BLOG

ブログを掲載しています。

個人情報保護委員会 クラウドサービス提供事業者が個人情報取扱事業者に該当する場合の留意点

個人情報保護委員会からの注意喚起です!
昨年6月に発生したMKシステムに関連するものです。

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
<過去blog>
MKシステム ランサムウエア感染 人事労務サービスで多大な影響!?
https://plug-in01.com/topics/archives/202
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ppc20240325.png

https://www.ppc.go.jp/news/careful_information/240325_alert_cloud_service_provider/

これ、結構重要なことが書いてあります。

これまで、クラウドサービスって、
基本的には「箱」「場」を提供しているだけなので、
そこに乗っかってくるデータには関与しません!
なので、そこに個人情報が乗っていても、
それを取り扱うことはないので、
クラウドサービス提供事業者は個人情報取扱事業者ではない
というのが一般的な考え方でした。

とはいえ、利用する企業は、
そのサービス上で個人情報を取り扱う場合は、
そのサービスについてはちゃんと評価して、
信頼できるものを使いましょうね!
と言われています。
(個人情報保護法、Pマーク、ISMS等で)

ところが、今回、MKシステムは「個人情報取扱事業者である」
と判断されたようです。

なぜ???

ppc20240325_2.png

クラウドサービス提供事業者が、
①個人データを取り扱わない旨契約条項に定めている
②適切にアクセス制御を行っている
上記の場合は、
クラウドサービス提供事業者は、
「個人データを取り扱わない」と判断できるとのこと。

ほぉほぉ。。φ(._.)

ppc20240325_3.png

「特定の場合にクラウドサービス利用者の個人データを使用等できることとなっていた」
「保守用IDを保有し、クラウドサービス利用者の個人データにアクセス可能」
この2つは、どのクラウドサービスにも当てはまりそう。

「取扱いを防止するための技術的なアクセス制御等の措置が講じられていなかった」
「確認書を取り交わした上で、実際に個人データを取り扱っていた」

これは・・・どういうこと・・・?
技術的なアクセス制御等の措置が講じられていないって・・・?


不思議に思ってMKシステムのHPを見てみると、
以下のような記載がありました。

mks20240328.png
https://www.mks.jp/company/topics/20240328b

「個人情報授受確認書」を正式に取り交わして個人データを取り扱っていたようです。
そして、保守用IDで個人データにアクセスする際に、
外部書き出し機能や印刷機能を制御していなかった、
ということのようです。

なるほど。

個人情報保護委員会の注意喚起文書に戻ります。
続いて、クラウドサービス利用者に対する留意点です。


ppc20240325_4.png

クラウドサービス利用者は、
今回のように「場」「箱」の提供だけじゃなくて、
個人情報取扱事業者に該当する場合には、
ちゃんと委託先として監督してくださいよ!
と言っています。

ppc20240325_5.png

で、クラウドサービス提供事業者が「再委託先」になっている可能性があるので注意するように言及しています。

つまり、「社労士に給与計算を委託しています」という場合に、
その社労士が使っている(かもしれない)クラウドサービスについても、
「再委託」として管理する必要がある(かもしれない)ということ。

給与計算の委託だけではなくて、
たとえばDM発送業務を印刷会社(A社)に委託しているとして、
その業務の中で、A社が何かクラウドサービスを使っていて、
そのクラウドサービス提供事業者(B社)がクラウド上のデータを取り扱うとしたら
(保守であっても、冒頭のMKシステムのような状況であれば)
A社にB社に対する適切な監督を依頼しないといけないってこと。
NTT系の例のコールセンターシステムの漏洩事故も同じですね。

まぁ、言ってることはわかりますけど・・・
わかりますけど・・・
実際には何もできないというのが、
実情のような気もします。

とはいえ、この見解は意識しておく必要はあります。
結構重要な観点なので、私もしっかり頭に入れておきたいと思います。

クラウドサービス提供事業者は、
①利用規約の見直し(データを取り扱う、扱わないの記載は適切?)
②データを扱う場合の手続き整理
③データを扱う場合の技術的安全対策(媒体制御、印刷制御等)
④データを扱う場合の管理状況の報告方法(委託元へ定期報告?削除報告?)
このあたりを利用者から聞かれる前に、
整理しておく必要がありそうです。

そしてクラウドサービス利用事業者は、
①利用規約の確認(データを取り扱う、扱わないの記載)
②安全管理状況の確認(データを扱わないとしても、セキュリティ対策は確認必須)
③クラウドサービス提供事業者がデータを扱う場合は、適切な監督
 (定期報告?削除報告?)
あたりが必要ですね。

事故は起こる可能性がある!という前提で、
事故が起こった場合に、どういうリスク・責任が発生するのか?
といった観点で人のフリ見て自社の予防処置を講じましょう。

2024/04/11   小塚 真紀子
タグ:ニュース , 個人情報保護 , 事故事例 , IT・セキュリティ , 参考資料
< 前の記事     一覧へ     後の記事 >