TOPQ&A記事取引先からの個人情報管理体制に関する照会にはどう対応したら良いですか?
SHARE

取引先からの個人情報管理体制に関する照会にはどう対応したら良いですか?

取引先から、当社の個人情報の管理体制について問い合わせを受けました。どのように対応したらよいでしょうか?
個人データの安全管理体制について、個人情報保護委員会のガイドラインを参考に、自社の状況を把握した上で、リスク分析、対策の検討・実施、説明できるようにするとよいでしょう。
なお、安全管理措置を相応のコストをもって整備することは、自社の提供するサービスの水準が上がるものとして取引の受注金額にも適切に反映されることが望ましいでしょう。大企業が、取引先に対策コストを顧みず、一方的な要求をする場合には法的な問題となる場合があります。
回答者
林 知一 弁護士
小川綜合法律事務所

取引先の情報セキュリティ管理について高まる関心

2023年でも、NTT西日本の子会社から900万件を超える顧客情報が流出していたとの事件(2023年10月)や、LINEアプリの利用者情報の漏洩事件(2023年11月)など、大企業の個人情報漏洩が注目を集めました。これらの情報漏洩事案では、大企業が直接狙われるのでなく、外部委託先がターゲットになる例が少なくありません

そのため、大企業では、自社の安全管理体制にとどまらず、委託先や取引先まで含めた情報セキュリティ管理体制の整備について関心が非常に高まっています(「サプライチェーンセキュリティ」)。

個人情報保護法上の安全管理措置

個人データの取扱いには、自社だけでなく、その委託先についても安全管理措置が実施されることが要求されます(個人情報保護法23条、25条)。取引先が、貴社(質問中の「当社」)に、個人データの安全管理措置について照会するのはそのためです。

安全管理措置とは

個人情報保護法では、安全管理措置について特定の認証規格が要求されてはいるわけではありません。データの取扱いの実態を踏まえ、リスクに応じて必要かつ適切な対応を検討・実施することになります。

安全管理措置について、個人情報保護委員会がガイドラインを作成しています(個人情報の保護に関する法律についてのガイドライン(通則編))。国内の多くの企業が、ガイドラインに照らして、自社の安全管理措置についてチェックし体制を整えようとしています。貴社でも、この項目に沿って説明を準備するとよいでしょう。

<安全管理措置のガイドライン項目>

① 基本方針の策定

② 個人データの取扱いに関する規律の整備

③ 組織的安全管理措置

④ 人的安全管理措置

⑤ 物理的安全管理措置

⑥ 技術的安全管理措置

⑦ 外的環境の把握

 

対応のポイント

現状の把握

データの保管や管理について、そもそも現状の把握ができていない、ということが少なくありません。現状の把握が、安全管理体制の一歩目といえます。

<把握できていますか>

① 取引先のどういう個人データに貴社がアクセスできるか(安全管理の対象)

② 貴社の誰がアクセスできるか(「人的」な観点)

③ 貴社のどのような機器で保管しているか・アクセスできるか(「物理的」「技術的」な観点)

 

例えば、貴社にて、業務上アクセスの必要ないスタッフが、取引先の個人データにタッチできるようになっていないでしょうか(「人的」な観点)。また、データを保存しておくPC等について必要なアップデートが未了である、不特定多数の人が出入りする環境に置かれている、などセキュリティ面について把握はできているでしょうか(「物理的」「技術的」な観点)。

リスクの把握と対策

現状を把握した上で、貴社の個人データの保管・管理にどのようなリスクがあるかを分析することが重要です。リスクを言語化することで、リスクに応じた安全管理措置を検討することができます。個人データの管理について社内の責任体制を構築していくことが「組織的」な対策へつながるでしょうし、技術的なアクセス制限をかけるなど「技術的」な対策、また、個人データにアクセスする従業員への教育など「人的」な対策、貴社での個人データについての方針や社内規則の制定が「方針」・「規律の整備」へとつながっていくでしょう。

「⑦外的環境の把握」

ガイドラインの項目のうち「⑦外的環境の把握」は少し毛色が違います。2021年に、LINE社の中国企業へのアプリの開発保守委託に関して、 LINEサービスに中国政府によるデータ提供要求(「ガバメントアクセス」)の懸念があるのではと大きく取り上げられました。このように、外国へのデータ移転がある場合には、外国における法令・実務など安全性の検討ポイントが一つ増えることになります。

まとめ

取引先から個人データの安全管理措置について照会を受けた際、データ漏洩等が他人事でなく、大企業にとってサプライチェーン全体の情報セキュリティ体制が現実的な課題となっていることを理解することが重要です。それにより、噛み合ったやりとりが期待できるでしょう。

照会に対しては、自社のデータ管理の現状を把握した上で、ガイドラインの7つの項目に沿って、リスク分析と対応を検討し実施します。本記事では、ごく概括的な説明に留めましたが、ガイドラインにはより詳細な内容があり、また、個人情報保護法上、安全管理措置以外の規制もあります。専門家に相談しながら体制を構築することが望ましいでしょう。

なお、大企業からセキュリティ対策について一方的な要求がなされる場合、一考の余地があります。以下の「補論」をご参照ください。

補論(費用のかかるセキュリティ対策を取引先から要求される場合)

大企業のサプライチェーンセキュリティ対応として、貴社に対して、費用のかかる特定のセキュリティ対策を要請する場合もあります。その場合、貴社としてはセキュリティ対策も含めると業務提供のコストが増えます。つまり、セキュリティ対策の要請も、取引条件の一つとして取引価格とセットで考えられるべきといえるでしょう。自社の提供するサービスの水準が上がるものという言い方もできるでしょう。

このようなコスト上昇を考慮することなく取引価格を一方的に決定するような要求は、独占禁止法下請法の問題となりえるものです。公正取引委員会・経済産業省がQ&Aを公表し、セキュリティ対策の内容や費用負担について十分な協議交渉が行われることが望ましいと述べています。

この記事は、2024年2月1日に作成されました。

関連Q&A

悪質クレームへの対応方針を教えてください。
当社は食品の小売店を経営しています。「商品から異臭がした。代金を返してくれ。」とのクレームを受けることがあり、現物がない場合には原則として何も対応しないという方針としています。しかし、大声で怒鳴り散らしたり暴言を吐くなど悪質なクレームをする顧客もしばしばおり、毎回対応に困っています。このような顧客への対応方針を決めたいのですが、どうすればよいでしょうか?
映像制作のための原作使用許諾契約書の締結が事後的になりそうです。
映像コンテンツ制作にあたり、原作者と原作使用許諾契約書を結ぼうと思います。ただ、制作スケジュールがタイトのため、締結に先んじて映像制作を開始したいです。事後的に契約書を締結する場合、どのような問題がありますでしょうか?
ソースコードは著作権で保護されるのでしょうか?
ソフトウェア制作にあたり、開発を外注することになりました。自社のために作られたソースコードは自社の著作物として他社での転用を禁止したいのですが、そもそもソースコードは著作権の保護対象なのでしょうか?
台湾企業とパートナー契約をして台湾進出する際、どのような点に気を付けるべきでしょうか。
当社は海外展開を進めている日本のメーカー企業です。今回、台湾進出にあたり、現地企業とパートナー契約を結ぶことになりました。当社の技術や個人情報を共有して運営することになるのですが、どのような点に気を付けるべきでしょうか。
特許侵害訴訟の訴状を受けたら、どう裁判に対応すべきでしょうか。
弊社は精密機械メーカーですが、新製品を開発し販売を開始したところ、他社から「当社の特許権を侵害している」とのことで警告書が届き、交渉したのですが、裁判所から訴状が届きました。弊社としてどのように裁判に対応すればよいでしょうか。