委託先の事故から共に成長する――委託先の漏えい：セキュリティ対策は事前と事後をつなぐ時代（1/3 ページ）

業務のアウトソーシングが増える中で、委託先での情報漏えいリスクも高まりつつある。委託元と委託先がお互いに情報セキュリティ対策をどのように強化していけばいいのか。ある事件を例に考えてみよう。

[尾崎孝章，デンカク]

本記事はセキュリティ事故への対策強化を考える連載の4回目です。前回はこちら。

　企業の中核事業に注力するコアコンピタンス経営は、中核事業以外の業務をアウトソーシングすることが多い。情報管理の面では個人情報や機密情報などが外部企業へ分散されやすく、結果としていわゆる委託先での事故というものが発生しやすくなる。企業には、委託元の立場からの情報管理も問われており、特に個人情報については「個人情報保護法」第22条で「委託先の監督」として、委託元の責任が明確に規定されている。今回は、アウトソーシングする委託先での個人情報の事故を受けて、委託元としてどのような管理を実行していくべきかをある事例を通じて考えよう。

（本記事に登場する事例、人物、組織は架空のものです。）

事故はこうして起こった！

　工業用部品メーカーのK社は、部品カタログをはじめとする各種印刷物を印刷会社のF社に発注している。その一環として社員名簿の作成もF社に委託していた。いずれもF社が用意する専用のWebサイトを通じてK社が印刷データをアップロードし、F社が印刷データを受け取って、印刷している。

　ある日、K社が名簿作成用データとしてアップロードした社員150人分の個人情報が、半日間ほどF社のサイト上でいつでも閲覧できる状態にあったことが、K社の社員が別件でアクセスした際に発覚した。F社は急いでWebサイトのフォルダのアクセス権限を変更し、本来はF社がダウンロード後に削除しておくべきデータを削除した。その後、閲覧状態にあった間の印刷データがダウンロードされたのかを操作ログで確認した。ダウンロード自体が行われた形跡自体はなく、K社に連絡して謝罪をした。

　K社がF社を利用するようになった背景には、K社の社長とF社のS部長が古くからの知り合いであったことがある。漏えい事故の可能性が低いこともあり、両社の取引を一時停止するという判断には至らなかった。しかし、K社の総務人事を担当するU課長は、今回の事故の対象が社員の個人情報であったこと、削除すべきデータが削除されていなかったというF社の管理体制を問題視し、F社からの報告で終わらせるわけにはいかないことをK社内で確認した。そしてU課長が中心となって、F社のセキュリティ管理体制やセキュリティ実行状況について確認を求めることにした。