プライバシー保護
  • #個人情報保護法

弁護士: 玄 政和

第1 はじめに

個人情報保護委員会は2024年12月17日、クラウド型人事労務管理サービスにおける重大な個人データ漏えい事案について注意喚起を発表しました(以下「本件注意喚起」といいます。)。本事案は、当該サービスを提供する会社及びサービスを利用する顧客企業それぞれに対し、人事労務管理サービスにおける個人データの取扱いに関する留意点を指摘しています。

第2 事案の概要

クラウド型人事労務管理サービスを提供するA社のシステム(以下「本件システム」といいます。)は、顧客企業等が、クラウド環境で従業者の人事労務管理を行うためのシステムであるところ、顧客企業等は、本件個人データを本件システム内に保管・管理し、本件個人データの取扱いを、本件システムをサービス提供するA社に委託していました(顧客企業等が本件個人データの取扱いについての委託元、A社が委託先という関係)。

そのような中で、顧客企業や店舗(以下「顧客企業等」といいます。)が取り扱う個人データ(以下「本件個人データ」といいます。)が、外部の者のダウンロードにより漏えいしました。漏えいした個人データの中には、氏名、生年月日、住所等の基本情報に加え、以下の情報が含まれていました。

 雇用契約書、運転免許証、住民票、 健康診断書、 銀行口座情報を示すキャッシュカードの券面情報(クレジットカード番号が記載されているものもあった)、マイナンバーカード等の画像

調査の結果、漏えいが発生したのは、本件システムの開発時の設定に関するミスにより、サービス提供開始時から、特定の操作により本件システムのサーバに、外部からアクセス可能な状態となっていたことが理由であることが判明しました。

第3 本件注意喚起の概要

1 A社(委託先)に対する留意点

本件注意喚起が委託先に対する留意点として指摘しているのは、個人データの安全管理措置(個人情報保護法第 23 条)です。

本件注意喚起は、個人情報の保護に関する法律についてのガイドライン(通則編)(以下 「個人情報保護法ガイドライン」という。)の「3-4-2 安全管理措置(法第 23 条関係)」の以下の記載を引用しています。

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損(以下「漏えい等」という。)の防止その他の個人データの安全管理のため、必要かつ適切な措置を講じなければならないが、当該措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容としなければならない。

そのうえで、本事案のように、漏えい等をした場合に本人の重大な権利利益の侵害が発生するおそれのある個人データを、クラウド環境を利用したシステム上で顧客のために大量に取り扱うサービスを開発・提供する場合には、特にアクセス制御の点や不正アクセス等を防止するための措置について、開発段階から注意して設計し、ユーザーの利便性に偏らない安全なシステムを構築し、サービス提供をすることが重要である旨(いわゆる「セキュリティ・バイ・デザイン」の考え方)、及び、システムに係る網羅的な脆弱性診断等を実施するなど、継続的な見直しが大切である旨指摘を行っています(ガイドラインの関連する規定として、個人情報保護法ガイドライン 10-3 及び 10-6、特定個人情報の適正な取扱いに関するガイドライン(事業者編)(別添1)2-C 及び2-F 参照)等が問題となるとしています)。

また、「留意点のまとめ」の箇所では、クラウドサービスの提供に際し、あらかじめ、必要かつ適切な安全管理措置等に係る記載を盛り込んだ利用規約等の整備に努めるように求めています。

2 顧客企業等(委託元)に対して

本件注意喚起が委託元に対する留意点として指摘しているのは、個人データの委託先に対する監督(個人情報保護法第 25 条)です。

本件注意喚起は、個人情報の保護に関する法律についてのガイドライン(通則編)(以下 「個人情報保護法ガイドライン」という。)の「3-4-4」の以下の記載を引用しています。

取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、 個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない。

ここでいう(1)~(3)とは、(1) 委託先の選定、(2) 委託契約の締結、(3) 委託先における本件個人データの取扱状況の把握です。本件注意喚起は、それぞれについて、以下のように指摘しています(※要約・一部省略)。

(1) 委託先の選定について
顧客企業等の多くは、事前に、A社に対し、セキュリティ対策の取組状況を確認していることが認められ、A社も、顧客企業等へのサービス提案時に 自社のセキュリティ対策について説明等を行っていた。

(2) 委託契約の締結について
① 多くの顧客企業等は、A社が提示する利用規約(以下「本件利用規約」という。)についてのみ合意しており、覚書等は締結していなかった。本件利用規約の合意のみであったこと自体が、個人情報保護法上や番号法上、直ちに問題というわけではないが、本件システムは、漏えい等した場合に本人の重大な権利利益の侵害が発生するおそれのある個人データを大量に保管するシステムであるにもかかわ らず、本件利用規約には、個人情報保護法ガイドライン 3-4-4(2)に掲げる「個人 データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先の双方が同意した内容」や、「委託先における委託された個人データの取扱状況を委託元が合理的に把握すること」に関する規定はなかった。
(一般的な秘密保持に関する事項や、A社における本件個人データの取扱いについて同社のプライバシーポリシーに従うという点が記載されるにとどまっていた。)。

②一部の顧客企業等は、本件利用規約以外に別途覚書等を締結していた。これらの覚書等には、A社における本件個人データの取扱いに係る安全管理措置、その実施状況の報告、監査等について規定されていた。また、当事者双方合意の下、A社における本件個人データの安全管理措置に関するチェックシートを用いて、契約締結前及び契約締結後も定期的に、A社における本件個人データの取扱状況を確認していた顧客企業等も認められた。

(3) 委託先における本件個人データの取扱状況の把握について
一部の顧客企業等においては、自ら作成した安全管理措置に関するチェックシートを用いて、A社に対し報告を求める等、本件個人データの取扱状況を把握するための一定の措置を実施していることが認められた。

(4) 小括
委託先に対する監督を一定程度実施していたとしても、委託先における個人データの漏えい等事態を回避することができなかったと思われるケースがあるが、平時において契約に安全管理措置に関する規定を設けたり、委託先における安全管理に関するチェックシート等を利用したりすることにより、開発・提供事業者(委託先)と利用事業者(委託元)の双方において、個人データの安全管理について意識を高めていただくことにより、漏えい等事態が生ずる可能性を低減できるものと考える。

 

第4 おわりに

本件システムのような人事労務管理サービスに限らず、顧客企業等の個人データの管理を支援するクラウド型のサービスは多数存在します。

サービス提供企業は、自社が委託先として個人データの取扱いを受ける立場であることに鑑み、サービス・システム設計・開発の段階からセキュリティを意識していく必要があり、利用規約における安全管理措置に関する記載や、実際の安全管理措置の運用体制についてもしっかりと構築していく必要があります。

サービス利用企業は、利用するサービスにおける利用規約やサービス提供企業が公表しているセキュリティに関する情報を収集し、適切なサービスを選定するとともに、サービス提供企業との間で別途覚書を締結したり、安全管理措置に関するチェックシートを用いて、サービス提供企業に対し報告を求める等、可能な範囲で委託先の監督を行う必要があります。

当事務所では、サービス提供企業・サービス利用企業それぞれの立場に対し、上記のような、個人情報保護法上求められる対応について法的なアドバイス・サポートを行っております。お気軽にご相談ください。

*ツール・サービス導入に際しての法的問題に関するアドバイスの実例については、こちらの記事もご参照ください。