個人情報保護委員会 人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について（注意喚起） (2024.12.17)

こんにちは、丸山満彦です。

個人情報保護委員会が、「人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について（注意喚起）」を公表していますね...

クラウド上で提供され、多数の企業において利用されている人事労務管理サービスが不正アクセスを受け、マイナンバーを含む個人データが漏えいした事案について、個人情報保護法、マイナンバー法上の問題点を、調査・検討したものです...

 

● 個人情報保護委員会

・2024.12.17 人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について（注意喚起）

・[PDF] 人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について（注意喚起）

 

---

４ 留意点のまとめ

(1) 委託先における留意点

本事案のように、漏えい等をした場合に本人の重大な権利利益の侵害が発生するおそれのある個人データを、クラウド環境を利用したシステム上で顧客のために大量に取り扱うサービスを開発・提供する場合には、特にアクセス制御の点や不正アクセス等を防止するための措置について、開発段階から注意して設計し、ユーザーの利便性に偏らない安全なシステムを構築し、サービス提供をすることが重要です。

人事労務管理のためのクラウドサービスを提供する事業者におかれては、取り扱う個人データの性質及び量に応じて、近年における不正アクセスの動向にも注意しつつ、必要な安全管理措置を講じていただき、安全なサービスの開発・提供に努めていただくようお願いします。

なお、クラウドサービスの提供に際しては、当該クラウドサービスを提供する事業者において、あらかじめ作成した定型的な利用規約等について合意することで、当該クラウドサービスの利用に係る契約を締結する場合も多いと思います。クラウドサービスを提供する事業者におかれては、あらかじめ、必要かつ適切な安全管理措置等に係る記載を盛り込んだ利用規約等の整備に努めていただくようお願いいたします。

(2) 委託元における留意点

本件システムのようなクラウドサービスを利用して、漏えい等をした場合に本人の重大な権利利益の侵害が発生するおそれのある個人データを含む大量の従業者等の個人データを継続的に管理していく場合には、そのようなリスクに応じた措置を講ずる必要があります。

本事案では、前記３のとおり、利用規約以外に個人情報保護法のガイドライン等の記述に従って別途覚書等を作成し、委託先に対して個人データに係る安全管理措置を義務付けるチェックシートなどを用いたりするなどして委託先における個人データの取扱い状況を把握する等の措置を講じている個人情報取扱事業者も認められました。

委託元となる個人情報取扱事業者におかれましては、委託する個人データの性質及び量に応じて、委託元として、必要かつ適切な委託先の監督を行っていただくようお願いします。

 

---