個人情報管理の外部委託 (経産省が再委託原則禁止の方針)

経産省は、同省管轄業界に対する個人情報保護のガイドラインを変更して、再委託を原則的に禁止する方針だとの記事がありました。日経新聞の平成26年8月13日付です。驚いて記事を読みましたら、対策を強化することにより、実質的には再委託を受ける会社がなくなるから、原則的には再委託禁止ということのようです。

強化される対策として、委託先で個人情報を取り扱う担当者の特定や損害賠償責任などを契約書に明記すること、アクアセスログを定期的にモニタリングすること、個人情報を取り扱う部屋のカメラ監視などを求めるということです。同省系のIPAガイドラインも改正して、USB等外部記憶装置にデータをコピーできないような対策も求めるということです。

ベネッセの大量情報漏洩は、影響が拡大しています。もともと、個人情報の扱いに慎重だった金融界でも、この事件以来、情報管理態勢の見直しだけでなく、関係する新規案件が凍結されています。経営陣が臆病になっているからです。筆者は、そんなに怖いのなら、個人情報を全て廃棄したらなどと言っています。経産省がガイドラインを厳格化すれば、金融を含む機微情報を扱う特定業種も、ガイドラインを見直すことになります。現在のガイドラインは、9年以上も前のものです。法施行が平成17年4月1日でその前年に経産省ガイドラインがベースとなって各業種の自主規制ルールが作られました。そろそろ改正のタイミングではあります。

金融機関では、以前から再委託先管理は大きなテーマです。2年前のNTTデータが運営する地銀共同オンラインで再委託先職員による情報盗取・カード偽造事件と今年2月発覚の横浜銀行ひ孫請け会社技術者による事件は業界上げての大騒ぎとなりました。都度、全金融機関が委託先管理状況を見直し、委託先との契約や覚書等を差し替えています。金融庁の主要検査対象とされ、検査の都度、チェックされます。しかし、FISCガイドラインの全面見直しには至りませんでした。対策方法に変わりはなく、自社で行うべきことを委託先、更には再委託先に求めており、確実に実行管理するほかないからでしょう。

今回の経産省ガイドライン改正は、賠償責任を契約書に明記するなど、外部委託の場合に必要な対策を付け加えるようです。とはいえ、記事に紹介された対策例は、どれも、経産省ガイドラインに当初から明記されており、それを契約書で縛れということなのか、良く判りません。今年2月には、金融庁が再委託を禁止するという情報が、大手メディアの間で流れました、禁止しても実行できないだろうと思っていましたが、金融庁からそうした指示はでていません。日本の法制度において、私的契約関係をガイドラインとして、行政が強制することは無理でしょう。

外部委託先が1次だろうが、5次だろうが、不法行為により顧客に損害を与えれば、一義的には委託元に責任と顧客救済義務があります。委託元と委託先との間の賠償問題は、両社の私法関係にすぎません。委託元は顧客に対する善管注意義務を、自社だけでなく委託先も実施していることを担保する必要があります。その為の方策は既に出つくしています。ただ、実施あるのみです。

今回ベネッセの事案では、犯人はスマホにデータをダウンロードして持ち出したということです。金融機関ではUSBやPC等の職場持ち込みは禁止されていますし、廻りの目があります。しかし、スマホもとなると、事は厄介です。場所を限定するしかない。今は、ベネッセ事件で使われたデータ送受プロトコルが、OTPかMTPか、MTPの使用が制限できていなかったのでないか・・・などと議論されています。個別技術が何であれ、これを一つづつ潰しても根本解決にはなりません。多層的委託関係も同じことでしょう。多層化するほど、善管注意意識が希薄化するということなのか。では、自社内で処理すれば、こうした事件は防げるのか。結論としては、完全防止は不可能です。機会と動機と合理化の全てを抑え込むことは不可能だからです。

最近思うのですが、わが国ITセキュリティ市場規模は、7661億円だそうです。(2013年度、ネットワークセキュリティ協会) その内、本件に直接係わるコンテンツ関連市場は2千億円強のようです。どうも小魚を釣るエサに大きな伊勢海老を使っている気がします。信用秩序だ、顧客保護だと言うが、果たして本当にそうなのだろうかと思う時があります。機会を減らす為に技術的なもぐら叩きを強化するほど、潤うのはセキュリティ・ベンダーで、犯行を実行する側は、動機があれば、機会は何とかしてしまいます。

委託先管理強化の前提は、自社要員に比べると、委託先要員の犯行の動機がより大きいという前提があります。果たしてそうでしょうか? 自社要員に動機がないといえるのか? 職を失うリスクを考えれば、見合わないということなのか。であれば、こうした業務に携わる委託先社員に特別な報酬を与えれば良い。セキュリティ・ベンダーに払う金額より数段安い筈です。または逆で、見つかったら割に合わないほどの罰を受けるということです。しかし、それは自主規制の話ではなく、刑法改正の話です。どうも、メディアの扇動が政治家の便乗となり、それが規制当局への圧力となり、それが免許事業者の義務となり、その小さな違反がメディアの扇動ネタとなる悪循環になっているとも思えます。

ではどうするかということです。筆者なら、考えられるリスクを並べ上げ、その頻度可能性と影響度を判断し(くだらない調査はしないで、3K判断)、キーとなる対象情報とそれを処理するノードを絞り込み(リスクを集中させて統制し易くする為。) キーノードに対する徹底した動機、機会、合理化の排除(その殆どは、人事政策。) に焦点を合わせます。新しい考え方でも方策でもありません。要は完璧をあきらめ、メディアに踊らされず、セキュリティ・ツールに頼り切らず、客と社員と会社を守ることに徹するということです。しかし、金融庁の検査結果事例集を見ると、金融機関の外部委託は、いかにも任せ放しという例が多いようです。最後は、経営理念の問題でしょうか。

                                   (平成26年8月14日 島田 直貴)