特集
  • ニュース
  • 特集
  • 実務Q&A
  • 弁護士名鑑

データ管理等の業務委託をする際に検討すべき契約・運用上のポイント 尼崎市のUSB紛失事案を踏まえた情報セキュリティ

IT・情報セキュリティ

目次

  1. 業務委託の特徴に応じた実務対応の必要性
  2. 尼崎市事案の概要と特徴
  3. 情報セキュリティの重要性
    1. 情報セキュリティとは何か
    2. 情報セキュリティの落とし穴
  4. クラウドサービスを利用した委託と、尼崎市事案タイプの業務委託との違い
    1. クラウドサービスを利用した委託
    2. 尼崎市事案タイプの業務委託の場合
  5. 尼崎市事案タイプの業務委託契約で注意すべき条項
    1. 再委託
    2. 定期的報告義務
    3. 契約期間(自動更新、契約更新等)
    4. 情報セキュリティを踏まえた契約条項全体の確認
  6. 契約上および運用上のポイント
    1. 契約上のポイント
    2. 運用上のポイント

業務委託の特徴に応じた実務対応の必要性

 近時、企業等が保有する情報は増え続けており、また、情報は電子データで保有されることが多くなってきています。そして、今後もこの傾向が続くことが予想されます。
 このように、企業が多くの電子データを保有する中で、企業が自ら情報システムを構築し、すべての情報を管理、保守、処理等(以下「管理等」といいます)することは容易ではないため、情報の管理等について外部の専門業者に委託することが不可欠になりつつあります。
 しかしながら、専門業者に委託してしまえば安全というわけではありません。2022年6月に兵庫県尼崎市で発生した、尼崎市民の個人情報が入ったUSBメモリを一時紛失した事案(以下「尼崎市事案」といいます)は、その最たる例といえます。

 企業が情報の管理等を外部へ委託する場合には、その業務委託の特徴を踏まえ、また、情報セキュリティを念頭に置いて契約条項を検討することが重要です。

 そこで、以下では、まず、尼崎市事案の概要・特徴や情報セキュリティの重要性などについて整理したうえで、業務委託の契約上および運用上のポイントについて解説します。

尼崎市事案の概要と特徴

 尼崎市USBメモリー紛失事案調査委員会が作成した令和4年11月28日付け「尼崎市USB メモリー紛失事案に関する調査報告書」(以下「本件報告書」といいます)によれば、尼崎市事案の概要は以下のとおりです。

 尼崎市は、大手システムベンダーであるA社との間で、令和4年2月3日付けで、臨時特別給付金対応業務(以下「本件委託業務」といいます)について委託契約(以下「本件委託契約」といいます)を締結しました。本件委託契約の仕様書等により、A社が、本件委託業務を他社に再委託する場合には、尼崎市から書面による承諾を得なければなりませんでした。しかし、A社は、尼崎市から承諾を得ることなく、本件委託業務をB社に再委託し、さらにB社は本件委託業務をC社に再々委託しました。また、A社は、尼崎市から承諾を得ることなく、D社にも本件委託業務を再委託しました。
 C社の従業員Xは、令和4年6月21日に、本件委託業務を行うために、給付金サーバに格納された個人データをUSBメモリ(以下「本件USBメモリ」といいます)に保存し、尼崎市の市政情報センター内で作業を行った後、コールセンターに向かい、A社の従業員2名、および、D社の従業員1名とともに、コールセンターで本件USBメモリを用いる作業等を行い、19時前後に作業を終えました。
 その後、Xは、本件USBメモリを入れたカバンを携帯して、他の3名とともにコールセンターの近くの飲食店で23時前まで会食をし、その際、Xはアルコールを大量に飲んでいました。そして、会食後の6月22日午前3時頃、Xは、知らない場所で寝てしまっていて、本件USBメモリを入れたカバンを紛失したことに気がつきました。同日、Xは交番に遺失物届けを提出し、A社や尼崎市の職員に、本件USBメモリを紛失したことについて説明をしました。そして、6月24日にXが警察とともに捜索をしたところ、同日午前11時半頃に、本件USBメモリの入ったカバンが発見されました。

 尼崎市事案における業務委託には、大きく以下の2つの特徴があります。

  1. クラウドサービスを利用したものではないこと:データ自体は自らが管理するサーバに保存し、当該サーバにおけるデータの処理等の業務を外部の専門業者等に委託
  2. USBメモリ等の記録媒体を使用:データの処理等の委託業務にあたっては、外付けの記録媒体を使用

情報セキュリティの重要性

 企業が保有する情報を管理等し、漏洩等しないようにするためには、情報セキュリティを踏まえて業務委託契約の契約条項を検討することが重要となります。

情報セキュリティとは何か

 情報セキュリティとは、「情報の機密性、完全性および可用性を維持すること」をいいます 1。また、ここでいう機密性、完全性、可用性は、情報セキュリティの3要素ともいわれます。

情報セキュリティとは、「情報の機密性、完全性および可用性を維持すること」
    (情報セキュリティの3要素)
  • 機密性:認可されていない個人、エンティティまたはプロセスに対して、情報を使用不可または非公開にする特性
  • 完全性:正確さおよび完全さの特性
  • 可用性:認可されたエンティティが要求したときに、アクセスおよび使用が可能である特性

参考:総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(2021年9月)30〜33頁

情報セキュリティの落とし穴

 情報セキュリティについては、相対的に「機密性」のイメージが強く持たれており、「重要な情報の情報セキュリティを高めるためには機密性を高めればよい」と誤解されていることが多いように思われます。
 しかし、たとえば、ある製品の製造に関する情報について一切の複製をできない旨のルールを定めて、システム上も当該情報を電子的に複製できない設定を行ったものの、実務上は当該情報を緊急時に複製等して利用する必要性が高い場合には、緊急時において従業員がやむを得ず、自ら保有する私用のスマートフォンで当該情報が記載された資料を写真撮影して利用する等のルール違反が起きかねません。
 また、このようなルール違反がひとたび発生すると、ルール違反が常態化していき、情報セキュリティが大きく低下してしまうおそれがあります。
 そのため、情報セキュリティの3要素(機密性、完全性、可用性)を総合的に考慮して、バランスを取ることにより、情報セキュリティを高めることが重要となります。

クラウドサービスを利用した委託と、尼崎市事案タイプの業務委託との違い

 クラウドサービスは、クラウド事業者がデータを管理等し、利用者がインターネットを介して利用するサービスです。
 業務委託の特徴を踏まえた契約条項の検討を行ううえでは、クラウドサービスを利用する場合とそうでない場合とを比較するとわかりやすいといえます。

クラウドサービスを利用した委託

 企業がデータの管理等のためにクラウドサービスを利用する場合には、当該クラウドサービスの情報セキュリティについてSLA(Service Level Agreement)を踏まえて検討し、利用の採否を決めることが重要となります。SLAとは、提供されるクラウドサービスの範囲・内容・前提事項を踏まえたうえで「サービス品質に対する利用者側の要求水準と提供者側の運営ルールについて明文化したもの」をいい、多くの場合、契約文書の一部、または、独立した文書として締結されます 2
 そのため、企業がクラウドサービスを利用する場合には、クラウドサービスに求める品質のレベルについては、情報セキュリティの3要素のバランス、および、クラウド事業者に管理を委託するデータの重要性、秘密性等を踏まえ、利用料金とのバランスを考慮して決めることが重要となります。

 なお、クラウドサービスを利用する場合の情報セキュリティに関する留意点については、「クラウドサービス(SaaS)利用契約における情報セキュリティに関する留意点」をご参照ください。

尼崎市事案タイプの業務委託の場合

 これに対して、尼崎市事案のように、データ自体は自らが管理するサーバに保存し、当該サーバにおけるデータの処理等の業務を委託するタイプの業務委託の場合には、実務上、SLAが締結されるケースは少ないといえます。その主な理由として、クラウドサービスを利用しない業務委託では、委託者から個別具体的な業務を依頼されるため、クラウドサービスを利用する場合と比較して定型性が低いことが挙げられます。

 たとえば、尼崎市事案では、尼崎市が委託した事業者の再々委託先の担当者が、データ処理の業務終了後に、業務処理で使用した本件USBメモリを入れたカバンを携帯したまま会食に参加して、アルコールを大量に飲み、本件USBメモリを紛失しました。そのため、そもそもUSBメモリ等の記録媒体の使用を禁止しさえすれば、漏洩しにくくなるようにもみえます。
 しかしながら、データ処理業務の内容によっては、記録媒体を用いないで行うことは困難であったり、記録媒体を用いなければ多大なコストがかかってしまう場合もあります。そのため、尼崎市事案のようなクラウドサービスを利用しない業務委託においては、USBメモリ等の記録媒体の使用を禁止すれば問題が解決するというわけではないといえます 3

 このように、クラウドサービスを利用しない場合の業務委託は、クラウドサービスを利用する場合と比較して、定型性が低いこと等の理由からSLAが締結されることが少ないので、クラウドサービスとは異なる観点から契約条項の検討を行っていくことが必要になります。

尼崎市事案タイプの業務委託契約で注意すべき条項

 尼崎市事案タイプの業務委託契約においては、特に以下の点に留意することが重要となります。

再委託

 業務委託において、次々に委託がなされていくと、実際に誰が業務を行っているかが不明確になり、また、委託者による監督も不十分になりやすくなります。
 その一方で、再委託を認めることにより、受託者側はコストを抑えることが可能となるため、委託者が支払う業務委託費用が低くなることが多く、この点は委託者側にとってもメリットがあるといえます。
 そのため、企業としては、再委託を認めるか、また、認める場合には、再委託に加えて、再々委託、再々々委託、再々々々委託等のうちどこまでを認めるかについて、費用とのバランスを踏まえて決める必要があります。

 しかしながら、個人情報等の重要な情報の業務処理を委託する場合には、通常は再委託を認めない、または、再委託は認めるものの、再々委託は認めないこととするのが望ましいと思われます。
 また、委託者としては、受託者が再委託等した場合には、受託者は委託者に対して、委託先等について書面で報告する旨を規定することにより、受託者を監督することが望ましいといえます。

定期的報告義務

 受託者を適切に監督するという観点からは、業務内容について受託者に定期的に報告する義務を負わせることが重要です。
 しかし、当然のことながら、業務委託契約において報告義務の条項を設けるとしても、実際の運用において、報告の内容が不十分であったり、報告自体が行われなければ意味がありません。尼崎市事案では、契約上、A社は尼崎市に対して定期的な報告を行う義務を負っていましたが、実際には、長期にわたり報告は行われておらず、また、尼崎市も長期にわたり報告を求めませんでした 4
 このように、業務委託においては、定期的な報告を義務付けることが重要になるとともに、実際の運用において、委託者は、定期的な報告について受託者任せにするのではなく、報告の有無および報告内容について積極的に確認していくことが重要となります。

 なお、尼崎市事案では、以下のような違反行為がありました。

  • 事前承諾なしの再委託・再々委託
    A社は、長期にわたり、業務委託契約に違反して、尼崎市の承諾を得ずに再委託や再々委託を行っていました 5

  • 上記契約違反の隠蔽
    A社は、当該違反について、尼崎市に気づかれないようにしていました。すなわち、A社は、2022年4月1日付けの入退室管理カード貸与依頼書において、サーバルームへの入退室のための管理カードの貸与申請を行い、その中でA社の従業員として19名を記載しましたが、実際には、19名中10名は、A社の従業員ではなく、A社の再委託先または再々委託先の従業員でした 6
    また、C社の従業員であるXは、C社の上司から、A社の再委託先または再々委託先の従業員であると言わないようにと長年指導を受けていました。そのため、2022年6月16日に、Xは、A社の従業員2名とともに、尼崎市職員2名と名刺交換を行う機会があったにもかかわらず、「今日は名刺を持ってきていない」と述べて、名刺交換を行いませんでした 7

 このように、A社、およびA社の再委託先および再々委託先は、意図的に、業務委託契約違反の事実を尼崎市に気づかれないようにしており、この点に問題があったことは間違いありません。
 しかしながら、尼崎市事案では、A社から業務委託契約に基づく定期的報告が長期にわたり行われていなかったにもかかわらず、尼崎市は報告を求めていませんでした。尼崎市側が、業務をA社に任せきりで、長期にわたり確認を行わなかったことが、A社側の業務委託契約に違反した運用を助長した面があったのではないかと推察されます。
 このように、尼崎市事案は、業務委託において、委託者が、受託者を積極的に監督することの必要性を示しているといえます。

契約期間(自動更新、契約更新等)

 業務委託契約では、更新が繰り返されて、長期間にわたって業務委託がなされることが少なくありません。長期間にわたる業務委託には、受託者が業務内容を熟知しているため、委託業務がスムーズに進みやすいこと等のメリットがあります。
 しかしながら、業務委託が長期間にわたると、委託先が受託者に任せきりになり、委託者から受託者に対する監督が不十分になる傾向があります。尼崎市事案はその最たる例であり、尼崎市が長期間にわたりA社に業務を委託していたところ、A社は業務委託契約の違反行為を長期間にわたり行い続け、尼崎市も長期間にわたり受託者に定期的な報告を求めませんでした。

 そのため、こうした業務委託においては、契約は自動更新にはせずに、一定期間の満了により終了させることとし、また、契約を更新する場合には、それまでの契約内容の遵守状況等を十分に確認することが重要となります。
 また、上記のとおり、長期間にわたる業務委託には、委託者から受託者に対する監督が不十分になる傾向があるため、一定期間以上は同じ業者に委託しないというルールを設けることにも一定の合理性があると思われます。

情報セキュリティを踏まえた契約条項全体の確認

 上記3のとおり、企業が保有する情報を管理等し、漏洩等しないようにするためには、情報セキュリティの観点から契約条項の検討を行うことが必要になります。
 また、上記4のとおり、尼崎市事案のようにクラウドサービスを利用しない業務委託では、SLAが締結されることは少ないため、契約全体を総合的に考慮して、情報セキュリティの観点からの検討を行うことが必要になります。すなわち、委託対象業務で取り扱われる情報が漏洩等しないための機密性と、委託先が委託対象業務を支障なく進めていくために十分なアクセスをすることができるための可用性が担保されているかという観点から、契約全体を検討することが必要であるといえます。その際、法務部門は、事業部門から、委託対象業務の内容、委託先の状況等について確認をしたうえで、これらの点を検討することが重要となります。

契約上および運用上のポイント

契約上のポイント

 以上のとおり、尼崎市事案タイプの業務委託においては、以下のような契約上の手当てが重要となります。

  1. 再委託を認めない旨を定め、または、再委託に一定の制限を定め、また、受託者が再委託を行う場合には書面による報告義務を定めること
  2. 受託者に対して定期的な報告を義務付けること
  3. 契約は自動更新にはせずに、一定期間の満了により終了させること
  4. 情報セキュリティを踏まえて契約全体の確認を行うこと

運用上のポイント

 上記6−1の契約条項を検討することが重要であるものの、単にこれらの契約条項を設ければ問題が生じないというわけではなく、適切な実務運用を行うことも必要です。
 たとえば、①〜③に関しては、上記5のとおり、契約条項として受託者に対して定期的な報告を義務付けるとともに、実際の運用において、委託者が、受託者による報告の有無、および、報告内容について積極的に確認することや、契約条項として契約期間を一定期間で終了させるとともに、契約を更新する場合には、それまでの契約内容の遵守状況等を慎重に確認することが重要となります。
 また、④に際しては、委託対象業務で取り扱われる情報が漏洩等しないための機密性と、委託先が委託対象業務を支障なく進めていくために十分なアクセスをすることができるための可用性が担保されているかという観点から検討することが必要であるといえます。
 これらの確認および検討を行うためには、法務担当者と事業部との間での連携が重要となります。すなわち、法務担当者は、契約条項の検討にあたり、事業部から事実関係等を確認すること、また、契約締結後は、実際の運用において事業部がどのような行為を行うべきかを説明することが重要となります。

  1. 総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(2021年9月)33頁 ↩︎

  2. 経済産業省「SaaS向けSLAガイドライン」(平成20年1月21日)20頁。 ↩︎

  3. 本件報告書(18頁)では、USBメモリについて、「USBメモリの社会的有用性に関し当委員会は全く否定するものではなく、今後も引き続き社会において私用でも業務上でも広く活用されるべきものと思料している。ただ、記録媒体による物理移動には必然的に紛失、窃盗(ひったくりを含む。)その他の漏えいリスクがあるため、本件のような漏えいによって被害が甚大となりうる情報資産をUSBメモリに格納して移動させる局面では格別の考慮が必要である」と指摘されています。 ↩︎

  4. 本件報告書32頁 ↩︎

  5. 本件報告書33頁 ↩︎

  6. 本件報告書7頁 ↩︎

  7. 本件報告書3頁 ↩︎

濱野 敏彦弁護士

西村あさひ法律事務所 東京事務所

  • コーポレート・M&A
  • IT・情報セキュリティ
  • 知的財産権・エンタメ
  • 危機管理・内部統制
  • 競争法・独占禁止法
  • 国際取引・海外進出
  • 訴訟・争訟
理系の大学・大学院の3年間、AIの基礎技術であるニューラルネットワーク(今のディープラーニング)の研究室に所属し、プログラミング等を行っていたため、AI技術に詳しい。理系のバックグラウンドを活かし、知的財産関連訴訟(特許侵害訴訟、職務発明訴訟、営業秘密侵害訴訟等)、ソフトウェア関連訴訟、知的財産全般、個人情報保護、AI、データ、クラウド、システム、ソフトウェア、量子コンピュータ、テレワーク、情報セキュリティ、OSS、危機管理、コーポレートガバナンス等の分野の法的助言を専門とする。

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する
濱野 敏彦弁護士