2024/03/26
社労士業務の支援システムをクラウドで提供している企業に対し個人情報保護委員会が指導等を実施 個人データの漏えい等で
個人情報保護委員会は、令和6年3月25日、社労士業務の支援システムをクラウドで提供している企業における個人情報等の取扱いについて、個人情報保護法第147条の規定による指導等を行いました。
指導等の対象となった事案の概要は、次のとおりです。
□ 指導等を受けた企業は、社会保険/人事労務業務支援システムを、社労士の事務所等のユーザに対し、SaaS環境においてサービス提供していたところ、令和5年6月、当該企業のサーバが不正アクセスを受け、ランサムウェアにより、システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生した。
個人情報保護委員会の対応は、次のとおりです。
□ 当該企業は、本件を機にデータセンターにおける本件システムの提供を停止し、よりセキュリティが強化されている環境で本件システムを再構築し、サービスを再開した。しかしながら、本件システムのユーザである社労士事務所や企業等から大量の個人データの取扱いの委託を受けていること及び当該企業の安全管理措置の不備が認められたことに鑑み、次の対応を行う。
ア 個人情報保護法第147条の規定による指導
・同法第23条及びガイドラインに基づき、必要かつ適切な措置を講ずること。
・再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
イ 個人情報保護法第146条第1項の規定による報告徴収
・同法第146条第1項の規定により、再発防止策の実施状況について、関係資料を提出の上、令和6年4月26日までに報告するよう求める。
詳しくは、こちらをご覧ください。
<株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について>
https://www.ppc.go.jp/news/press/2023/240325_houdou/
なお、今回、各事業者において、クラウドサービスの利用が委託等に該当する場合があることの理解が不足していたと考えられることから、個人情報保護委員会は、クラウドサービスを利用して個人データを取り扱う場合及び個人データの取扱いの委託先がクラウドサービスを利用している場合に関し、注意喚起を実施しました。
これについても、ご確認ください。
<クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について>
https://www.ppc.go.jp/news/careful_information/240325_alert_cloud_service_provider/
« パートナーシップ構築宣言の「ひな形」を改正(経産省) | 介護(補償)等給付の最高限度額・最低保障額の改定などを盛り込んだ改正省令(官報に公布) »
記事一覧
- 労務費の基準や工事契約内容に関する調査に関する建設業法の改正規定を令和6年9月から施行(国交省) [2024/07/26]
- 長時間労働が疑われる事業場への監督指導 監督指導を実施した事業場の81.2%が労働基準関係法令違反(令和5年度の状況) [2024/07/26]
- 「50人未満の事業場へのストレスチェック」などについて これまでの主な意見や論点案を整理(厚労省の検討会) [2024/07/26]
- 令和6年度の地域別最低賃金改定の目安が決定 全ランクで50円の引き上げ 全国平均は時給1,054円に [2024/07/25]
- メンタルヘルス不調で連続1か月以上休業した労働者がいた事業所の割合は10.4%(令和5年の厚労省の調査) [2024/07/25]