マイナンバーとクラウドサービス(クラウド利用は委託になるか)個人情報委託漏えいの多さ
もくじ
1.地方公共団体等で相次ぐ「委託先からの個人情報漏えい」
(1)京都市立病院の個人情報漏えい
いつも講演で話していることであるが、例えば京都市立病院で委託業者から個人情報1800件の入ったパソコンが紛失したと平成25年4月に発覚した。
会計システムの保守点検を業務委託している会社の社員が、点検作業のためデータを会社のパソコンにコピーし、病院から持ち出し、飲食店に立ち寄った際、車上荒らしに遭い、パソコンを盗まれたのである。
このような個人情報の流出は管理ミス型と並んで「委託型」で多いのである。
(2)マイナンバー漏えい
マイナンバーも十分に漏えいには注意する必要があろう。
そこで、自社ではマイナンバーそのものは扱わないでアウトソーシングしてマイナンバー関連業務は外部の業者に任せる趨勢になっているようである。
無べなるかな。
2.クラウディングサービスの利用は個人情報の委託になるのであろうか。
(1)PPCの見解
個人情報保護委員会は、委託ではないとしている。
なぜなら、委託を受けた事業者が当該契約内容を履行するに当たって個人番号をその内容に含む電子データを取り扱わないからである。
そこには、個人番号関係事務又は個人番号利用事務の全部又は一部の委託を受けていない時には、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられる。
(2)委託でないとしたときの個人情報の管理
よって、この場合には、クラウド利用者には、委託先の監督義務は課されない。
しかし、自ら果たすべき安全管理措置の一環として、クラウドサービス事業者内にあるデータについて、適切な安全管理措置を講ずる必要がある。