個人情報保護委員会は、クラウド上で提供され、多数の企業において利用されている人事労務管理サービスが不正アクセスを受け、マイナンバーを含む個人データが漏えいした事案について、個人情報保護法及び番号法上の問題点の調査・検討を行いました。
この調査・検討の結果を踏まえ、人事労務管理サービス等を開発し提供する個人情報取扱事業者(委託先)及びサービスを利用して従業者の個人データを取り扱う個人情報取扱事業者(委託元)における注意喚起のお知らせがありました。事案に沿って下記の留意点がまとめられています。

〇委託先における留意点

本事案のように、漏えい等をした場合に本人の重大な権利利益の侵害が発生するおそれのある個人データを、顧客のために大量に取り扱うサービスを開発・提供する場合には、特にアクセス制御の点や不正アクセス等を防止するための措置について、開発段階から注意して設計し、ユーザーの利便性に偏らない安全なシステムを構築し、サービス提供をすることが重要である。

〇委託元における留意点

本件システムのようなクラウドサービスを利用して、漏えい等をした場合に本人の重大な権利利益の侵害が発生するおそれのある個人データを含む大量の従業者等の個人データを継続的に管理していく場合には、そのようなリスクに応じた措置を講ずる必要がある(例えば利用規約以外に個人情報保護法のガイドライン等の記述に従って別途覚書等を作成し、委託先に対して個人データに係る安全管理措置を義務付けるチェックシートの運用実施など)。

詳細は下記をご参照ください。

人事労務管理のためのサービスをクラウド環境を利用して開発・提供する場合及び当該サービスを利用する場合における、個人情報保護法上の安全管理措置及び委託先の監督等に関する留意点について(注意喚起) |個人情報保護委員会
https://www.ppc.go.jp/news/careful_information/241217_alert_hrms/