情報セキュリティやIT運用、テクノロジーに関する最新の動向、
弊社商品の情報などをご紹介するサイト

Sky株式会社

SKYSEA Client View
情報セキュリティ対策
公開日2024.02.14更新日2024.04.01

法のプロが詳しく解説!委託先での個人情報流出、自社の責任はどこまで?
法的リスクを軽減するための予防措置とは

著者:Sky株式会社

委託先での個人情報流出、自社の責任はどこまで?<br>法的リスクを軽減するための予防措置とは

個人情報の利活用において、情報漏洩を防ぐための予防措置が重要であることは言うまでもありません。特に、直接のコントロールが難しい業務委託先の従業員、あるいは再委託先の従業員からの漏洩については、どのような対策をすればいいかよくわからないという事業者も多いのではないでしょうか。そこで今回は、委託元のリスクを軽減するために有効な予防措置について、個人情報の取扱いに詳しい村田 充章 弁護士に解説していただきました。

弁護士(大阪弁護士会)
弁護士法人
英知法律事務所(会長 岡村久道弁護士)所属

村田 充章

弁護士。同志社大卒。2018年、弁護士登録(大阪弁護士会)。同年、弁護士法人英知法律事務所へ入所し、現在、同事務所パートナー弁護士。取扱い分野は、民事・商事法務一般のほか、特に、個人情報保護法務、保険法務(火災新種保険)、契約法務、M&A法務、労働法関連法務等を中心に取り扱っている。

個人情報を提供する際に
委託元に求められる3つの視点

自社が顧客から提供を受けた個人情報を委託先に提供して、委託先の従業員がその個人情報を漏洩させてしまった場合、自社(委託元)はどこまで責任追及を受けるのでしょうか? 本記事では、個人情報取扱事業者が事実上または法律上のリスクを軽減するために、委託先に対してどのような予防措置を講じておくことが有効なのかを検討していきます。なお、委託元と委託先との関係や委託内容はさまざまであるため、本記事で解説していることはあらゆる事案での最適解ではなく、対策を検討するための“たたき台”の一つとして参考にしていただければ幸いです。

個人情報の取扱いに関する委託元・委託先の関係については、個人情報保護法(以下、「法」)第25条において、委託元による委託先への監督が義務づけられています。そのため、本記事でもこの義務の遵守を軸とした予防措置を解説していきます。

委託先からの個人情報流出に対する予防措置を検討する視点として、実務的には次の3つが重要です。

現実的な漏洩防止に役立つか

委託先による個人データの取扱い状況も踏まえて、現実的に漏洩防止に役立つ措置になっているかを検討します。法25条の直接的な趣旨であり、最も基本かつ重要な視点です。

漏洩が起こった場合、
結果として自社の法的責任を軽減できるか

委託元が、委託先について適切な監督等を行っていない(監督すべき事項について報告を要求していないなどの)場合には、委託元固有の責任が認定される可能性があります。そのため、仮に漏洩が生じた場合でも、自社の法的責任を軽減するため、委託先の選定や委託元がなしうる限りでの監督を適切に実行していることが大切です。

自社が顧客に対し賠償を行った後、
委託先に対する求償請求の実現に役立つか

情報漏洩が発生した場合、まずは顧客と直接取引関係にある委託元が顧客対応を行い、その後、委託先に対して求償請求を行います。IT技術が発達した現在、情報漏洩による損害は多額になるケースも少なくないため、事前に委託先が賠償能力を有しているか確認しておくという視点は極めて重要です。

  • 委託先の法的責任に関しては、使用者責任(民法715条)を認定した裁判例が多いのですが、委託先固有の一般不法行為責任(民法709条)を認定した裁判例(東京高等裁判所 令和1年6月27日)もあります。同裁判例は、再委託先の従業員がPCに私物スマートフォンを接続して情報を取り出した事案です。
    委託先においては「PCに機器を接続しての情報の書き出しを制御する措置(書出制御措置)を採らなかった固有の過失があること」、委託元においても「委託先に書出制御措置の対応状況について適切に報告を求めていなかった固有の過失があること」を認定。それぞれ一般不法行為責任を認めました。原告からは委託元の委託先選任に係る責任も主張されています。また、同種事例における別の裁判例(大阪高高等裁判所令和1年11月20日)では、再委託先従業員による執務室内への個人スマートフォンの持ち込み禁止について、適切に監督をすべき注意義務を怠ったとして、委託元の固有の過失を認定しています。

委託先を厳しく監督したら使用者責任は追及されやすくなる?

委託先への監督を徹底することで、かえって委託元の使用者責任が追及されやすくなるのでは? と思われる方もいるかもしれません。しかし、「使用者責任における指揮監督」とは委託業務に対するものであるのに対し、「法25条に規定する委託先への監督」とは当該委託業務に付随する個人データの取扱いに対するものです。両者は異なるものであり、法25条に規定されているように監督を徹底したからといって、ただちに使用者責任を問われるわけではないと考えられます。

ガイドラインから読み解く
委託先への“監督義務”とは?

ここからは各種ガイドラインなどに沿って、個人情報を提供する際に委託元が取るべき対策を考えていきましょう。前述のとおり、法第25条は委託元に「委託先の監督」を義務づけています。具体的には、

①委託先の適切な選定
②適切な内容での委託契約の締結
③委託先における個人情報取扱い状況の把握

です。さらに必要に応じて、

④委託契約等の見直し

を行うべきとされています。それぞれの項目において必要とされる対応は以下のとおりです。

①委託先の適切な選定

まずは「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報保護委員会)、「金融分野における個人情報保護に関するガイドライン」(個人情報保護委員会・金融庁)などを踏まえて、適切な委託先の条件を考えてみます。委託先を選定する際の基本的な考え方は、「委託先においても法第23条に規定する安全管理措置が実施されることを、委託元が事前に確認できるような選定基準を定めて、それに従って適切に選定を実施すること」です。

  • 「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報保護委員会)3-4-4(2)では以下のように規定されています。
    「委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい」

具体的な確認事項については「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」(金融庁)を参考に、以下のとおり整理しました。

委任先の選定時に確認しておくべき事項
取扱規程の確認 委託先には個人情報の取扱いに関する規定が存在するのか、存在する場合は何について定めた規定であるかを確認します。
体制整備の確認 委託先が法第23条による安全管理義務を認識し、対応できる措置を整えているか確認します。また、トラブルがあった際に相談できる、個人情報保護に詳しい外部相談先があるかどうかのチェックも重要です。
実績に基づく
委託先の信用度		 委託先が過去に個人データの取扱いを受託して適正に管理した実績があるか、過去に漏洩事故の発生がないかをチェックします。万が一、漏洩事故があった場合は、時期と漏洩内容、現在実行されている再発防止策を確認しましょう。
経営の健全性 もし委託先の経営状況が悪化した場合、委託先が安全管理体制にリソースを割かなくなる可能性があるため、経営の健全性を確認しておくことは有用です。もっとも、委託先の具体的な経営状況を確認するのは困難な場合が多いので、経営不振の情報があったらそれも参考にして選定するという視点を委託元として持っていることが大切です。
賠償能力の確認 委託先が情報漏洩時に対応できる保険に加入しているかを確認します。必要であれば、保険証券の提出を求めましょう。

の視点を考慮すると、委託後に監督を行うだけでなく、委託前もガイドラインに沿った適切な選定基準を立てて、それに則った選定を行うことが重要です。これは委託元の法的リスクの軽減につながると考えられます。

同様にの視点より、委託先による保険の加入状況など、委託先に係るリスク状況についても十分に把握しておくのが望ましいでしょう。

これらの確認方法としては、確認事項の一覧を選定候補である委託先に送付し、疎明書類を添付した回答書の提出を求める方法が考えられます。さらに必要に応じて、物理的な安全管理措置の実施状況を現地確認することも想定されます。

②適切な内容での委託契約の締結

こちらも「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報保護委員会)や「信用分野における個人情報保護に関するガイドライン」(個人情報保護委員会・経済産業省)などを参考に検討します。前者のガイドラインでは、委託先の適切な情報の取扱いや、委託先による情報の取扱い状況を委託元が合理的に把握することを具体化した規定を、委託契約において定めるのが望ましいとされています。後者のガイドラインでは委託契約書に記載する項目の例が列挙されていますが、実務においては委託元と委託先との関係等により、委託元の要望が100%通らない場合もあります。法の趣旨や実務的対応を見据えてどの項目が重要かを判断し、重要な項目から押さえることが肝要です。

なお契約書については、委託先による個人データの取扱いに関して、ある程度詳細な内容を規定すべきだと考えます。そのため、委託契約書にこれらの規定を記載する方法もありますが、「個人情報取扱いに係る合意書」のように別途合意書を作成するのが望ましいでしょう。

委託契約時に押さえるべき内容としては、まず委託先における適切な情報の取扱いの義務づけがあります。これは、一般的な秘密保持契約と同様、「目的外利用の禁止」「適切な取扱い・保管」「契約終了時の適切な廃棄」などが主な要素になります。

中でも「適切な取扱い・保管」の具体的な内容について、「個人情報の保護に関する法律についてのガイドライン(通則編)」(個人情報保護委員会)で示されている安全管理措置の具体例を参考に、どこまで契約内容に落とし込んで委託先に義務づけるか、優先すべき重要項目は何か、という視点で検討します。

さらに、冒頭で整理した❷❸の視点に沿ってポイントを挙げると、以下のとおりです。

個人情報の適切な取扱い・保管に関して事前に検討しておきたいポイント

漏洩が起こった場合、結果として自社の法的責任を軽減できるか

委託元が契約後に監督を行うため、上記で定めた安全管理措置の実施において、委託先にその記録の保存や、必要に応じた委託元への報告を義務づける規定を設けます。その際、具体的にどこまで報告を求めるか、実務的には悩ましい部分ですが、漏洩行為に直結する重要事項(外部からの不正アクセスに対するセキュリティ製品等の措置、内部者による不正持ち出しに対する物理的・技術的防止措置など)に関する監督はやはり大切です。

この点をケアすることが、委託元の法的責任の軽減に直結すると思います。

自社が顧客に対し賠償を行った後、委託先に対する求償請求の実現に役立つか

漏洩事故に対応できる適切な保険への加入と、その継続が重要です。

ここまで挙げてきたポイントを踏まえると、委託先の義務として委託契約に規定するべき事項は以下のようになります。

組織的
安全管理措置
・委託先は、情報の適切な取扱いを実現するために、取扱責任者の設置など必要な体制を整備し、体制図を委託元へ提出すること。取扱責任者または体制の変更があった場合は、速やかに委託元へ報告すること。
→契約書に責任者名を明記するという方法もあります。
物理的
安全管理措置
・委託先は、個人データを取扱うPC等が置かれている場所の入退室管理を行い、管理記録および当該PCのアクセスログを本契約期間中 / ○か月間保管すること。
→管理記録の保管を明確に定めることで、情報漏洩行為の実行を抑制する趣旨があります。
・委託先は、個人データを取扱うPCや個人データを記録した電子媒体等の持ち出し、私物機器(USBなど)の接続、その他委託元が禁じた事項を従業員に行わせないこと。仮に、これらの禁止事項に反する事態が生じた場合はそれを記録し、委託元に報告すること。
→アナログ的な情報漏洩行為に着目して、強く監督する趣旨があります。また、その時々の漏洩手法のトレンドに合わせて、委託元からの指示に幅を持たせています。
技術的
安全管理措置
・委託先は、情報への適切なアクセス制限(ID・パスワードの設定、アクセス権を持つ従業員の選定など)を行うこと。
・委託先は、外部からの不正アクセスや不正な情報の書き出しを防止するため、セキュリティ対策製品などを設定し、最新の状態を保つこと。これらソフトウェアの変更があった場合は、速やかに委託元へ報告すること。
→デジタル的な情報漏洩行為に着目して、強く監督する趣旨があります。
再委託
・委託元の事前の承諾がない限り、再委託を禁止すること。もし再委託をする場合は、委託先が負担する情報管理の義務と同程度の義務を再委託先にも課し、その契約書案の写しを提出して委託元の承諾を得ること。
保険
・委託先は、情報漏洩事故に対応している賠償責任保険に加入し、その保険証券の写しを委託元へ提出すること。
→想定される損害額に対応できる保険金額であるかの確認も重要です。
漏洩事故の
発生時
・情報漏洩があった場合、漏洩した情報の内容やその経緯、現在の状況、再発防止策などを委託元へ速やかに報告し、委託元からの調査に協力すること。
全般的な監督
・委託元は、契約期間中に年1回の頻度で、委託先の情報管理状況に関する質問を書面で行うことができ、委託先はそれに回答すること。
→確認すべき事項を一覧にして、定期的に報告させることを想定しています。

③委託先における個人情報取扱い状況の把握

契約後は、委託先から定期的な報告を受けたり、必要に応じて委託元が調査・確認を行ったりして、委託先の監督を行います。委託先からの報告を要求する方法としては、委託元が報告書の書式をあらかじめ準備して、委託先に記入・提出してもらうのも有効です。報告書の内容としては、右記の項目などが考えられます。

  • 取扱責任者や管理体制、セキュリティ製品等の変更がないか
  • 契約時に禁止された事項について違反が発生していないか
  • 再委託が行われていないか
  • 適切な保険への加入が継続されているか

④委託契約等の見直し

②で定めた「目的外利用の禁止」「適切な取扱い・保管」「契約終了時の適切な廃棄」の3つは、いったん決めてしまえばそれで終わり、というわけではありません。取り扱う情報の重要度、委託元と委託先との関係性、委託先の業務実績などを踏まえて、定期的に見直しを図ることが大切です。

おわりに

本記事では、個人情報の取扱いを委託するケースにおいて、委託元が委託先をどのように監督すれば事実上または法律上のリスクを軽減できるかについて検討してきました。今後も、企業価値を維持・向上させるアウトソーシングの重要性は変わらないと思われます。その中で、個人情報保護の観点から委託先による個人データの管理をいかにコントロールしていくかについて、本記事を検討・見直しの契機にしていただければ幸いです。

(「SKYSEA Client View NEWS vol.94」 2024年1月掲載)