取引先からの個人情報管理体制に関する照会にはどう対応したら良いですか?
なお、安全管理措置を相応のコストをもって整備することは、自社の提供するサービスの水準が上がるものとして取引の受注金額にも適切に反映されることが望ましいでしょう。大企業が、取引先に対策コストを顧みず、一方的な要求をする場合には法的な問題となる場合があります。
目次
取引先の情報セキュリティ管理について高まる関心
2023年でも、NTT西日本の子会社から900万件を超える顧客情報が流出していたとの事件(2023年10月)や、LINEアプリの利用者情報の漏洩事件(2023年11月)など、大企業の個人情報漏洩が注目を集めました。これらの情報漏洩事案では、大企業が直接狙われるのでなく、外部委託先がターゲットになる例が少なくありません。
そのため、大企業では、自社の安全管理体制にとどまらず、委託先や取引先まで含めた情報セキュリティ管理体制の整備について関心が非常に高まっています(「サプライチェーンセキュリティ」)。
個人情報保護法上の安全管理措置
個人データの取扱いには、自社だけでなく、その委託先についても安全管理措置が実施されることが要求されます(個人情報保護法23条、25条)。取引先が、貴社(質問中の「当社」)に、個人データの安全管理措置について照会するのはそのためです。
安全管理措置とは
個人情報保護法では、安全管理措置について特定の認証規格が要求されてはいるわけではありません。データの取扱いの実態を踏まえ、リスクに応じて必要かつ適切な対応を検討・実施することになります。
安全管理措置について、個人情報保護委員会がガイドラインを作成しています(個人情報の保護に関する法律についてのガイドライン(通則編))。国内の多くの企業が、ガイドラインに照らして、自社の安全管理措置についてチェックし体制を整えようとしています。貴社でも、この項目に沿って説明を準備するとよいでしょう。
<安全管理措置のガイドライン項目>
① 基本方針の策定
② 個人データの取扱いに関する規律の整備
③ 組織的安全管理措置
④ 人的安全管理措置
⑤ 物理的安全管理措置
⑥ 技術的安全管理措置
⑦ 外的環境の把握
対応のポイント
現状の把握
データの保管や管理について、そもそも現状の把握ができていない、ということが少なくありません。現状の把握が、安全管理体制の一歩目といえます。
<把握できていますか>
① 取引先のどういう個人データに貴社がアクセスできるか(安全管理の対象)
② 貴社の誰がアクセスできるか(「人的」な観点)
③ 貴社のどのような機器で保管しているか・アクセスできるか(「物理的」「技術的」な観点)
例えば、貴社にて、業務上アクセスの必要ないスタッフが、取引先の個人データにタッチできるようになっていないでしょうか(「人的」な観点)。また、データを保存しておくPC等について必要なアップデートが未了である、不特定多数の人が出入りする環境に置かれている、などセキュリティ面について把握はできているでしょうか(「物理的」「技術的」な観点)。
リスクの把握と対策
現状を把握した上で、貴社の個人データの保管・管理にどのようなリスクがあるかを分析することが重要です。リスクを言語化することで、リスクに応じた安全管理措置を検討することができます。個人データの管理について社内の責任体制を構築していくことが「組織的」な対策へつながるでしょうし、技術的なアクセス制限をかけるなど「技術的」な対策、また、個人データにアクセスする従業員への教育など「人的」な対策、貴社での個人データについての方針や社内規則の制定が「方針」・「規律の整備」へとつながっていくでしょう。
「⑦外的環境の把握」
ガイドラインの項目のうち「⑦外的環境の把握」は少し毛色が違います。2021年に、LINE社の中国企業へのアプリの開発保守委託に関して、 LINEサービスに中国政府によるデータ提供要求(「ガバメントアクセス」)の懸念があるのではと大きく取り上げられました。このように、外国へのデータ移転がある場合には、外国における法令・実務など安全性の検討ポイントが一つ増えることになります。
まとめ
取引先から個人データの安全管理措置について照会を受けた際、データ漏洩等が他人事でなく、大企業にとってサプライチェーン全体の情報セキュリティ体制が現実的な課題となっていることを理解することが重要です。それにより、噛み合ったやりとりが期待できるでしょう。
照会に対しては、自社のデータ管理の現状を把握した上で、ガイドラインの7つの項目に沿って、リスク分析と対応を検討し実施します。本記事では、ごく概括的な説明に留めましたが、ガイドラインにはより詳細な内容があり、また、個人情報保護法上、安全管理措置以外の規制もあります。専門家に相談しながら体制を構築することが望ましいでしょう。
なお、大企業からセキュリティ対策について一方的な要求がなされる場合、一考の余地があります。以下の「補論」をご参照ください。
補論(費用のかかるセキュリティ対策を取引先から要求される場合)
大企業のサプライチェーンセキュリティ対応として、貴社に対して、費用のかかる特定のセキュリティ対策を要請する場合もあります。その場合、貴社としてはセキュリティ対策も含めると業務提供のコストが増えます。つまり、セキュリティ対策の要請も、取引条件の一つとして取引価格とセットで考えられるべきといえるでしょう。自社の提供するサービスの水準が上がるものという言い方もできるでしょう。
このようなコスト上昇を考慮することなく取引価格を一方的に決定するような要求は、独占禁止法や下請法の問題となりえるものです。公正取引委員会・経済産業省がQ&Aを公表し、セキュリティ対策の内容や費用負担について十分な協議と交渉が行われることが望ましいと述べています。
※この記事は、2024年2月1日に作成されました。
