【個人情報保護委員会が注意喚起】個人データを取り扱うクラウドサービスを利用する事業者の留意点
個人情報保護委員会から注意喚起
令和6年12月17日に、個人情報保護委員会(以下、PPC)が「人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点」について注意喚起を行いました。
そこで、令和6年にPPCが行った注意喚起について以下にまとめてみました。
公表日 |
内容 |
令和6年1月24日 |
|
令和6年3月25日 |
|
令和6年9月25日 |
|
令和6年10月30日 |
|
令和6年12月17日 |
クラウドサービスに関する注意喚起が3件あり、クラウドサービスにおいて個人データを取り扱う場合について注目されていることが伺えます。
注意喚起はクラウドサービスを提供する事業者に対する内容だけではなく、クラウドサービスを利用する事業者に対する内容もあります。
本コラムでは、令和6年12月17日に公表された「人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点」について解説し、主にクラウドサービスを利用する事業者が留意すべき点をお伝えします。
事案の概要
人事労務管理サービスのアクセス制御ミスにより、サービスで管理・保管されていた個人データが外部からアクセス可能になっており、第三者が当該個人データをダウンロードしたことにより「漏えい」が生じました。
個人データには多数の顧客企業等の従業者の氏名、生年月日、住所等に加え、雇用契約書、運転免許証、住民票、健康診断書、銀行口座の情報を示すキャッシュカードの券面、マイナンバーカード等の画像が含まれていました。
本事案は当該サービスの提供に伴い、サービスを利用している事業者から個人データの取扱いの委託を受けていたため個人データの取扱いの委託に該当します。そのため、サービスを利用している事業者(委託元)は取扱いを委託した個人データの安全管理が図られるように、サービス提供事業者(委託先)に対して必要かつ適切な監督を行う必要があります。
PPCが実施したサービス利用事業者の対応状況の調査結果
PPCが委託元であるサービス利用事業者のうち、本事案の個人データに係る本人数の多い事業者に対して、サービス提供事業者に対する監督状況についての報告徴収や調査を行いました。主な報告内容や調査結果は以下の通りです。
委託先の選定について
サービス利用事業者の多くは、事前にサービス提供事業者にセキュリティ対策の取組状況を確認していました。また、サービス提供事業者も、サービス利用事業者へのサービス提案時に自社のセキュリティ対策について説明等を行っていました。
委託契約の締結について
多くのサービス利用事業者は、サービス提供事業者が提示する利用規約についてのみ合意しており、覚書等は締結していませんでした。利用規約には、個人情報保護法ガイドライン3-4-4(2)に掲げる「個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先の双方が同意した内容」や、「委託先における委託された個人データの取扱状況を委託元が合理的に把握すること」に関する規定はありませんでした。
一部のサービス利用事業者は、利用規約以外に別途覚書等を締結していました。これらの覚書等には、サービス提供事業者における個人データの取扱いに係る安全管理措置、その実施状況の報告、監査等について規定されていました。
委託先における本件個人データの取扱状況の把握について
多くのサービス利用事業者は、定期的な監査の実施やサービス提供事業者からの定期的な安全管理措置に関する報告の受領等の、サービス提供事業者における個人データの取扱状況の把握に関する措置は実施されていませんでした。
一部のサービス利用事業者は、自ら作成した安全管理措置に関するチェックシートを用いて、サービス提供事業者に対し報告を求める等、個人データの取扱状況を把握するための一定の措置を実施していました。
クラウドサービスを利用する事業者の留意点
クラウドサービスを利用する事業者に求められる対応は、個人情報保護法ガイドライン3-4-4 委託先の監督に定められています。
取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて以下、3点について対応する必要があります。
適切なクラウドサービスの選定
クラウドサービスの選定にあたって、クラウドサービス事業者が安全管理措置を講じていることを、クラウドのセキュリティ評価を第三者がおこなうようなサービスやチェックシート等で確認する。講ずべき具体的な安全管理措置の内容は、個人情報保護法ガイドラインの10(別添)講ずべき安全管理措置に示されているので参照ください。
委託契約の締結
PPCが実施したサービス利用事業者の対応状況の調査結果にある通り、クラウドサービス提供事業者が提示する利用規約に個人データの取扱いに関する必要かつ適切な安全管理措置の実施や漏えい等が発生した時の通知・報告義務、再委託先への監督義務等が盛り込まれていないことがあります。
そのため、利用規約に必要な条項が盛り込まれているかを確認し、盛り込まれていない場合は、別途覚書等を締結する必要があります。
クラウドサービス事業者における個人データ取扱状況の把握
PPCが実施したサービス利用事業者の対応状況の調査結果から、多くのサービス利用事業者がサービスの選定時はサービス提供事業者にセキュリティ対策の取組状況を確認している一方、定期的にセキュリティ対策の取組状況を確認しているサービス利用事業者は少ないことがわかりました。
利用するクラウドサービスは増加していくため、利用しているクラウドサービスの管理や定期的にセキュリティ対策の取組状況を確認することの困難さが背景にあると思われます。
Excel等でクラウドサービスや委託先の管理を行っている企業が多いと思いますが、メンテナンスの煩雑さやクラウドサービスを利用している部門に利用状況を確認する手間が課題になります。
解決策の一つとして、クラウドサービスの管理や利用状況の把握をなるべく簡易に行うためのサービスを利用することも考え得るでしょう。
Assuredはクラウドサービスのセキュリティ評価プラットフォームですが、台帳機能や利用実態の情報収集・管理を網羅的かつ効率的に実現する「棚卸しアンケート機能」を備えているため、効率的に定期的にセキュリティ対策の取組状況を確認することが可能です。
