TOPQ&A記事取引先からの個人情報管理体制に関する照会にはどう対応したら良いですか?
SHARE

取引先からの個人情報管理体制に関する照会にはどう対応したら良いですか?

取引先から、当社の個人情報の管理体制について問い合わせを受けました。どのように対応したらよいでしょうか?
個人データの安全管理体制について、個人情報保護委員会のガイドラインを参考に、自社の状況を把握した上で、リスク分析、対策の検討・実施、説明できるようにするとよいでしょう。
なお、安全管理措置を相応のコストをもって整備することは、自社の提供するサービスの水準が上がるものとして取引の受注金額にも適切に反映されることが望ましいでしょう。大企業が、取引先に対策コストを顧みず、一方的な要求をする場合には法的な問題となる場合があります。
回答者
林 知一 弁護士
小川綜合法律事務所

取引先の情報セキュリティ管理について高まる関心

2023年でも、NTT西日本の子会社から900万件を超える顧客情報が流出していたとの事件(2023年10月)や、LINEアプリの利用者情報の漏洩事件(2023年11月)など、大企業の個人情報漏洩が注目を集めました。これらの情報漏洩事案では、大企業が直接狙われるのでなく、外部委託先がターゲットになる例が少なくありません

そのため、大企業では、自社の安全管理体制にとどまらず、委託先や取引先まで含めた情報セキュリティ管理体制の整備について関心が非常に高まっています(「サプライチェーンセキュリティ」)。

個人情報保護法上の安全管理措置

個人データの取扱いには、自社だけでなく、その委託先についても安全管理措置が実施されることが要求されます(個人情報保護法23条、25条)。取引先が、貴社(質問中の「当社」)に、個人データの安全管理措置について照会するのはそのためです。

安全管理措置とは

個人情報保護法では、安全管理措置について特定の認証規格が要求されてはいるわけではありません。データの取扱いの実態を踏まえ、リスクに応じて必要かつ適切な対応を検討・実施することになります。

安全管理措置について、個人情報保護委員会がガイドラインを作成しています(個人情報の保護に関する法律についてのガイドライン(通則編))。国内の多くの企業が、ガイドラインに照らして、自社の安全管理措置についてチェックし体制を整えようとしています。貴社でも、この項目に沿って説明を準備するとよいでしょう。

<安全管理措置のガイドライン項目>

① 基本方針の策定

② 個人データの取扱いに関する規律の整備

③ 組織的安全管理措置

④ 人的安全管理措置

⑤ 物理的安全管理措置

⑥ 技術的安全管理措置

⑦ 外的環境の把握

 

対応のポイント

現状の把握

データの保管や管理について、そもそも現状の把握ができていない、ということが少なくありません。現状の把握が、安全管理体制の一歩目といえます。

<把握できていますか>

① 取引先のどういう個人データに貴社がアクセスできるか(安全管理の対象)

② 貴社の誰がアクセスできるか(「人的」な観点)

③ 貴社のどのような機器で保管しているか・アクセスできるか(「物理的」「技術的」な観点)

 

例えば、貴社にて、業務上アクセスの必要ないスタッフが、取引先の個人データにタッチできるようになっていないでしょうか(「人的」な観点)。また、データを保存しておくPC等について必要なアップデートが未了である、不特定多数の人が出入りする環境に置かれている、などセキュリティ面について把握はできているでしょうか(「物理的」「技術的」な観点)。

リスクの把握と対策

現状を把握した上で、貴社の個人データの保管・管理にどのようなリスクがあるかを分析することが重要です。リスクを言語化することで、リスクに応じた安全管理措置を検討することができます。個人データの管理について社内の責任体制を構築していくことが「組織的」な対策へつながるでしょうし、技術的なアクセス制限をかけるなど「技術的」な対策、また、個人データにアクセスする従業員への教育など「人的」な対策、貴社での個人データについての方針や社内規則の制定が「方針」・「規律の整備」へとつながっていくでしょう。

「⑦外的環境の把握」

ガイドラインの項目のうち「⑦外的環境の把握」は少し毛色が違います。2021年に、LINE社の中国企業へのアプリの開発保守委託に関して、 LINEサービスに中国政府によるデータ提供要求(「ガバメントアクセス」)の懸念があるのではと大きく取り上げられました。このように、外国へのデータ移転がある場合には、外国における法令・実務など安全性の検討ポイントが一つ増えることになります。

まとめ

取引先から個人データの安全管理措置について照会を受けた際、データ漏洩等が他人事でなく、大企業にとってサプライチェーン全体の情報セキュリティ体制が現実的な課題となっていることを理解することが重要です。それにより、噛み合ったやりとりが期待できるでしょう。

照会に対しては、自社のデータ管理の現状を把握した上で、ガイドラインの7つの項目に沿って、リスク分析と対応を検討し実施します。本記事では、ごく概括的な説明に留めましたが、ガイドラインにはより詳細な内容があり、また、個人情報保護法上、安全管理措置以外の規制もあります。専門家に相談しながら体制を構築することが望ましいでしょう。

なお、大企業からセキュリティ対策について一方的な要求がなされる場合、一考の余地があります。以下の「補論」をご参照ください。

補論(費用のかかるセキュリティ対策を取引先から要求される場合)

大企業のサプライチェーンセキュリティ対応として、貴社に対して、費用のかかる特定のセキュリティ対策を要請する場合もあります。その場合、貴社としてはセキュリティ対策も含めると業務提供のコストが増えます。つまり、セキュリティ対策の要請も、取引条件の一つとして取引価格とセットで考えられるべきといえるでしょう。自社の提供するサービスの水準が上がるものという言い方もできるでしょう。

このようなコスト上昇を考慮することなく取引価格を一方的に決定するような要求は、独占禁止法下請法の問題となりえるものです。公正取引委員会・経済産業省がQ&Aを公表し、セキュリティ対策の内容や費用負担について十分な協議交渉が行われることが望ましいと述べています。

この記事は、2024年2月1日に作成されました。

関連Q&A

カスタマーハラスメントにどのように対応したらいいでしょうか。
最近、当社の商品に対して、言いがかりともいえる苦情を言い、くり返し電話をしてきては、商品の返品や交換を何度も求めてくるお客様がいます。このようなお客様にはどのように対応したらいいでしょうか?
契約書の確認や契約書雛型の作成を専門家に依頼すべきでしょうか?
数年前にIT企業を立ち上げたのですが、取引先から提示された契約書に応諾して、契約を締結している状況です。取引先を信頼しておりますし、今のところトラブルが発生しているわけではないのですが、徐々に取引金額が増えてきていますので、そろそろ、専門家に依頼して、契約書の確認を受けることや、自社の契約書雛型を作成することを検討した方がよいのでしょうか。
秘密保持契約書を締結すべきでしょうか。
弊社で開発を行う新商品の製造・販売について、他社と業務提携を検討し、協議を進めているのですが、従業員から秘密保持契約を締結しておかなくて大丈夫かと相談がありました。既にある程度の情報の開示はしているのですが、今からでも秘密保持契約書の締結を検討すべきでしょうか。
自社の製品を模倣されました。
自社製品のデザインにそっくりな製品が、他社から販売されていることに気付きました。勘違いして購入してしまうお客様がいそうなので、SNSで注意喚起を行いたいですし、すぐに販売を止めて欲しいです。また取引先に対しても、これは自社製品ではないと伝えておきたいです。どうすればよいですか?初期対応や注意が必要な点についてアドバイスをお願いします。
悪質クレームへの対応方針を教えてください。
当社は食品の小売店を経営しています。「商品から異臭がした。代金を返してくれ。」とのクレームを受けることがあり、現物がない場合には原則として何も対応しないという方針としています。しかし、大声で怒鳴り散らしたり暴言を吐くなど悪質なクレームをする顧客もしばしばおり、毎回対応に困っています。このような顧客への対応方針を決めたいのですが、どうすればよいでしょうか?