
個人情報取扱事業者が、個人データの取り扱い業務を委託する場合、委託先における安全管理措置を監督する義務があります。このことは、個人情報保護法22条に明記されています。
2019年(平成31年)3月、個人情報保護委員会が、中小企業を対象に安全管理に関する調査を行ったところ、個人情報の取り扱いを外部に委託しているのは417社(回答全体の8.7%)でした。そのうち法律で定められた委託先の監督を「行っている」と回答した割合は30.9%とどまり、「行っていない」という回答は53.2%に上りました。(回収数4,803件、回収率16.0%)

個人情報の罰則規定(第82条~88条)では、最大で6ヶ月以下の懲役または30万円以下の罰金に処せられることになります。損害賠償は、それを上回る額になる可能性があります。
そこで、外部業者に業務委託する際、次のような点に注意しましょう。

個人情報の罰則規定(第82条~88条)では、最大で6ヶ月以下の懲役または30万円以下の罰金に処せられることになります。損害賠償は、それを上回る額になる可能性があります。
そこで、外部業者に業務委託する際、次のような点に注意しましょう。
業務委託内容の精査
委託する業務内容に個人情報が含まれるかどうか、委託内容を精査しましょう。
業務委託契約に安全管理措置を明記
個人情報の扱いについて、委託契約(基本契約)に安全管理措置を明記しておきましょう。委託業務に個人情報が含まれるか否かにかかわらず、その扱いを盛り込んでおくと安全です。
一般社団法人情報サービス産業協会(JISA)が、『個人情報保護モデル契約(改訂第2版)』を刊行しており、これを参考にするといいでしょう。
一般社団法人情報サービス産業協会(JISA)が、『個人情報保護モデル契約(改訂第2版)』を刊行しており、これを参考にするといいでしょう。
監査
契約で定められた安全管理措置が継続的に行われているかどうか、委託業者を定期的に監査することも大切です。
たとえば、毎年書面による報告を求め、3年に1度、現場監査に赴くという手順が考えられます。
監査を実施したら、かならずその記録を自社に残しましょう。記録は、日時と管理者が証明できるのであれば、書面(押印)でも電子データでも構いません。
たとえば、毎年書面による報告を求め、3年に1度、現場監査に赴くという手順が考えられます。
監査を実施したら、かならずその記録を自社に残しましょう。記録は、日時と管理者が証明できるのであれば、書面(押印)でも電子データでも構いません。
サプライチェーンを狙ったサイバー攻撃

サプライチェーン
サプライチェーンは、原材料の調達から製品の製造、流通、販売、消費者への配送までの一連のプロセスを指します。
近年、サプライチェーンを狙ったサイバー攻撃が増えており、IPA(独立行政法人 情報処理推進機構)が情報セキュリティ事故や脅威の状況から選出した「情報セキュリティ10大脅威」によると、組織片では、2020年(令和2年)以降3年連続で「サプライチェーンの弱点を悪用した攻撃」がランクインしています。

たとえば、トヨタ自動車をめぐるサプライチェーン攻撃だけでも、これだけの事例が発生しています。
2022年(令和4年)3月、自動車部品を製造しているデンソーのドイツグループ会社がランサムウェア攻撃を受けました。生産への影響はしていないといいますが、設計図や発注書など15万点以上のファイルが盗まれました。
2023年(令和5年)2月、トヨタ関連の自動車部品メーカー・小島プレス工業がランサムウェア攻撃を受け、.部品の生産に関わる受発注システムが底止し、トヨタ自動車の国内全14工場が停止する事態になりました。
2024年(令和6年)2月、社用車専用クラウドサービス「Booking Car」を運用するトヨタモビリティサービスに不正アクセスがあり、約25,000件のメールアドレスと顧客識別番号が漏洩しました。

たとえばサプライチェーンがランサムウェア攻撃を受けた場合、システムの調査復旧にかかる直接的な費用は身代金より安価かもしれませんが、投入したプロパー人件費や、生産停止に伴う機会損失費用を合算すると、相当な損害になります。だからといって身代金を払ってはいけません。
また、ネットワークやクラウドを経由して、マルウェアの感染がサプライチェーン全体に及ぶリスクもあります。

また、ISMS企業や Pマーク取得企業でもサイバー攻撃の被害を受けていることにも留意しなければなりません。ISMSやPマークといった認証は、サプライチェーンを意識して用意されたものではありません。
近年、サプライチェーンを狙ったサイバー攻撃が増えており、IPA(独立行政法人 情報処理推進機構)が情報セキュリティ事故や脅威の状況から選出した「情報セキュリティ10大脅威」によると、組織片では、2020年(令和2年)以降3年連続で「サプライチェーンの弱点を悪用した攻撃」がランクインしています。

たとえば、トヨタ自動車をめぐるサプライチェーン攻撃だけでも、これだけの事例が発生しています。
2022年(令和4年)3月、自動車部品を製造しているデンソーのドイツグループ会社がランサムウェア攻撃を受けました。生産への影響はしていないといいますが、設計図や発注書など15万点以上のファイルが盗まれました。
2023年(令和5年)2月、トヨタ関連の自動車部品メーカー・小島プレス工業がランサムウェア攻撃を受け、.部品の生産に関わる受発注システムが底止し、トヨタ自動車の国内全14工場が停止する事態になりました。
2024年(令和6年)2月、社用車専用クラウドサービス「Booking Car」を運用するトヨタモビリティサービスに不正アクセスがあり、約25,000件のメールアドレスと顧客識別番号が漏洩しました。

たとえばサプライチェーンがランサムウェア攻撃を受けた場合、システムの調査復旧にかかる直接的な費用は身代金より安価かもしれませんが、投入したプロパー人件費や、生産停止に伴う機会損失費用を合算すると、相当な損害になります。だからといって身代金を払ってはいけません。
また、ネットワークやクラウドを経由して、マルウェアの感染がサプライチェーン全体に及ぶリスクもあります。

また、ISMS企業や Pマーク取得企業でもサイバー攻撃の被害を受けていることにも留意しなければなりません。ISMSやPマークといった認証は、サプライチェーンを意識して用意されたものではありません。
サプライチェーン対策評価制度
こうした事態を受け、経済産業省は2023年(令和5年)3月24日、経営者向けのサイバーセキュリティー対策の指針「サイバーセキュリティ経営ガイドライン」を5年ぶりに改訂し、サプライチェーン全体のセキュリティー対策に関する記述を強化しました。
また、2024年(令和6年)7月にはサプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループを立ち上げ、これまでバラバラだった企業のセキュリティ対策を統合し、5段階に分けて格付けする仕組みを検討しています。
このワーキンググループで検討している格付け案を下記に掲げます。あくまで案ですので、今後、変わっていく可能性があります。
また、2024年(令和6年)7月にはサプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループを立ち上げ、これまでバラバラだった企業のセキュリティ対策を統合し、5段階に分けて格付けする仕組みを検討しています。
このワーキンググループで検討している格付け案を下記に掲げます。あくまで案ですので、今後、変わっていく可能性があります。

サプライチェーン対策評価制度(案)
参考サイト
- 中小規模事業者の安全管理措置に関する実態調査 報告書 平成31年3月:個人情報保護委員会
- セキュリティ診断チェックリスト:ぱふぅ家のホームページ
- プライバシーポリシーをつくる:ぱふぅ家のホームページ
- PマークとISMSの違いと取得・維持について:ぱふぅ家のホームページ
- サイバーセキュリティ経営ガイドライン:経済産業省
- サプライチェーン攻撃の事例を一挙紹介! 被害事例から見える対策法:Sky
- サプライチェーン強化に向けたセキュリティ対策評価制度に関するサブワーキンググループ
(この項おわり)