自ら監査する(3)については、コストもさることながら、委託先の情報セキュリティ監査等を適切に行うスキルやノウハウが自社内にないと不可能である。もちろん、それを外部に委託することは可能であるが、その場合は(2)のコストを自社単独で負担するということと同じになるため、相応の高い費用を支払う必要がある。一方、自社内にスキルやノウハウを持つ人材を確保し、組織的に情報セキュリティ監査等を実施できる態勢を構築するためには、かなりのコスト負担を覚悟しなければならないだろう。長期的な視野で見た場合、当初は外部に委託しつつ、ノウハウを蓄積しながら社内の態勢を整備し、数年後には自社で情報セキュリティ監査等を行えるようになる、という方法もある。
このように委託先の安全管理措置について確認し、その内容を保証する方法は複数存在し、意外に選択肢は多い。しかし基本的には厳密に確認し、保証を得ようと考えるならば、相応にコストと時間をかける必要がある。
個人情報保護法改正と海外への外部委託
マイナンバーの運用を外部委託する場合、海外の事業者への委託や、実際のシステムや設備が海外のデータセンターにある、といったケースも考えられる。例えば、マイナンバーの運用開始以前から、人事システムを外資系ベンダーが提供するクラウド型のサービス上で運用している日本企業の場合、クラウド上のシステムにマイナンバーを保管しなければならない可能性がある。
海外事業者や海外のデータセンターを利用できないわけではないが、国内の事業者・設備と同じように特定個人情報保護ガイドラインで求める、(1)委託先の適切な選定(具体的な確認事項:委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等)、(2)委託先に安全管理措置を遵守させるために必要な契約の締結、(3)委託先における特定個人情報の取扱状況の把握を実施しなければばらない。
また2015年個人情報保護法の改正案が可決・成立したことから、海外への特定個人情報の移送については、その施行後を視野に入れておく必要があるだろう。改正個人情報保護法24条に基づけば、個人情報を海外の第三者に提供する場合、本人から同意を得て、外国の第三者が提供先であることを明示しなければならない可能性がある。(提供先が、次のいずれの条件も満たさない場合)
- 日本と同等の水準で個人情報が保護されていると認められた国にある
- 日本の個人情報取扱事業者と同じような個人情報保護の体制を整備している
また従来国内では、委託や共同利用などに該当すれば第三者に該当しないとされてきたが、改正案における海外への提供については、これらが除かれていないため委託先であっても第三者とみなされることにも注意が必要である。
このようにマイナンバーが本格的な運用段階に入りつつあり、外部委託によるアウトソーシングサービスの活用が増えている昨今、委託先の監督と安全管理措置の評価、改正個人情報保護法への目配りなどがますます重要になっていくと考えられる。
- デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員 北野晴人
- 二種通信事業者、外資系通信機器ベンダーなどを経て、2001年から2013年春までリレーショナル・データベース、アイデンティティ管理を中心にセキュリティ関連製品の販売戦略・ビジネス開発などを担当。その後、セキュリティ技術と法律、マネジメントをつなぐコンサルティングを提供中。情報セキュリティ大学院大学博士前期課程修了(情報学)、(ISC)2アジア・パシフィック・アドバイザリーボードメンバー。公認情報システムセキュリティプロフェッショナル(CISSP)日本行政情報セキュリティプロフェッショナル(JGISP)
