委託先の調査、契約は適切だったのか
ベネッセコーポレーションはプライバシーマークの認定を受けており、(一般的な)マネジメントシステムは構築されていると考えられます。シンフォームは2011年にプライバシーマーク認定を返上していますが、それでもやはりマネジメントシステムは構築されていると考えられます。
プライバシーマークの審査は適切であるという前提で考えれば、委託先の調査は正しく、この記録も残されていたのではないかと考えられます。
一方、システムに対して、継続的な調査はされていたのでしょうか。
シンフォームとの契約がいつあったのかについての報告や報道がないため、実際の契約年月日はわかりませんが、シンフォームはベネッセグループであり、継続的な審査が行われていなかったかもしれません。例えば、ベネッセコーポレーションの取引においては「プライバシーマークの取得が必須」とされていたにも関わらず、シンフォームが認定を返上した後も取引していたのであれば、取引先の個人情報管理状況を把握していたとは言えなくなってしまいます。継続的に委託をする場合でも、定期的に委託先の個人情報管理状況を把握しておくことが重要です。
とはいうものの、契約はあくまで外観上のもので、それが具体的な対策にひも付いているかはわかりません。契約書については違反時のペナルティなどを記載しているに過ぎず、抑止力にはなっても、それは企業間のものであり、現場での対策についてはそれぞれの努力ということになってしまいます。
個人情報保護の具体的な対策が記載され、実施の参考になる文書として、一般財団法人日本経済社会推進協会(JIPDEC)が公開している「JIS Q 15001:2006」をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版があります。ここでは委託先管理について、「個人情報の取扱いの委託に関する委託先の選定基準、契約の基準等を定めた個人情報の委託先の監督に関する規定」を策定することとなっており、これを実施することとなっています。個人情報保護法においては「第22条 委託先の監督」として記載されており、プライバシーマークの基準となるJIS Q 15001:2006では「3.4.3.4 委託先の監督」として規定されています。
個人情報保護法の記載では「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」となっており、具体的にどのような管理が必要かまでは記載されていません。
具体的な対策については、それぞれの環境において異なります。個人情報の活用環境、システムのあり方などについてリスクを把握し、それを適切な範囲で対応することが必要です。
システムセキュリティは適切だったのか
今回の事件はシンフォームの派遣社員がベネッセコーポレーションの顧客情報データベースにアクセスして情報を持ち出し、販売したことが問題となりました。現在の報告や報道では、この顧客情報データベースシステムがベネッセコーポレーションかシンフォームのどちらにあったのかわかりませんが、シンフォームがこのデータベースシステムの保守管理を担っていたことから、システムの堅牢化やセキュリティルールの策定、実施、管理者IDの発行なども同社の担当であったことを前提にシステムセキュリティのあり方について解説します。