責任はどこに?-委託先管理をどこまで行うべきか?
すでに述べたように、本事件は神奈川県から直接漏えいしたのではなく、委託先の日本IBMから漏えいしたのであるが、直接的には日本IBMの委託先であるA社(神奈川県の再委託先)社員から漏えいしたものである。
この場合、委託先の日本IBMも再委託先A社も民間企業(個人情報取扱事業者)であるから、「神奈川県個人情報保護条例」上の問題だけではなく、「個人情報保護法」の問題ともなっていることに注意が必要である。日本IBMとA社は、個人情報の取扱いについて、同法の主務大臣である経済産業省の規制の下にあるということである。
要するに、個人データ漏えいの責任は神奈川県にあるが、その原因は、委託先民間企業の管理にあったということができる。第1に日本IBMの委託先の監督義務(同法22条)が問われ、第2にA社の安全管理(同法20条)及び従業者の監督義務(同法21条)が問われることになる。
日本有数のIT企業ですら情報は漏れる
東京箱崎の日本IBM本社。官公需を元請けし、下請けに投げるビジネスモデルはITゼネコンとも揶揄される
社会的に注目されるのは、なんといっても日本IBMの責任であろう。
神奈川県の委託先事業者の選定に落ち度があったと主張する者は、まずいないだろう。日本IBMに比肩し得るIT企業の数には限りがあることは周知の事実である。したがって、本件漏えい事件は、日本IBMの委託先管理のあり方に着目していかなければならない。
さて、個人情報保護法は、日本IBM(個人情報取扱事業者)が、個人データの取扱いの全部又は一部を委託する場合、法20条に基づく安全管理措置を遵守させるよう、委託先のA社に対し必要かつ適切な監督をしなければならないと義務づけている。
ここで「必要かつ適切な監督」とは、①委託先を適切に選定すること、②委託先に法20条に基づく安全管理措置を遵守させるために必要な契約を締結すること、③委託先における委託された個人データの取扱状況を把握することが含まれる。
経産省が告示している個人情報保護ガイドラインによると、もし、日本IBMが個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託したのであれば、法22条違反となる。
また、個人データの取扱いに関して定めた安全管理措置の内容を委託先に指示せず、結果、委託先が個人データを漏えいした場合も同法に違反したと評価される。
それから、再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合も同様である。
また、契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わなかった結果、委託元の認知しない再委託が行われ、その再委託先が個人データを漏えいした場合も違法である。
日本IBMには落ち度があったのだろうか
日本IBMは、①委託先の選定も実績ある事業者を選び、②契約書の締結も行っている。
ちなみに、経産省の個人情報保護ガイドラインでは、契約書に次の事項を盛り込むことを推奨している。
- 委託元及び委託先の責任の明確化
- 個人データの安全管理に関する事項
- 個人データの漏えい防止、盗用禁止に関する事項
- 委託契約範囲外の加工、利用の禁止
- 委託契約範囲外の複写、複製の禁止
- 委託契約期間
- 委託契約終了後の個人データの返還・消去・廃棄に関する事項
- 再委託に関する事項
- 再委託を行うに当たっての委託元への文書による報告
- 個人データの取扱状況に関する委託元への報告の内容及び頻度
- 契約内容が遵守されていることの確認(例えば、情報セキュリティ監査なども含まれる。)
- 契約内容が遵守されなかった場合の措置
- セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
問題は、③委託先における個人データ取扱状況の把握である。
経産省の個人情報保護ガイドラインでは、「委託先における委託された個人データの取扱状況を把握するためには、委託契約で盛り込んだ内容の実施の程度を相互に確認することが望ましい」と示されているが、具体的にどの程度の頻度で、何をどこまで確認すべきか、違法・適法を決めるラインが見えないのである。
委託先において個人データの社外への持ち出しが社内規程上禁止されているにも関わらず、その社員がデータを格納したままパソコンを自宅に持ち帰る運用がなされた場合、社内規程の確認以上のことをどの程度なし得るのか。実際問題として委託先管理で求められる水準を見出すことは困難である。