2023年も残すところわずかとなりました。長期休暇に入る事業者様も多いと思いますが、サイバー攻撃の被害を受けやすいタイミングになりますので、あらためて対策をご確認いただければと思います。 

■参考リンク 

　長期休暇における情報セキュリティ対策 （IPA（独立行政法人情報処理推進機構）） 

委託先や派遣社員による内部不正・ヒューマンエラーが原因の情報漏えいインシデントがたびたび発生しており、不安を覚えている事業者様も多いのではないでしょうか。 

今回はいくつかのインシデントの概要を示し、業務委託や人材派遣の利用に際して認識しておくべきリスクと基本的な対策を確認します。 

取り上げるインシデントの概要は以下表の通りとなります（順不同） 

■参考リンク 

・旅券課池袋分室　旅券発給窓口における個人情報の不正持出しについて（東京都生活文化スポーツ局　2023年11月24日） 

・個人情報を含むUSBメモリーの紛失事案について（尼崎市　2023年6月29日更新） 

・ＮＴＴビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について（続報）（株式会社ＮＴＴマーケティングアクトＰｒｏＣＸ　ＮＴＴビジネスソリューションズ株式会社　2023年12月19日） 

インシデント発生の背景 

 各インシデントの原因と、その背景にあった業務委託・人材派遣等の構造などを確認します。 

構造を分かりやすくするために固有名詞はできるだけ省き、委託元、委託先等の表記にしています。各インシデントの詳細については上記の参考URLをご覧ください。 

事例１：パスポートセンターの窓口業務の委託に係るインシデント 

この事例では、自治体がパスポートセンターの窓口業務を委託していた委託先の社員が、窓口業務中に知りえた個人情報を付せん紙等に書き写す等して不正に持ち出していました。持ち出しは2年弱の間続いていました。 

事例２：テレマーケティング業務の委託と外部企業のシステム利用に係るインシデント

こちらの事例では多数の委託元からテレマーケティング業務の委託を受けた委託先が、他社のシステムを利用してテレマーケティング業務を実施していたところ、そのシステムの運用保守のために派遣されていた派遣会社の社員が、長年にわたり顧客データサーバからデータをダウンロードし、記録媒体で持ち出していました。 

委託先企業とシステム提供企業から連名でリリースが出されており、インシデントの原因と対処策がまとめられています。上記の図にリリースで発表された原因と対処策も記載しています。 

事例３：特別給付金給付業務の委託～再々委託に係るインシデント 

本事例では、自治体が給付金業務に係るコールセンターの運営を委託していた委託先が、契約を守らずに委託元の自治体に無断で再委託、再々委託を行っており、再々委託先から常駐していた社員が、大量かつ重要なデータを保存したUSBメモリをカバンに入れたまま飲酒、酩酊し、外でカバンごと紛失しました。 

幸い後日カバンは発見され、第三者委員会による調査の結果、情報の漏えいは確認されませんでした。 

第三者委員会による調査結果が公表されており、多くの問題点や提言等が詳細に記載されています。一部の概略については上記の図にも記載しました。 

業務委託や人材派遣利用時のリスクの高まりと対策 

以上のインシデント事例においては、委託先や派遣社員の不正やヒューマンエラーが直接の引き金となっていました。 

しかしながら、本質的には、組織としての対応が不足していたことが問題だったと言えます。事例２ではシステム的な対策が不足しており、事例３ではコンプライアンス意識が欠如していたのではないでしょうか。 

ただ、今回の事例に限らず、一般的に委託元からの監督が届きにくくなるほど、対策を行き届かせるのは難しくなります。 

対策を考える上で把握しておくべき法令上の義務や参考となる情報等について以下で確認します。 

個人情報保護法における委託先の監督の義務 

個人情報保護法及びガイドラインでは、業務委託にともなって個人情報を提供する場合、委託先の監督を実施する義務が定められており、リスクに応じて、次の1から3までの必要かつ適切な措置を講じなければならないとされています。自らが委託元となる場合、まずはこの義務を遵守する必要があります。 

1. 適切な委託先の選定
2. 委託契約の締結
3. 委託先における個人データ取扱状況の把握

詳細は以下に引用する通りですが、特に委託元が再委託先等についても把握し、監督の目を行き届かせることが重要かと思います。事例３において、委託元が再委託、再々委託について把握ができていなかったこともインシデントの遠因であったと言えます。 

情報セキュリティ上の基本的な対策 

保護法のガイドラインと重なる部分もありますが、情報セキュリティ上の基本的な対策として、以下のような点を徹底することが重要です。事例２で挙げられた対処策もこの基本に則ったものと言えます。 

・IDの使い分けの徹底。管理者と作業者で権限を区別する、1人1IDを徹底する等 

　（複数人が共通IDを使っていると適切なアクセスの制御ができない） 

・アクセスログ、作業ログを取得し、異常な振る舞いを検知し、アラートを上げる 

　（あるIDが不必要なデータを大量にダウンロードした時などに把握できるようにする） 

・不要な情報の持ち出しを防ぐため、データのダウンロードやUSB等デバイスの接続を制限する等 

・従業員等の向けのセキュリティ教育を定期的に実施する、委託先や派遣社員にも実施する 

いずれも基本的な内容ですので、実施するべきことは理解しやすいかと思いますが、実務上、対応がいきわたっていない場合も多いのではないでしょうか。 

特に委託関係が複雑な場合や組織が大きい場合は人の目による監督を行き届かせることが難しい分、こうした技術的な対策が重要と言えます。 

組織における内部不正防止ガイドライン 

上記は基本的な対策を考える上での基本でしたが、包括的に対策を進めていく場合は、IPA（独立行政法人情報処理推進機構）が公表している組織における内部不正防止ガイドラインを参照されることを推奨いたします。 

企業等において必要な内部不正対策を効果的に実施可能とすることを目的として作成されたもので、2013年に作成され、現在は改訂版第5版となっています。 

内部不正のリスクは、テレワーク等の常態化、クラウドサービスの普及、雇用の流動化等、社会情勢やサービス・技術の進歩によって増大していますが、そうした状況を踏まえた改訂がなされており、法令だけではフォローできない実務的な対応について確認することができます。 

個人情報保護や情報セキュリティの第三者認証マーク 

第三者認証マークを取得することで、専門性をもった第三者から個人情報保護体制の審査を受けられるため、委託先の監督の内容や情報セキュリティ対策を改善させることが可能です。 

当機構では、WEBサイト・アプリ向けの個人情報保護第三者認証マークを認証付与しております。組織の体制等についても審査しますが、特にWEBサイト・アプリで個人情報を取得する企業様にお勧めしております。 

TRUSTeについてはこちらでご案内しております。ぜひご覧ください。