C社はDM発送業務をN社に委託している。
情報管理に関し、チェックリストによってN社の管理を行っており、当チェックリストは、DM業務を行う工場の施設や業務におけるID管理など情報管理に必要な要件は満たされていた。
ある日、N社の工場で、大量の個人情報がプリントアウトされ、持ち出される事故が発生した。しかし、個人情報を取扱うシステムへのアクセスIDは共有化されていた為に利用者は特定できず、あるはずの出入口の監視カメラも設置されておらず、持出し者は特定できなかった。
「今日の事例」は委託先がテーマです。
最近では、業務に専門性が求められたり、特別なシステムが必要、などの理由で、委託先を活用する例が増えています。
個人情報を取扱う業務を委託するような場合は、委託先を自社と同等レベルで管理することが法令で定められており、委託先での個人情報漏えいは委託元企業の責任になりますので、細心の注意が必要です。
まず、問題となるポイントについて見てみます。
①委託先を書面(チェックリスト)のみで管理していたこと
>チェックリスト等での管理は必要だが、書面と実態が合っていないことがある
>特に個人情報を大量に扱う業務を委託する場合は、立入りによる直接確認が必要
②共有IDの利用
>個人情報等の機密情報へのアクセスにはIDの共有化は不可
③監視カメラの未設置
>監視カメラは牽制効果もある為、大量に個人情報扱う施設や工場の出入口には設置が必要
今回の事例のように、委託先からの個人情報漏えい事故は増えています。上記のリスクポイントを踏まえて、このような事象が発生する可能性を少しでも少なくする方法を考えてみて下さい。
今回の事例で、情報が漏えいした結果はどうなるしょうか?
・個人情報保護違反
大量の個人情報の流出
・個人情報が流出したことにより、
→ 信用の失墜
→ 被害が発生した場合、顧客からの損害賠償
今回の事例は、個人情報を取扱う業務の委託がテーマです。
「委託先が大手企業だから」、ということだけで安心しがちですが、サイバー攻撃や内部不正による個人情報の漏えい事故は大手委託先でも決して例外ではありません。預けている情報を踏まえて、効率的・効果的なリスク管理の方法を考えてみましょう。