ガイドラインQ&A更新
金曜日(6/23)にマイナンバーガイドラインのQ&Aが更新されました。
話題のPC保守サービスの件です。
PCメンテナンスは
委託に該当するか否かの話が具体的に書かれています。
内容としては
3-13
クラウドサービスが番号法上の委託に該当しない場合、委託先の監督義務は
課されませんが、クラウドサービスを利用する事業者は、
自ら果たすべき安全管理措置の一環として、クラウドサービス事業者内にある
データについて、適切な安全管理措置を講ずる必要があります。
の次、
3-14に委託ではないと見なされる[典型的な例]が挙げられています。
・保守サービスの作業中に個人番号が閲覧可能となる場合であっても、
個人番号の収集(画面上に表示された個人番号を書き取ること、
プリントアウトすること等をいう。以下、この項において同じ。)
を防止するための措置が講じられている場合
・不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために
初期化する場合等であって、機器等に保存されている個人番号を
その内容に含む電子データを取り扱わないことが契約等で明確であり、
取扱いを防止するためのアクセス制御等の措置が講じられている場合
・不具合の生じたソフトウェアの解析をするためにメモリダンプの
解析をする場合であって、メモリダンプ内の個人番号を
その内容に含む電子データを再現しないこと等が契約等で明確であり、
再現等を防止するための措置が講じられている場合
・個人番号をその内容に含む電子データのバックアップの取得又は復元を
行う場合であって、バックアップデータ内の当該電子データを
取り扱わないことが契約等で明確であり、取扱いを防止するための
アクセス制御等の措置が講じられている場合
これらがクリアされてなければ「委託」ということなのですよ。
全部クリアできるクラウドサービスがあれば言うてみい。(笑)
「アクセス制御」とは物理的アクセス制御も含みますからね?
でも、最大の問題なのは、クラウド業者が「委託でない」と言い張って
それを預ける側が認めて預けちゃった場合、
上の典型的な例を守らせていると、預ける側が「確認したうえで」認めたことになるので
預ける側の監督責任が問われることです。
ここが問題なのですよ。
知らずに酷いサービスに預けて、何かあった場合
「なんであんなサービスに預けたんだ」
と言われても、全て預けた側の責任になっちゃうんです。
形式的に委託なのに、「委託じゃない」って話を信じたのは
あくまで預けた側の責任。
ここなのです。
「よくわかんないけど任せた」は通用しません。
だからこそ、よく吟味しなければいけないんです。