社会保険労務士向けのクラウドサービスである「社労夢」。
昨年、ランサムウェアの被害に合い、個人情報の漏洩した恐れがある状況です。
社労士が取り扱うデータなので氏名、生年月日、基礎年金番号、マイナンバーなどになります。
ここでは情報漏洩についてはさておき、大きな問題になりかねない話が出てきています。
クラウドサービス事業者に再委託?
個人情報保護法においては、個人データの取り扱いを外部に委託する場合、委託先を監督する義務があります。
本ケースでは、クラウドサービスの利用が「再委託」の扱いとなり、
サービス利用企業側、つまり社労士のクライアント企業側が「違法」となる可能性が出てきました。
何をもって再委託となるか
本ケースでは、クライアント企業 -> 社労士 -> クラウドサービス のような契約の構図になることがあり、
クライアント企業からすると社労士がクラウドサービスに再委託していることになります。
反対に言うと、クラウドサービスはクライアント企業の個人データを取り扱っているということになります。
単なるデータ保管の「場所貸し」ではなく、保守やサポートのためにデータにアクセスできる状況であった、という点が再委託と判断される可能性のあるポイントのようです。
契約の再確認を
私は法律の専門家ではないため正しいことは言えませんが、
個人情報に関わる条項について、再点検をした方がよいとも言えるでしょう。
個人データの取り扱いを委託している場合、安全管理措置としての役割や責任の分担などを合意した内容を契約などで明確化する、実施状況の定期的な報告を受ける、といった対策が必要になる可能性があるようです。
クラウドサービス等、便利な仕組みが増えてきました。
しかし、関係者が増える分、契約の内容について色々と気をつけていく必要があるとも感じますね。
メルマガ『Professional's eye』
"意見が持てる"デジタルコラム
週1回配信、3分で楽しめます。
送信いただいた時点で「Privacy Policy」に同意したとみなします。
広告を含むご案内のメールをお送りする場合があります。
