エムケイシステム「社労夢」不正アクセス事案で露呈した、クラウド・SaaSは個人情報の委託に該当するか問題、指導の全文を見てみる

こんばんは！

本日3月25日、個人情報保護委員会からエムケイシステム社への行政指導と、一般事業者向けに注意喚起が発表されました。

本事案は、不正アクセスの原因となった未然防止のためのセキュリティ対策という論点だけでなく、これまで多くの事業者がもやもやしていた2つの大きな論点（①提供のクラウド例外、②クラウドサービス利用は委託の場合があると知られてない）が議論され、一定の見解が個人情報保護委員会から公表された点に大きな意味があると思います。　

そこで、今日は、この論点を事案を振り返りながら、整理してみたいと思います。

行政指導の文書の読み解き

まず、PPCの公表資料から、事案の概要を整理してみましょう。

株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について（令和６年３月25日） ｜個人情報保護委員会

(以降、出典の明記がないものは全てこの文書です)

事案概要

１．事案の概要
エムケイ社は、社会保険/人事労務業務支援システム（以下「本件システム」という。）を、社会保険労務士（以下「社労士」という。）の事務所等のユーザ（以下「ユーザ」という。）に対し、SaaS環境1においてサービス提供していたところ、令和５年６月、エムケイ社のサーバが不正アクセスを受け、ランサムウェアにより、本件システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生した。
本件システムは、主に社労士向けの業務システムであり、社会保険申請、給与計算及び人事労務管理等の業務のために利用するものである。同システムで取り扱われていた個人データは、社労士の顧客である企業や事業所等（以下「クライアント」という。）の従業員等の氏名、生年月日、性別、住所、基礎年金番号、雇用保険被保険者番号及びマイナンバー等である。
エムケイ社の報告によれば、現時点において、個人データの悪用などの二次被害は確認されていない。

1 Software as a Service の略。一般的には、事業者がソフトウェアをクラウド上で稼働し、ユーザはインターネット経由でアクセスすることにより、当該ソフトウェアを利用できる仕組みとなっている。

PPC公表の本事案の概要図です。

２．事案の規模
(1) エムケイ社からの情報による本件システムの利用実績
社労士事務所：2,754事業所、管理事業所：約57万事業所 (令和５年４月１日時点)
本件システムで管理する本人数：最大約2,242万人    (令和５年６月5日時点)

(2) 当委員会が受領した漏えい等報告件数
令和５年６月６日から現在までに受領した漏えい等報告件数は、報告者ベースで3,067 件（本人数計7,496,080人）である2。
大部分は社労士事務所からの提出であり、顧問先事業者との連名報告の形での報告が多かった。
内訳は、社労士事務所等が2,459件（本人数計6,724,609人）、顧問先事業者が404件（本人数計392,125人）、企業等が204 件（本人数計379,346人）である3。

本件システムの利用者数最大値2242万人に対し、報告したのは749万人分ということは、報告していない事業者が全体の2/3もあるということなのでしょうか？🫨
(それはそれで、別の問題がありそう…)

法的整理

本件漏えい事案の個人データの管理責任が、上図のいずれにあったのかを明確にするため、個人データの提供に該当する事案だったかをまず論じています。

３．エムケイ社が本件において個人データを取り扱っていたこと
(1) ガイドラインＱ＆Ａ7-53について 「個人情報の保護に関する法律についてのガイドライン」に関するＱ＆Ａ（以下「ガイドラインＱ＆Ａ」という。）7-53 には、「クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合とは、契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等」と記載されている。

本件不正アクセスが、SaaSシステム(クラウドサービスの１形態)であったため、
いわゆるクラウド例外として有名なQ&A7-53に該当するかの評価から始まっています。

個人情報保護法の基本として、
提供とは、自己以外の者(すなわち第三者)が利用することです。

「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。

通則GL 2-17　「提供」

Q&A7-53は、提供先がクラウドサービス事業者の場合、そのクラウド事業者が当該個人データを取り扱わないことになっているか、が判断ポイントであるとし、
その判断においては、以下の条件を2つとも満たせば、提供(第三者提供や委託)に当たらないとされています。
　①契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わないことが定められており、
　②適切にアクセス制御を行っている場合

QA7-53

それに対し、本件のファクトは以下です。

(2) エムケイ社とユーザとの間の利用規約 本件システムの利用に当たり、エムケイ社は、ユーザに利用規約（以下「本件利用規約」という。）の同意を求めていた。

(3) エムケイ社における実際の個人データの取扱いの状況
・ エムケイ社は、ユーザから本件システムの利用に関する調査・支援要請があった場合、両者の間で「個人情報授受確認書」（以下「授受確認書」という。）を取り交わした後、個人データを取り扱っていた。なお、令和５年上半期における、授受確認書によるエムケイ社の個人データ取扱い実績は、合計20件であった。
・ 授受確認書には、「個人情報保護法を遵守し、下記目的達成の為に個人情報を授受します。」「媒体 お客様の委託データ」「授受の形態 保守用IDによるデータ調査」などの記載がある。
・ エムケイ社は、保守用IDを有しており、これを用いて、本件システム上の個人データにアクセスすることが可能であった。

次に、上記をふまえ、(4)検討では、エムケイ社に提供があったとみなされるのかQ&A7-53に該当するか評価を行っています。

(4) 検討
ア 利用規約
本件利用規約においては、エムケイ社がサービスに関して保守運用上又は技術上必要であると判断した場合、ユーザがサービスにおいて提供、伝送するデータ等について、監視、分析、調査等、必要な行為を行うことができる旨が規定されていた。また、本件利用規約において、エムケイ社は、ユーザの顧問先に係るデータを、一定の場合を除き、ユーザの許可なく使用し、又は第三者に開示してはならないという旨が規定されており、エムケイ社は、当該利用規約に規定された特定の場合には、社労士等のユーザの顧問先に係る個人データを使用等できることとなっていた。

イ アクセス制御
エムケイ社は、保守用IDを有しており、それを利用して本件システム内の個人データにアクセス可能な状態であり、エムケイ社の取扱いを防止するための技術的なアクセス制御等の措置は講じられていなかった。

ウ エムケイ社がユーザに提供するサービスの性質
ソフトウェアをインターネット経由で利用できるタイプのクラウドサービスにおいては、様々なアプリケーションやソフトウェアの提供があり得るところ、本件システムは、ユーザである社労士事務所や企業等が社会保険及び雇用保険の申請手続や給与計算等をオールインワンで行うことができるというものである。すなわち、本件においてエムケイ社がクラウドサービス上で提供するアプリケーションは、ユーザである社労士事務所や企業等が、個人の氏名、生年月日、性別、住所及び電話番号などの個人データを記録して管理することが予定されているものであり、実際に大量の個人データが管理されていた。エ エムケイ社による個人データの取扱いの状況
本件では、エムケイ社が、ユーザと授受確認書を取り交わした上で、実際にユーザの個人データを取り扱っていた実績がある。

オ 小括
以上の事実関係を考慮すると、本件において、クラウドサービス提供事業者であるエムケイ社がガイドラインＱ＆Ａ7-53 の「個人データを取り扱わないこととなっている場合」とはいえず、また、個人データの取扱いを防止するための適切なアクセス制御は行われていなかったことが認められる。したがって、本件において、エムケイ社は、個人情報取扱事業者としてユーザから個人データの取扱いの委託4を受けて個人データを取り扱っていたといえる。

Q&A7-53の2つの条件に照らすと、
①契約での取り扱わない明記　の評価
→ア利用規約　で取り扱うとなっており、一部の場合には、加えてエ取り扱い状況で「個人情報授受確認書」を取り交わし、実際に取り扱っていた実績がある。
→取り扱わないと言えない

②適切なアクセス制御　の評価
→イアクセス制御で保守用IDを保有し、個人データにアクセス可能であり、ウサービスの性質上、大量の個人データを記録、管理するものだった。
→取り扱わないといえない

となり、ダブルで該当せず、結論としてエムケイ社は個人情報を取り扱う事業者であり、ユーザやクライアントとの関係においては、提供の1形態である委託との評価がされています。

次に補足として、識者の間でも、この論点がQ&A7-53の評価に影響するのか議論がある7-55についても、検討がされています。

(5) 補足
ガイドラインＱ＆Ａ7-55では、「単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当」しないこととされている。ここでは、例として、「保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得（閲覧するにとどまらず、これを記録・印刷等すること等をいう。）を防止するための措置が講じられている場合」等が挙げられており、「取扱いを防止するためのアクセス制御等の措置」が講じられているか否かが重要である。 本件において、エムケイ社が有する保守用IDについては、個人データの取得を防止するための技術的な措置は講じられていないことから、個人データの提供に該当し、委託に基づき個人データを取り扱っているものと認められる。

説明を見る限り、Q&A7-53②の適切なアクセス制御の観点で、個人データの取得を防止する措置が講じられていなかった以上、取り扱っているという評価は変わらないとされています。

(言い換えれば、②アクセス制御については、取得を防止する措置が講じられていれば、閲覧可能となる場合があっても適切なアクセス制御ができているとの評価ができるとも取れる点は、個人的にはスッキリポイントでした😃)

次に上記の法的整理をふまえた、問題点です。

法律上の問題点

エムケイ社、ユーザ、クライアントの3者別に法律上の問題点が整理されています。

４．法律上の問題点
(1) エムケイ社について－安全管理措置（法第23条）の不備
　法第23条において、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定している。個人情報の保護に関する法律についてのガイドライン（通則編）（以下「ガイドライン」という。）「10（別添）講ずべき安全管理措置の内容」において、個人情報取扱事業者は、技術的安全管理措置として、「個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証しなければならない。」（10-6(2)アクセス者の識別と認証）とされ、また、「個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用しなければならない。」（106(3)外部からの不正アクセス等の防止）とされている。

　しかしながら、エムケイ社においては、ユーザのパスワードルールが脆弱であったこと、また、管理者権限のパスワードも脆弱であり類推可能であったことから、アクセス者の識別と認証に問題があった。また、ソフトウェアのセキュリティ更新が適切に行われておらず、深刻な脆弱性が残存されていただけでなく、ログの保管、管理及び監視が適切に実施されておらず、不正アクセスを迅速に検知するには至らなかったことから、外部からの不正アクセス等の防止のための措置についても問題があった。

　したがって、エムケイ社においては、技術的安全管理措置に不備が認められる。

委託を受ける場合(すなわち受託者)でも、日本の個人情報保護法上は、「個人情報取扱事業者」に該当、安全管理措置の義務を負う前提で、23条安全管理措置に関係する通則ガイドライン別添の説明がされています。

続いて、本件不正アクセスが生じた原因として、技術的安全管理措置の不備が指摘されています。
この不備は、決して珍しいものではなく、外部からの不正アクセス原因でよくある原因の印象です。

続いて、委託先であるエムケイ社の委託元であるユーザ(社労士事務所等)の法的問題です。

(2) ユーザ（エムケイ社の委託元）について
　本件では、エムケイ社の技術的安全管理措置の不備が原因となり、ランサムウェアの侵入を許し、個人データの漏えい等のおそれが生じた。したがって、本件漏えい等事態は、クラウドサービス事業者であるエムケイ社側の責任の範囲において生じた事態であり、ユーザには、法第23条が求める安全管理措置のうちエムケイ社のような技術的安全管理措置の不備は認められない。

　他方、法第25条において、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」と規定している。法第25条に関するガイドライン3-4-4では、委託元である個人情報取扱事業者は、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に起因するリスクに応じて、適切な委託先の選定、委託契約の締結及び委託先における個人データ取扱状況の把握について、必要かつ適切な措置を講じなければならないことが規定されている。

　本件漏えい等事態発覚当時のエムケイ社のウェブサイトにおいては、本件サービスに関し、万全のデータセンターとセキュリティ管理をしている旨が記載され、また、漏えい対策についても万全の体制である等と記載されていた。本件において、ユーザの多くは、エムケイ社に対する個人データの取扱いの委託を行っていたとの認識が薄く、委託先の監督が結果的に不十分となっていた可能性がある。

本件漏えい原因は、エムケイ社にあるが、委託元は法25条に従い、委託先の監督義務があるが、そもそも、多くのユーザ(社労士事務所)は、委託を行っているとの理解がなかったため、結果として委託先の監督が不十分だった可能性があるとしています。

これは、筆者も本件の関係者のブログや、SNS等の論調から感じていた課題です。

この点、別の事案ですが、日経新聞が、システム利用が委託にあたると思うか？と自治体(委託元)に独自調査をされていました。

NTT西日本系の情報漏洩、自治体8割「流出元知らず」　監督義務も - 日本経済新聞

その結果によると、再委託先となるシステム提供先を知らなかったとの回答が8割、知っていたとの回答はゼロという驚くべき結果となっています。
本件に限らず、システムの利用やSaaSの利用が個人情報保護法上の委託(再委託含む)にあたることが認知されていないという根本課題があるように感じます。

この点、3年ごと見直しでも論点にあがる気配もあり、注視していきたいです👀

次に、従業員データを取得し、社労士事務所に委託を行っていたクライアント(各事業者)です。

(3) クライアント（ユーザの委託元）について
　本件システムのユーザである社労士事務所に対して個人データの取扱いを委託していたクライアントも、個人情報取扱事業者として従業者の個人データを取り扱っていたところ、自らも法第23条が求める安全管理措置を講ずる義務を負うとともに、委託先である社労士事務所に対し、法第25条が求める委託先の監督義務を負う。
　しかしながら、本件において、クライアントの多くは、社労士事務所に対して個人データの取扱いの委託及びエムケイ社に対する再委託を行っていたとの認識が薄く、委託先等への監督が結果的に不十分となっていた可能性がある。

ここでも、委託、再委託の認識不足問題がっ！

最後に番号法の評価です。

4) 行政手続における特定の個人を識別するための番号の利用等に関する法律（平成25年法律第27号。以下「番号法」という。）上の問題点について
　本件システムにおいてはマイナンバーも取り扱われていたが、電子申請時等にマイナンバーを入力しても、原則的にマイナンバーは保管されない仕組みであった。また、ユーザが、オプションサービスを利用する場合にマイナンバーが管理されることがあったが、その場合は、高度な暗号化による秘匿化がされた状態で保管されていたものと認められた。
　したがって、エムケイ社に対し、番号法の規定による指導は行わないこととする。

マイナンバーは、影響なくてよかったです！

個人情報保護委員会の対応

最後に、行政指導や今後の個人情報保護委員会の対応で締め括られています。

５．当委員会の対応
(1) エムケイ社
　エムケイ社は、本件を機にデータセンターにおける本件システムの提供を停止し、よりセキュリティが強化されている環境で本件システムを再構築し、サービスを再開した。しかしながら、本件システムのユーザである社労士事務所や企業等から大量の個人データの取扱いの委託を受けていること及びエムケイ社の安全管理措置の不備が認められたことに鑑み、以下の対応を行う。
　ア 法第147条の規定による指導
　・ 法第23条及びガイドラインに基づき、必要かつ適切な措置を講ずること。
　・ 再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
イ 法第146条第１項の規定による報告徴収
　・  法第146条第１項の規定により、再発防止策の実施状況について、関係資料を提出の上、令和６年４月26日までに報告するよう求める。

エムケイ社への対応は、法147条の指導で、より厳しい勧告や緊急命令ではありませんでした。
再発防止の実施状況を求めるのも通常運転な印象です。

監視・監督の規律については、前のブログで紹介したこの図がわかりやすいですね！

次にユーザ(社労士事務所)及びクライアント(各企業)に対してです。

(2) ユーザ及びクライアントについて
　本件において、ユーザは、クライアントの従業員等の多数の個人データを取り扱っているところ、前述のとおり、ユーザ及びクライアントにおいて本件が個人データの取扱いの委託又は再委託を行っているとの認識が薄く、委託先等の監督が結果的に不十分となっていた可能性がある。
　ユーザ及びクライアントの安全管理措置並びにエムケイ社に対する監督の実施状況は、個々のユーザ及びクライアントによって異なり得るため、実際にエムケイ社による個人データの取扱いがあったユーザ及びクライアントを中心に今後も継続して調査し、権限行使を含めた必要な対応を検討する。

そもそも委託だと思っていないという残念な事実が判明した本件、関係者全員とすると数千社単位となるためか、実際に取り扱いのあった事業者(20社？)を中心に継続調査で、必要な対応の判断は継続検討となったようです。

最後に、この不都合な真実…多くの事業者がクラウドサービスの利用が委託等に該当する場合があることの理解が不足していることが明らかになったことから、全事業者に向け、注意喚起がなされることとなりました。

(3) 注意喚起
今回、各事業者において、クラウドサービスの利用が委託等に該当する場合があることの理解が不足していたと考えられることから、クラウドサービスを利用して個人データを取り扱う場合及び個人データの取扱いの委託先がクラウドサービスを利用している場合に関し、
①クラウドサービスの利用が、法第27条第５項第１号に規定される「個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」に該当する場合があること及び
②①に該当する場合には、委託元は委託先に対する監督義務があることについて、
注意喚起を実施することとする。

クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について ｜個人情報保護委員会

こちらの文書については、また、後日紹介したいと思います。

---

いかがでしたでしょうか？🦑

個人的には、特に玄人筋で話題になるクラウド例外よくわからん問題より、委託と思っていない人多すぎ問題の方が深刻だと思っていました。
それゆえ、今回のエムケイ事案(やNTT西事案)で、問題が白日の元に晒されたことは、3年ごと見直しの検討にとって、良きことだったのではないかと感じています。

多くの人に理解されていない原因は、ルールがわかりにくい、何やったらよいかわからないから放置、という側面もあるはず…

来年の改正法で、「あの時雨降って、地固まったね！」となると良いですね！

それでは、また！