サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

日本年金機構の海外企業再委託事件から考える、形だけの再委託禁止条項

  • LINEで送る


年金機構が個人情報入力を委託した業者が、中国企業に無断再委託をしていた事件が発生しました。まだ今一つ、報道では具体的な状況がわからないのですが、重要なターニングポイントになる可能性がありますので、少々解説しておきたいと思います。

マイナンバーは本当に含まれていないのか?

報道では、再委託した業務情報にはマイナンバーは含まれていないとされています。このコラムを書いている時点(2018年3月21日)の報道では、

扶養家族の氏名とふりがなの記入を委託

となっています。

気になるのは、扶養家族の氏名とふりがなの入力”だけ”を外注するようなケースとは、どういう状態なのかわからないことです。普通に考えると、その2つだけの入力を委託するのは不自然に感じられます。

また、その2つだけを抽出するとしても、入力元のデータがどういう状態だったのか、また入力した後のマッチングをどういう形で行っていたかが分からないと、本当にマイナンバーが海外に行ってないと言えるのか判断しかねます。

中国企業に委託するということ

“再委託した企業が中国である”ということも懸念されます。中国はインターネットを検閲していると認めている国です。この国に存在する企業またはサーバに対して、個人情報を渡すことが、個人情報保護法で定める「外国にある第三者への提供」に該当する恐れがないのか、ということです。

単純な委託作業のため(例えばDM発送のため宛先を印刷する)に渡すのは、提供とは見なされませんが、国に検閲がされている前提でもそれが認められるのかは、ちょっと微妙な気がします。まして、今回はマイナンバーが絡んでいる情報なのですから。

委託先の企業が請け負っていた他の案件は?

今回の事件を起こした情報処理企業は、年金機構だけでなく、他にも公的機関の入札案件に名前が見られます。おそらく一般企業からも業務を請け負っているのでしょう。果たして他の案件は大丈夫だったのでしょうか。

今、ニュースで騒がれているのは、年金機構案件ですが、他の案件では同様のことが無かったのか、至急調べる必要があるでしょう。年金機構だけで終わる話だとは思えないのですが。

「再委託禁止」は実際に守られているのか

…と、まだまだ問題が出て来そうなこの事件ですが、一番忘れてはいけないのが、これです。「再委託禁止が本当に守られているのか」ということ。

再委託禁止条項は、おそらく多くの企業の業務委託契約書に書かれていると思います。ですが、それが現場まで浸透していますか?浸透していることを確認していますか?

“現場が知らない”というケースも

私自身も経験のあることですが、ある程度の規模のある企業は、契約書は営業が受け取って法務部の承認で決裁されます。ところが、そこに作業現場の意見が入らない場合も多く見受けられます。

そもそも再委託しないとできない仕事なのに、作業現場の知らない間に再委託禁止の契約が為されている。こういうことが起きていませんか?

形だけの「再委託禁止条項」

この事件の一番のポイントはここだと考えています。個人情報保護法施行以降、再委託禁止条項はフォーマットのように、契約書の中に含まれるようになりました。

しかし、本当に再委託を一切しないで業務が回るのか。法務部門と現場の認識の乖離が起きていないのか。この問題は多くの企業で発生しているのではないでしょうか。

サイバーセキュリティ経営ガイドライン等で「サプライチェーンマネジメント」が叫ばれているのはこういう部分です。

  • 形だけの契約
  • 委託先へ責任の押し付け

が未だに罷り通っている現実。これがわかりやすい形で噴出したのが、今回の事件なのではないでしょうか。

自社と委託先の取り扱いを見直す

この事件を見て、もし私が企業のCISOだったとしたら、もう一度業務委託で重要情報を提供する先に、再委託禁止の履行が守られているかどうか、社員を派遣して確認させます。委託を受ける側でも同じです。再委託禁止が自社で守られているのか再確認します。

これをやっておかないで、同様のことが発生したら経営責任が問われますから。

この事件を「年金機構はやっぱりダメだなぁ」と言うだけではいけません。これを他山の石として、「自分のところは本当に大丈夫なのか」と問い直す器量が求められています。



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。