再委託は認めていいのか？個人情報を伴う業務のリスク考察

再委託とは、依頼主から請けた案件をさらに外部のアウトソーサーに委託することを言います。
システム開発や建設、運送などの業界ではよく行われており、例えば依頼主A社が、システム開発の依頼をB社にし、さらにB社がC社に開発の一部を依頼するようなことを言います。

その他、弊社のような管理部門を始めとした業務のアウトソーシングサービスでも再委託をするケースがあります。この場合、問題になるのが個人情報の取扱いです。

2014年にあった個人情報漏えい事件を機に、アウトソーシングにおける個人情報の取扱いは厳しくなり、さらに今まで以上に依頼主自体の監督責任を問われるようになっています。

今回はアウトソーシングを行う際、再委託を認めて良いのか否か考えてみようと思います。

委託はともかく再委託は「大丈夫」なのか？

正直にいうと非常に難しい質問です。

特に個人情報をお預かりするようなアウトソーサーにとっては、回答をどうすべきか、とても悩む質問です。
再委託について、以下、「コスト・効率」「運用体制」「気持ち」の点で説明します。

1.コスト・効率

依頼主から請けた業務を受託企業が再委託する理由は、自社で全ての業務を行うよりもコスト削減ができ、かつ業務も効率良く行うことができるからです。当然、そのメリットは依頼主にも料金や納期に反映されます。（反映されていないようであれば再委託を承認する理由は依頼主にはありませんね）

コストや効率の優先の程度によって、依頼主の承諾のもと再委託という選択は十分ありえるということです。

2.運用体制

依頼主を含めて3社で情報を管理することになります。個人情報を取扱う担当者も必要最少人数とはいえ再委託のほうが多くなります。特定の個人情報の削除をしたくても、3社が管理する情報に反映されるには若干のタイムラグが発生します。また、仮に各社が世界最高水準のセキュリティ環境を確保したとしても、物理上、漏えいする可能性があるポイントが増えることは間違いありません。

運用体制だけみると、デメリットな面が大きいですが、自社にセキュアな環境を整備できない企業も多く存在します。その場合、個人情報を全て委託先企業に預けてしまい、逆にセキュアな環境を構築するというケースもあるためこれも一概にリスクが大きいとは言えません。（直近の例でいうと中小企業のマイナンバー対策がこれにあたると思います。）

3.気持ち

自社で「管理保管すべき情報」を外部企業に“出す”ということに心情的に拒否反応が起こるは当然かと思います。契約をきちんと締結している、世界最高のセキュアな環境を用意されていても、第三者に実際の管理を任せるのはどうしても不安です。1や2を理解できても気持ち的に認められないと考える企業はわりと多く、結果、案件のペンディングや消滅はよくあることです。

企業の中には再委託を禁止しているところもあります。禁止はしていなくても契約書内に「委託元による事前の承認が必要」と記載することで再委託を抑止するところもあります。（結構な企業がこれだと思います）

よって、最初の質問に対しての回答は、少々乱暴になりますが、アウトソーサーが「再委託は大丈夫です」と言えたとしても、大丈夫の程度は依頼主で判断してもらうしかないのです。

自社　＜　委託先　＜　再委託先の順番に漏えいリスクが高まるのか

これはNOといえます。

SecurityNext（http://www.security-next.com/category/cat191/cat25）というサイトを参考にしていただきたいのですが、ニュースにならずとも個人情報漏えい事故はほぼ毎日のように発生しています。

委託先や再委託先で漏えいしている事故も散見されますが、ほとんどが自社内で発生している事故・事件です。
つまり委託・再委託という構造が漏えいのリスクを高めている主な原因というよりは、自社、委託関わらず、管理方法の不手際や個人情報を取扱う担当者の不注意やミス（もしくは悪意）に原因があるのです。
さらに再委託について、別の資料で見てみます。

一般社団法人 情報サービス産業協会の調査によると、平成26年の事故報告152件のうち、15件が委託先企業での漏えいとなっています。
出展：平成26 年度「個人情報の取扱いにおける事故報告」 の傾向と注意点
（※PDFです。http://www.jisa.or.jp/Portals/0/data/pdf/h26_jikohoukoku.pdf）

平成26年度は再委託による事故は報告されていませんが、平成25年度のレポートによると、不正利用の1件が再委託企業からの漏えいとのことです。
参考：平成 25 年度「個人情報の取扱いにおける事故報告」の傾向と注意点
（※PDFです。http://www.jisa.or.jp/Portals/0/data/pdf/h25_jikohoukoku.pdf）

これらを踏まえると再委託自体での事件・事故は、報告があった件数ベースではかなり少ないといえます。
改めていいますが、再委託をすることでリスクが高まるというよりは、自社でも委託先でも、どこでも漏えいする危険性があるということです。

※1点補足ですが、再再委託や４次請け、5次請けが仮にあるならば、それはそれでリスクは高くなるとは思います。

厳しくなる再委託の管理

2014年の大規模な個人情報漏えい事件の前は、依頼主A社は、委託先B社からC社へ再委託をすることを説明され、A社が承認すれば、基本的にはB社がC社の管理監督を行っていればよかったのです。

現在は、A社は委託する責任として、B社と同様にC社もきちんと管理する必要があるのです。（ただし、義務ではありません。だからと言って管理監督を怠ることは問題になってきています。）

つまり、万が一、情報漏えいをC社が起こしてしまったとしたら、以前はB社が監督責任を問われたのですが、現在は、再委託先であるC社の管理監督をA社が怠っていると判断されると、A社も過失割合によって責任を負うことになります。

A社とC社は契約上、間接的な関係であるため具体的にどのように管理するか非常に難しい話ですが、依頼主はアウトソーサーの選定と管理監督をしっかりと行う必要があることは知っておくべきです。

また、委託先B社もコストや効率優先で再委託先を選定してはならず、セキュリティ含めて受託する業務に見合った先を候補とするべきだということです。

再委託で依頼主が気をつける点

1.階層に注意する

依頼主と再委託企業とでは、委託先企業（元請け）を介して業務を行うため、どうしても「距離」ができます。依頼主、委託先企業を含めてきちんとした情報共有ができていないと、運用体制不備、従業員への教育不足からくる漏えい事故を引き起こしてしまうかもしれません。

また、条件によっては重層下請のように三次請け以上の階層になる可能性もあります。依頼した業務がどんな階層で行われているかきちんと理解をしておきましょう。

2.契約の確認

依頼主は委託先企業と同じレベルの契約を委託先企業と再委託企業間で、できる限り締結するように指示することをお勧めします。当然、委託先企業と再委託企業は別の案件でも業務提携をしているはずで、取引する最初に包括的な基本契約やNDAを締結していると思います。しかし、その内容では足りないものがあるかもしれません。そのためには再度自社用にNDAを締結するなどの手段を講じるか、三社間でのNDA締結をしましょう。

3.実運用のチェック

契約を整備し、さぁ本番となって、そのままほったらかしは危険です。面倒ですが、再委託先の現場もきちんと見学をすべきで、定期的な視察も行うようにしましょう。また、見学をするだけではなく、個人情報の管理環境、方法など委託先（再委託先）の評価も最低でも1年に1回は実施しましょう。

また、契約締結時、業務フロー図の共有、データの削除、書類の溶解のタイミングなどは徹底して委託先企業、再委託企業から共有してもらうべきです。まずは監視されている、チェックされていることを認識させることが必要です。

委託＝すべてを放り投げるではない

よくアウトソーシング導入が決定すると、「面倒な業務を引き受けてありがとう。あとはよろしく。」と考えてしまう依頼主がいます。仕様が固まれば、たしかにそれで良いかもしれませんが、現実は色々な管理やチェックが準備、本番運用中でも必要です。

特に時間がたってくると、「マンネリ感」「なぁなぁな関係性」「担当者が変更になって最初の頃の気持ちがなくなる」など“穴”ができ始めます。これらをきちんとつぶす作業は3社が共に行うべきで、どこかが緩んでいれば、他社がフォローすることをしなくてはいけません。

主導するのは委託先企業ではなく、依頼主です。預けている情報は自社の大事な資産ですから、自分たちが最終的な管理者であることを忘れてはいけません。

これはアウトソーシングだけの問題ではなく、自社内の管理においてもいえることです。自社内でも「穴」ができ、それを見逃せば、簡単に漏えいが起こることを認識しておきましょう。