システム障害予防・対応のためのガバナンス体制構築
第4回 尼崎市USB紛失事件から学ぶシステム開発・運用委託先に対する監督の教訓
弁護士法人琴平綜合法律事務所
弁護士・公認不正検査士 澁 谷 展 由
1 尼崎市事件からシステム委託先監督の教訓を学ぶ意義
2022年6月21日~22日、尼崎市がシステム改修等の業務を委託していたBIPROGY株式会社(以下「BIPROGY」)の再々委託先の従業員が、同市の全市民約46万人の個人情報が記録されたUSBメモリが入ったカバンを飲み会の席に持参して泥酔のうえ紛失するという事件が起こった。
この事件を受け、尼崎市は同年11月28日に「尼崎市メモリー紛失事案に関する調査報告書」を、BIPROGYは同年12月12日に第三者委員会「調査報告書」を公表した。
USBメモリの紛失はシステム障害による情報流出ではなく、本連載のスコープには入らないのではないかと見る向きもあるかもしれない。
しかしながら、両調査報告書では、システム運用に関するユーザー・システム会社間の委託関係について注目すべき事象が報告されている。
会社やプロジェクトによって内製化/外注の程度に違いがあるとはいえ、多かれ少なかれユーザー企業はシステムの開発・運用管理についてシステム会社に委託を行う。委託関係が不当・不適切な状況にある場合、システムの開発・運用管理にも支障をきたし、ひいてはシステム障害の発生原因になりかねない。
そこで、今回は両報告書からシステム障害予防・対応のガバナンス体制構築に関わる教訓を引き出すことを試みることとしたい。
2 事件の概要
両報告書に記載された事実関係から、本稿で注目すべき点にフォーカスして事件の概要をまとめると以下のとおりである。
⑴ 再委託の承諾取得義務違反
尼崎市は令和4年度の住民税非課税世帯等に対する臨時特別給付金対応業務に必要なシステム改修等の業務をBIPROGYに委託した。
BIPROGYは業務の一部をアイフロント社に再委託し、アイフロント社はX社に再々委託した(社名表記はBIPROGYの報告書による)。尼崎市とBIPROGYの間の契約上、再委託には尼崎市の承諾が必要であったが、BIPROGYは承諾を取得していなかった。
BIPROGYは、長年、再委託先・再々委託先従業員へ「自分はBIPROGYの従業員であるかのように市職員と接するように」と指示し、自身がBIPROGY以外の会社に所属することは尼崎市に秘密にするよう口止めしていた。BIPROGYの従業員は市職員と名刺交換していたが、再委託先・再々委託先従業員は名刺交換しなかった。BIPROGY従業員も再委託先・再々委託先の従業員であると紹介はしなかった。BIPROGYは自社のメールアカウントを再委託先・再々委託先従業員に付与しており、市職員からはベンダの従業員からのメールのように見えるようにしていた。再委託先・再々委託先従業員にメール本文で「BIPROGYの〇〇です」「日本ユニシス(※旧社名)の〇〇です」と名乗らせていた。
⑵ 紛失の経緯
同業務で扱う情報には全市民約46万人の氏名・住所等の情報や、臨時特別給付金支給対象該当性審査のための障害の有無等の要配慮個人情報も含まれていた。
給付金についてのコールセンターが、尼崎市民の諸情報が登録されたシステムとネットワークが遮断されている江坂コールセンターとされた。そのため、市政情報センターから江坂コールセンターへ最新の尼崎市民の情報をUSBメモリ等の可搬メディアで運搬する必要が生じた。
再々委託先従業員のA氏が江坂コールセンターへ住民の情報が記録されたUSBを運び、作業後、USBのデータを削除しないまま私用のカバンのポケットに入れて、BIPROGYのプロジェクトマネージャーであるB氏らとA氏で居酒屋に飲みに行った。
解散後、A氏は酩酊し、自身と全く関係ないマンションの建物内に入り込み、眠り込んだ。深夜に目が覚めてカバンを置き忘れたまま徒歩で帰宅した(その後の捜索の結果、同月24日にカバン及びUSBメモリは発見された)。
⑶ その他契約上の義務の不遵守
BIPROGYは尼崎市との契約上、業務に関する情報が保存されたUSBを運搬する場合は施錠された金属ケースを運搬車両で運搬するなどの義務を課され、委託先にも遵守させる義務を課されていたが遵守されていなかった。
BIPROGYは再委託先・再々委託先に対しセキュリティ監査を実施したことがなく、 尼崎市もBIPROGYに対しセキュリティ監査を直接実施したことがなかった。
3 委託先監督のガバナンス体制構築
⑴ 報告書が指摘するガバナンス上の問題
上述の事実関係をふまえ、BIPROGYの調査報告書は「BIPROGYの従業員及び協力会社従業員は定められた各種規範の大半を遵守していない」「直属上司、組織長だけでなく、情報セキュリティの保全及び個人情報保護を含め経営全般のグループ最高経営責任者である代表取締役社長や業務執行の監督をなすべき取締役等の経営層をはじめ、情報セキュリティ及び個人情報保護のマネジメントシステム上、重要な役割と責任が付与されているCISO及び同人以下の幹部役職員が・・・リスク管理意識が欠如していたことを指摘せざるをえない」としてガバナンス上の問題を指摘している。
⑵ 委託先の再委託に対する監督の要請
大規模なシステム開発・運用管理の場合、一次的な受託者一社だけで開発・運用管理を実施することが現実的ではない場合も多く、再委託、再々委託の必要性は増す。
他方、ユーザー企業としても再委託先、再々委託先が十分な技術力を持っているか、適切にセキュリティ対策を実施しているか、自社の競合企業と関係があり自社の秘密情報が流れるリスクがないかといった点が重大な関心事となる。
さらに委託に個人情報の提供も伴う場合は、そもそも個人情報保護法25条が「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」と定めている。これを受けた個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(令和4年9月一部改正)は、「委託を受けた者に対して必要かつ適切な監督を行っていない例」として「契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合」を挙げている。
法令遵守体制整備を決定することは取締役会の責務であり(会社法362条1項6号)、取締役が責務を果たしているかどうかを監査するのが監査役の責務であるから(同法381条1項。監査(等)委員も同じ。以下同様)、取締役は個人情報保護法遵守体制の一環として個人データの委託先監督体制を構築しなければならず、監査役はそのような体制が構築されているかを監査しなければならない。
委託者(ユーザー)が本件の尼崎市のような地方公共団体ではなく企業であったとして、本件同様に委託先の監督・監査を行っていなかったという場合、ユーザー企業の取締役、監査役は個人データの委託先監督体制整備義務違反の責任追及を受けるリスクがある。
⑶ 具体的な監督手法と取締役・監査役の役割
BIPROGYの調査報告書は「経営層が逐一管理監督することは現実的ではないが・・・体制を整え、規程を整備しさえすればおおよその職責を果たしたということはできず、当該体制が機能しているかについて定期的にモニタリングしたり、従業員に対してメッセージを発したりするのみならず、業務によっては、それぞれの立場に応じて、そこに内在するリスクを的確に把握し、その大きさに応じて、能動的に管理監督することが求められる場面も存在する」とも記載している。
ユーザー企業の代表取締役、取締役など経営陣は、少なくとも重要なシステム開発案件については、システムの目的であるEコマース機能、顧客管理機能といった「機能要件」、セキュリティなどの「非機能要件」だけでなく、プロジェクトの人員構成・配置の適切性、各人員の能力の十分性、セキュリティ対応の十分性などを確認するための担当部署、担当者を定め、委託先管理が適切に実施されているかを定期的に報告させるといった施策をとることを検討すべきである。監査役(監査(等)委員)は経営陣がそのような施策を行っているかをチェックし、行っていないのであれば是正するよう提案することが求められる。
ある銀行CIO経験者は委託先に対しシステム開発・運用管理に「誰が従事しているかを全て提出させて」おり「所属も含めた情報を提出することも入札条件としていた」という。また、中央官庁で公共関係の調達に携わった経験者は「委託先で担当者が代わったものに関しては適宜報告してもらって、何が起こったかを聞くなど、フォローアップまでやっていた」という(以上について日経クロステック2022年10月25日記事「懲りないIT業界」)。
経営陣の指示を受けた担当者は、上述のようなプラクティスも参考にしつつ委託先管理を実施し、定期的に経営陣、監査役(監査(等)委員)、内部監査部門などに対する報告を行っていくべきである。
以 上
(しぶや・のぶよし)
弁護士法人琴平綜合法律事務所パートナー弁護士。公認不正検査士。デジタル庁・地方業務システム法務エキスパート(現任)。指名・報酬委員会運営、役員報酬設計などのコーポレート・ガバナンス体制、コンプライアンス体制の構築、デジタル・IT関係の法務、政策立案のほか、企業法務全般についてアドバイスを提供している。
※本稿の見解に当たる部分は筆者個人のものであり、所属組織の見解を代表するものではありません。