デジタルトランスフォーメーション(DX)の波の中、外部ベンダーに全く依存しない企業はほとんどありません。給与計算、クラウドストレージ、マーケティング活動からコールセンターに至るまで、個人情報の処理を外部委託することは既に常態化しています。過去、多くの企業には「ベンダーと契約を締結しているのだから、事故が起きれば全責任はベンダーが負うべきだ」という観念が普遍的に存在していました。
しかし、2025年に改正された「個人情報保護法」および最新の予告子法草案に基づけば、契約を通じて責任を完全に転嫁しようとするこのような考え方は、企業を極めて大きな法的リスクに陥れる可能性があります。新法は「委託機関(企業)」が「受託者(ベンダー)」に対して強制的な監督義務を負うことを特に強調しています。本稿では、「外部委託の監督」と「内部監査」を通じて、いかにしてコンプライアンス要件を実現するかについて解説します。
1. キーとなる条項:「委託機関が知ったもの」とみなす
過去には、「ベンダーがハッキング攻撃を受けたが、ベンダーから当社への報告がなかったため、当社は知る由もなく、通報を行わなかった責任は負わない」と主張する企業がよく見られました。このような抗弁は、新法の枠組みの下ではもはや通用しません。
最新の予告である「個人情報事故通知通報および応変弁法」草案第5条の規定に基づき、受託者(ベンダー)が個人情報事故を知った時点で、「委託機関(企業)が知ったものとみなす」とされています。言い換えれば、たとえベンダーが隠蔽して報告しなかったとしても、法律上は企業が「既に知っている」と認定され、72時間の通報カウントダウンは、ベンダーが知ったその瞬間から始まります。したがって、企業は契約において、事故発生時にベンダーが「直ちに」通知することを厳格に義務付けなければなりません。さもなければ、通報遅延により生じる行政責任は、企業が先行して負うことになります。
2. 外部委託の監督:契約だけでなく、「実質的な監査」が必要
企業が「大型非公務機関」(中小企業以外で、かつ1万件以上の個人情報を保有)に属する場合、外部ベンダーに対する監督義務は、単なる書面契約のレベルに留まることはできません。
「個人情報ファイル安全維持管理弁法」草案第24条第3項に基づき、企業は以下の2点を実行しなければなりません:
- 明確な約定:委託契約または関連文書において、監督事項と行使方法を明確に定めること。
- 強制監査:毎年少なくとも1回、受託者に対する監査(実地訪問または書面監査の方式が可能)を実施し、かつ監査結果を保存して備え置くこと。
つまり、企業はクラウドサービスプロバイダやシステム保守業者などの重要なベンダーに対し、定期的なセキュリティ検査報告書やISO認証書の提出を求めたり、実際に人員を派遣して監査を行ったりするなど、実質的な監督メカニズムを構築し、監督責任を果たしたことを証明しなければなりません。
3. 内部監査:職務分離の徹底
外部ベンダーの監督に加え、企業内部でも自己点検メカニズムを確立しなければなりません。草案第24条第1項は、大型非公務機関に対し内部監査メカニズムの構築を求めており、毎年少なくとも1回の内部個人情報セキュリティ監査を実施しなければなりません。
監査実施の重点は「独立性」にあります。草案第17条は、個人情報保護事項の執行を担当する「管理専任担当者」と、検査を担当する「査核(監査)担当者」の兼任を禁止しています。企業は組織内で独立した監査機能(監査室、法務部門、または個人情報執行部門以外の管理職を指名するなど)を区分し、検査結果の客観性と公正性を確保しなければなりません。
4. 報告と記録:証跡保存の重要性
監査業務が完了しても、関連プロセスは終了ではありません。草案第24条第4項は、その後の必要な手続きを規定しています:
- 上層部への報告:監査結果(内部監査および外部委託監査を含む)は、公務機関の長または非公務機関の代表者(董事長、総経理など)に報告しなければなりません。この規定は、経営層が「知らなかった」という理由で管理責任を回避できないようにすることを目的としています。
- 改善の追跡:監査で発見された不備については、改善措置を確実に実行しなければなりません。
- 記録の保存:監査報告書と改善記録は、少なくとも5年間保存しなければなりません。
5. 提言:契約の改定とベンダーの選別
新法の要件に直面し、企業は以下のアクションを採ることを推奨します:
- 委託契約の棚卸し:既存ベンダーとの契約条項を全面的に見直し、「事故の即時通知」、「年次監査への協力」および「再委託責任」などの重要条項が含まれているか確認する。不足がある場合は、速やかに覚書等を締結する。
- ベンダー格付け制度の構築:監査リソースには限りがあるため、「大量の個人情報を扱う」または「セキュリティリスクが高い」重要なベンダーを優先して実地監査を行う。
- 年間計画の実行:内部監査とベンダー監査を年間のコンプライアンスまたは監査カレンダーに組み込み、相応の予算と人的リソースを確保する。
当事務所は企業の個人情報法務およびコンプライアンス導入において豊富な経験を有しています。貴社が委託契約の雛形改定、監査チェックリストの作成、またはサプライヤー管理ポリシーについてご疑問をお持ちの場合は、いつでも当事務所へお問い合わせください。専門の弁護士チームが貴社に合わせた正確な法的分析と解決策をご提供いたします。
※特記事項:本文で言及している関連子法の草案(安全維持弁法、事故通報弁法など)は、いずれも個人情報保護委員会準備室が2026年1月、2月の間に公告した予告版です。本稿執筆時点において、パブリックコメントの募集段階にあり、正式な施行条文は各界の意見によりさらに調整される可能性があります。読者の皆様におかれましては、最新の法規動向にご留意ください。
