お知らせ

個人情報取扱事業者がクラウドサービス提供事業者に個人データの取扱いを委託する場合の留意点等に関する注意喚起がなされています(2024/3/28)

3月25日、個人情報保護委員会は、株式会社エムケイシステム(以下、「エムケイ社」という)における個人情報等の取扱いについて個人情報保護法(以下、「法」という)の規定による指導等を行うとともに、個人情報取扱事業者がクラウドサービス提供事業者に個人データの取扱いを委託する場合の留意点等に関する注意喚起を行いました。

これは、令和5年6月に同社のサーバが不正アクセスを受け、システム上で管理されていた個人データが暗号化され、3,067件(本人数計7,496,080人)の漏洩等のおそれが発生(エムケイ社の報告によれば、現時点において個人データの悪用などの二次被害は確認されていない)したことに関して行われたものです。

本件の事実関係を考慮したうえで、委員会は次のように判断しています。

本件において、クラウドサービス提供事業者であるエムケイ社がガイドラインQ&A7-53の「個人データを取り扱わないこととなっている場合」とはいえず、また、個人データの取扱いを防止するための適切なアクセス制御は行われていなかったことが認められる。したがって、本件において、エムケイ社は、個人情報取扱事業者としてユーザから個人データの取扱いの委託を受けて個人データを取り扱っていたといえる。

また、「法律上の問題点」として、次のように指摘しています。

エムケイ社について-安全管理措置(法23条)の不備
 → ユーザのパスワードルールが脆弱であったこと、また、管理者権限のパスワードも脆弱であり類推可能であったことから、アクセス者の識別と認証に問題があった
 → ソフトウェアのセキュリティ更新が適切に行われておらず、深刻な脆弱性が残存されていただけでなく、ログの保管、管理および監視が適切に実施されておらず、不正アクセスを迅速に検知するには至らなかったことから、外部からの不正アクセス等の防止のための措置についても問題があった

ユーザ(エムケイ社の委託元)について
 → ユーザには、法23条が求める安全管理措置のうちエムケイ社のような技術的安全管理措置の不備は認められない
 → 他方、ユーザの多くはエムケイ社に対する個人データの取扱いの委託を行っていたとの認識が薄く、法25条や法25条に関する個人情報の保護に関する法律についてのガイドライン(通則編)(以下、「ガイドライン」という)3-4-4に規定する委託先の監督が結果的に不十分となっていた可能性がある

クライアント(ユーザの委託元)について
 → クライアントも、個人情報取扱事業者として法23条が求める安全管理措置を講ずる義務を負うとともに、委託先である社労士事務所に対し、法25条が求める委託先の監督義務を負うが、クライアントの多くは社労士事務所に対する個人データの取扱いの委託およびエムケイ社に対する再委託を行っていたとの認識が薄く、委託先等への監督が結果的に不十分となっていた可能性がある

そのうえで、クラウドサービスの利用に当たって次の3点に留意するよう注意喚起を行っています。

1 クラウドサービスを利用して個人データを取り扱う場合の留意点
 → 個人情報取扱事業者は、クラウドサービスの利用が個人データの取扱いの委託(法27条5項1号)に該当するかどうかを判断する必要あり
 → 委託に該当する場合には、委託先に対する必要かつ適切な監督を行わなければならない
 → 「個人情報の保護に関する法律についてのガイドライン」に関するQ&A(以下、「ガイドラインQ&A」という)7-53 により、委託(または本人の同意が必要な第三者提供)に該当するかどうかは、クラウドサービス提供事業者において、個人データを取り扱うこととなっているのかまたは取り扱わないこととなっているのかのいずれであるかが判断の基準となる
 → 今回の事例において、クラウドサービス提供事業者が個人情報取扱事業者に該当すると判断された考慮要素は以下のとおり
    ・利用規約において、クラウドサービス提供事業者が特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていた
    ・クラウドサービス提供事業者が保守用 ID を保有し、クラウドサービス利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかった
    ・クラウドサービス利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていた

2 クラウドサービス利用者による、委託先(クラウドサービス提供事業者)の監督に関する留意点
 → サービスの機能やサポート体制のみならず、サービスに付随するセキュリティ対策についても十分理解し、確認したうえで、クラウドサービス提供事業者およびサービスを選択する
 → 個人データの取扱いに関する、必要かつ適切な安全管理措置(個人データの取扱いに関する役割や責任の分担を含む)として合意した内容を、規約や契約等でできるだけ客観的に明確化する
 → 利用しているサービスに関し、セキュリティ対策を含めた安全管理措置の状況について、例えば、クラウドサービス提供事業者から定期的に報告を受ける等の方法により、確認する

3 個人データの取扱いの委託先がクラウドサービスを利用している場合の留意点
 → 委託元である個人情報取扱事業者は、委託先事業者に対する監督の一内容として、当該クラウドサービスの安全性などを委託先事業者に確認することが考えられる