【GDPR実践的詳解~こんな時どうする?(全6回)】
第2回:GDPRで強化される外注管理義務
バックナンバー
2017/07/20
IT担当者が取り組むべき「個人情報保護とデータローカライゼーション」対策セミナー
~世界の法規制・セキュリティ脅威の動向と、その対策を徹底解説~
規制強化される外注管理義務
EU一般データ保護規則(GDPR)の施行(2018年5月25日)まで残り1年を切りました。GDPR遵守対応に関する問い合わせには、欧州から日本など第三国への個人データの移転に関すること、個人データ処理に対する「同意」の正しいとり方や同意が及ぶ範囲に関すること、データ保護影響調査の要否と実施方法に関することが多いのですが、これらに劣らず重要なポイントが、今回ご紹介する個人データ処理の外注管理に関する規制強化です。
個人データ処理の外注を受託する事業者は、GDPRにおいて「処理者」(processor)と称されます。管理者が個人データ処理の目的と手段を決定する責任主体であるのに対して、処理者は、管理者からの書面による指示に基づいて、管理者が決定した目的と手段に従って個人データ処理を実際に行う主体です。個人データ処理における外注の典型的な例として、仮想マシン、ストレージなどクラウド・インフラ・サービスの利用、メール、給与管理、営業管理などクラウド・アプリケーション・サービスの利用、個人データを取り扱うシステムのデータ保守管理、個人データの取扱を伴うビジネスプロセスのアウトソーシングなどが考えられます。
外注管理に関わる制裁金は思わぬ落とし穴
適切な外注管理を怠ったことを理由として管理者が制裁金を賦課されたケースは、旧EUデータ保護指令(95/46/EC、以下「旧指令」)に基づくEU加盟各国の現行個人データ保護法制においても多数見られます。英国のデータ保護監督機関であるICOにおける最近の例を2つご紹介します。
ECサイトのカード情報漏えいに制裁金(2017年4月)
建築資材ECサイトを運営するC社からECサイト開発運用を受託したX社が開発したシステムにセキュリティホールがあり、これを放置した結果、SQLインジェクションの手口で顧客600名以上の個人データを盗取され、詐欺目的に利用された。ICOは、管理者(外注委託者)であるC社が個人データ保護のための適切な技術的対策をとらなかった、具体的には定期的なペネトレーションテストなど必要な予防措置を怠ったとして、C社に制裁金を課した。
ゲートウェイ機器の脆弱性を攻撃され個人データを漏洩させた市役所に制裁金(2017年5月)
イングランドの某市役所が利用中のSonicWallを管理する外注業者が同機器のOpenSSL脆弱性に対応するパッチの適用を怠った結果、同脆弱性を利用して30,000通のメールが盗取された。ICOは市役所がリスクに相応のセキュリティ対策をとるよう外注業者を管理できなかった責任を認め、制裁金を課した。
上記2例に共通するのは、外注業者(処理者)のミスが原因で、データ侵害事故が発生し、管理者が制裁金を賦課されていることです。データ侵害事故を未然に防止するため、管理者としては、自社内の業務プロセスにおいて個人データの漏洩、誤用などがないよう細心の注意を払うだけではなく、外注している処理業務についても、GDPRの重要な基本思想であるリスク・ベース・アプローチに基づいて、そのプロセスに潜むリスクを評価し、リスクシナリオが発現する可能性と深刻度に応じて、データ保護のために必要なセキュリティ対策をとるよう、処理者(外注受託業者)に指示し、そのような対策の実行を監視し、事情変更の際にはリスク評価のプロセスを再度行うなど、処理者に対する日常的なチェックを続ける必要があります。
GDPRでは、個人データの処理に関与するすべての関係者(管理者、処理者、再処理者…)に対して、適切な保護措置を実行するとともに、データ主体の権利を保証するために必要な義務を課しています。また、管理者に対しては、それら関係者全員の義務履行を証明する責任(アカウンタビリティ責任)を課することによって実効性を確保しようという考えから、管理者の処理者(外注受託業者)に対する管理責任に関する規制が大幅に強化されました。
旧指令とGDPRの外注管理規制の比較
再処理に関する旧指令及びGDPRの規制内容の概要を比較したのが次の表です。特筆すべき規制強化点は、下記4点です。
- 処理者(外注受託業者)による個人データの処理は管理者(外注委託者)の書面による指示に基づいてのみ行うこと
- 復処理(再委託)は管理者からの書面による同意が必要であること
- 処理に関する遵守義務を広い範囲にわたって契約書面化することを義務づけ、復処理(再委託)が連鎖する場合はこれらの遵守義務も連鎖するような構造としたこと
- 管理者のアカウンタビリティ責任履行に対する処理者の支援義務を定めたこと
処理に関する旧指令及びGDPRにおける規制内容の比較
| 旧指令 | GDPR | |
|---|---|---|
| 処理者の選択 | 実施する処理に関する技術的安全対策及び組織的対策について十分な保証を提供する処理者を選択しなければならない。 | GDPRの要求を満たし、データ主体の権利保護を保証できるよう、適切な技術的・組織的対策の実施を十分に保証する処理者を選択しなければならない。 |
| 管理者の指示 | 処理者による個人データの処理は、管理者からの指示に基づいてのみ行わなければならない。 | 処理者による個人データの処理は、管理者からの書面による指示に基づいてのみ行わなければならない。 |
| 契約を書面化しなければならない事項 |
|
|
| 処理再委託の事前書面同意 | 管理者による事前の書面同意がなければ、処理を再委託してはならない。 | |
| 復処理における義務の連鎖 | 処理の再委託が連鎖する場合、書面による契約で、最初の処理契約と同じデータ保護義務を受託者に対して連鎖的に課すこと。 | |
| 個人データ処理記録 |
|
外注管理のGDPR遵守対応は早めの準備が必要
上の比較表からわかるように、これらの外注に関する規制強化のうちには、処理者(委託先)にとって新たな負担になる義務があります。その代表的なものは、データ侵害事故の監督機関への届出に関する管理者の支援義務、管理者のアカウンタビリティ責任(※)履行への協力義務(情報提供、監査受忍など)、個人データ処理記録の保持義務などです。これらの義務の履行は処理者に対して新たに相当の負担を強いることになるはずで、追加工数の確保、費用負担などについて管理者と処理者とが合意し、GDPR準拠の書面契約を締結し直すためには、相当の時間と労力を要することが予想されます。
したがって、管理者の立場にある企業においては、欧州での個人データ処理に関する外注の流れを再委託の連鎖も含めて明らかにし、関係する外注先(処理者、復処理者)と協力して必要な業務プロセスを確立するとともに契約書面化を進めるべく、早い時期に対応準備を開始する必要があると思われます。
なお、第28条第7項では、このような規制内容を盛り込んだ処理契約の標準契約条項(standard contractual clauses)を欧州委員会が定めることができると規定しています。現在のところ、このようなSCCの作成に関する具体的な動きは29条作業部会周辺からは聞こえてきません。第三国移転に関するSCCモデル条項の成立経緯から類推すると、GDPR施行後に積み重ねられた処理契約の事例が経済団体、業界団体などでモデル化されたドラフトが欧州データ保護会議(EDPB)に提案され、EDPBでの検討を経てSCCモデル条項として採択される、といった方向性をとるのではないかと想像されます。
※アカウンタビリティ責任:義務を履行していることを証明する責任。GDPRの基本思想の重要な柱です。管理者の具体的義務を定めた多くの条文において、個人データの処理に関わる管理者は、義務を履行していることを証明できなければ、義務に違反しているとみなされるという構造がとられています。
- 第1回:個人データの第三国移転パターンに応じたSCCモデル条項の使い分け
- 第2回:GDPRで強化される外注管理義務
- 第3回:「職場の個人データ処理について」29条作業部会意見書の解説
- 第4回:個人データ侵害通知に関するガイドラインの概要
・IIJ GDPR対策ソリューション
・IIJ DPOアウトソーシングサービス
・IIJコンプライアンスプラットフォーム for GDPR
株式会社インターネットイニシアティブ ビジネスリスクコンサルティング部
プリンシパルコンサルタント 鎌田 博貴
