発表・声明
個人情報保護委員会の行政処分についての弁護団声明
2024年3月26日
個人情報保護委員会は3月25日、株式会社エムケイシステムに対して以下の行政指導を行い、その指導内容が公表されました。
(報道発表資料)
株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について
https://www.ppc.go.jp/files/pdf/240325_houdou.pdf
個人情報保護員会の対応は今回のランサムウェア事故から1年近い時期になされたものですが、今回の発表で指摘されている内容自体は、この間、弁護団が主張してきた内容にほぼ合致したものでした。
特に、個人情報保護員会が報道発表資料中、
①「管理者権限のパスワードも脆弱であり類推可能であったことから、アクセス者の識別と認証に問題があった。」こと、
②「ソフトウェアのセキュリティ更新が適切に行われておらず、深刻な脆弱性が残存されていただけでなく、」
③「ログの保管、管理及び監視が適切に実施されておらず、不正アクセスを迅速に検知するには至らなかったこと」
等から、「外部からの不正アクセス等の防止のための措置についても問題があった。したがって、エムケイ社においては、技術的安全管理措置に不備が認められる。」と明確に指摘した点は重要であると考えます。
さらに、社労士の方から弁護団に申告があった、エムケイ社が今回のランサムウェア事故がユーザ側の安全管理措置の不備によって生じたものでユーザ側に責任があると主張したとされる点については、個人情報保護委員会は「本件漏えい等事態は、クラウドサービス事業者であるエムケイ社側の責任の範囲において生じた事態であり、ユーザには、法第 23 条が求める安全管理措置のうちエムケイ社のような技術的安全管理措置の不備は認められない。」と明言しています。したがって、今回の個人情報保護委員会の発表により、今回のランサムウェア事故についてのエムケイ社の責任はより明確になったということができます。
その一方で、今回の個人情報保護委員会の発表で、社労士事務所、社労士等のユーザが、顧問企業等から委託を受けた個人データについて、クラウドサービス事業者に対して、再委託となるサービスであるとの認識が薄く、委託先等の監督が結果的に不十分であった可能性が指摘され、同委員会がユーザの監督義務について注意喚起していることを強く認識する必要があります。
弁護団は、現在エムケイ社に対して、民事調停を申立てる準備をしていますが、この民事調停の申立てでは、社労士事務所、社労士等のユーザが顧客から個人データの取扱いを委託されている責任を自覚して、クラウド事業者に対する監督責任を実現するための制度整備を求めることを予定しています。
社労士事務所、社労士等のユーザの皆様におかれては、今回の個人情報保護委員会の指導を受け、クラウド事業者に対する監督責任を実施するための具体策を策定する必要があります。
弁護団は、多くの社労士事務所、社労士等のユーザの皆様が今回の民事調停申立てに当事者として参加し、クラウド事業者に対する監督責任を実現するための制度整備を実現していただきたいと考えています。
エムケイシステムトラブル弁護団 代表 弁護士 牧野二郎