リソース
求人を掲載

情報セキュリティ事故を防ぐために、業務委託先の従業員の選定はできるのか

情報セキュリティのイメージ


事業拡大や生産性向上を目的として自社業務を外部へ委託することがありますが、委託先での情報漏洩事故が起こるリスクがあります。委託元は、委託先の情報セキュリティ対策についてどの程度関与できるのでしょうか。グロース法律事務所の弁護士、德田聖也さんに、その概要やポイントをお聞きしました。

 
 

求人を掲載
お仕事をお探しの方は こちらから検索

業務委託とは


業務委託とは、企業が業務の一部または全てを外部の事業者や個人に委託することです。業務委託には雇用関係は生まれません。業務委託契約にはおおむね次の2つの類型に分けることが可能であり、業務の内容は多岐にわたります。

 

  • 請負契約:製品の製造など、ある仕事の完成を約束すること
  • 準委任契約:コンサルタントによる企業の情報分析、事務処理など仕事の完成を目的とせず、仕事の一部を委託すること

 
 
Indeed (インディード) | はじめての求人投稿、初期設定を電話でサポート! | 詳しくはこちらIndeed (インディード) | はじめての求人投稿、初期設定を電話でサポート! | 詳しくはこちら

委託先に対する管理の必要性


委託先の企業からの情報漏えいには、過失によって漏えいが発生するケースと、委託先による盗用の2つの可能性が考えられます。
 
業務委託を行う多くの場合、委託元は委託先に自社の持つ情報を渡すことになります。委託業務内容によっては個人情報などの機密にすべき情報などが含まれることが多く、万が一委託先から情報漏えいが起きた場合、自社の信用は失墜し、顧客情報などの個人情報が流出してしまった場合は被害者に損害賠償金を仕払うなど、多額の経済的損失も見込まれます。
 
委託元は、委託先との間で機密情報の取り扱いについて綿密に話し合った上で契約を結び、しっかりとした管理を行う必要があります。

 
 

委託先での情報漏洩の事例


過失による情報漏えいの事例として多いのは、顧客の個人情報が外部に漏れてしまうケースです。原因はウイルス感染や不正ログイン、サイバー攻撃、紛失、誤送信などが挙げられます。
 
1.マルウェア感染による個人情報流出
2022年7月、自治体向けに電子申請サービスを提供しているN社のヘルプデスク業務に使用しているパソコン1台が、メールなどを媒介としたマルウェアの一種「Emotet」に感染した。その結果、サービス利用者のメールアドレスのうち、2,312件が流出した。
 
2.データ紛失による個人情報流出
2022年6月、A市の住民税非課税世帯に対する臨時給付金支給事業の受託事業者関係者が、市から持ち出した全市民約46万人等が記録されたUSBメモリを外部に持ち出し、飲食店で酒に酔って紛失した。
 
3.メールの誤送信による個人情報流出
2022年4月8日、G社にて緊急対応に備えるため委託先の保安会社とやり取りする際、G社の担当者による誤送信があり、1万2,418名分の個人情報が流出した。

 
 

委託先はどのように選ぶべきか


委託先を選ぶ際は、委託先がどのような情報セキュリティ対策を整えているのかを事前に知ることが重要です。そのためには、委託先の情報セキュリティ対策についての規程や運用について書面やヒアリングなどによって調査をします。自社と同等、もしくはそれ以上のセキリュティ対策技術を有している企業を委託先として選びましょう。

 
 
Indeed (インディード) | 世界No.1の求人サイト Indeedで求人掲載してみませんか | 掲載をはじめるIndeed (インディード) | 世界No.1の求人サイト Indeedで求人掲載してみませんか | 掲載をはじめる

委託先管理で委託元ができること

 
 

◆契約締結の時点で詳細を決定しておく


委託契約を結ぶ際には、下記のように営業ノウハウ・技術情報・個人情報などの機密情報について取り扱い方法を具体的に指定し、契約書に盛り込んだ上で締結することが重要です。

 

  • USBメモリなどの記録媒体を社内で保管する際は施錠の上、管理者を決める
  • 機密情報を取り扱う人数と従業員名を指定する
  • 機密情報の破棄方法を指定する(書類はシュレッダーにかける、記録媒体は粉砕するなど)
  • 機密情報を格納しているサーバーの管理者を決める

 
 

◆委託中の調査・検証について契約書に盛り込む


委託先が運用する情報セキュリティ対策が、契約後も保持されているか定期的に立ち入り調査をしたり、報告書の提出を求めたりする旨を契約に盛り込みます。機密情報を守るための対策が形骸化しないようにチェックを行うことが重要です。

 
 

◆機密情報が漏えいしてしまった場合の取り決めをする


万が一情報漏えいが発生した場合に、報告の流れや対策などを設定して契約書に盛り込みます。また損害賠償についても取り決めを行います。

 
 

◆再委託について取り決めをする


委託先が、委託された業務をほかの業者へ再委託する可能性があります。再委託先の情報セキュリティ対策のレベルによっては、機密情報が漏洩するリスクが高くなります。再委託の可否や、再委託が必要な場合は事前に委託元へ許可を得る、再委託先に委託先と同程度の義務を課す規定を策定するなど、あらかじめ取り決めを行いましょう。

 
 

◆秘密保持契約を結ぶ


業務委託契約のほかに、秘密保持契約を結びましょう。秘密保持契約とは、自社が持つ情報を受け手である委託先が外部に情報を漏らしたり、不正に利用したりしないように守秘義務を課する契約です。
 
契約はもちろん、その後も、情報セキュリティ対策の質が保たれているかを検証することが情報漏えい事故を回避するための重要なポイントになります。委託先と同様、自社のセキュリティ対策についても定期的に見直す必要があります。

 
 
 

※記事内で取り上げた法令は2022年7月時点のものです。
 
<取材先>
グロース法律事務所 弁護士 德田聖也さん
立命館大学法科大学院修了。弁護士登録以来、相続、離婚、交通事故、労務、倒産処理、企業間交渉など個人・企業に関する幅広い案件を経験した。現在では、「これからの企業の発展を見据えた解決」を目指し、主に企業法務を取り扱っている。
 
TEXT:宮永加奈子
EDITING:Indeed Japan + 南澤悠佳 + ノオト


 
マンガで解説 Indeedで求人をはじめよう!ダウンロードはこちら 

求人を掲載
お仕事をお探しの方は こちらから検索
準備はできましたか?求人を掲載

*ここに掲載されている内容は、情報提供のみを目的としています。Indeed は就職斡旋業者でも法的アドバイスを提供する企業でもありません。Indeed は、求人内容に関する一切の責任を負わず、また、ここに掲載されている情報は求人広告のパフォーマンスを保証するものでもありません。