個人情報保護委員会は、令和６年３月25日、社労士業務の支援システムをクラウドで提供している企業における個人情報等の取扱いについて、個人情報保護法第147条の規定による指導等を行いました。

指導等の対象となった事案の概要は、次のとおりです。
□　指導等を受けた企業は、社会保険/人事労務業務支援システムを、社労士の事務所等のユーザに対し、SaaS環境においてサービス提供していたところ、令和５年６月、当該企業のサーバが不正アクセスを受け、ランサムウェアにより、システム上で管理されていた個人データが暗号化され、漏えい等のおそれが発生した。

個人情報保護委員会の対応は、次のとおりです。

□　当該企業は、本件を機にデータセンターにおける本件システムの提供を停止し、よりセキュリティが強化されている環境で本件システムを再構築し、サービスを再開した。しかしながら、本件システムのユーザである社労士事務所や企業等から大量の個人データの取扱いの委託を受けていること及び当該企業の安全管理措置の不備が認められたことに鑑み、次の対応を行う。

ア　個人情報保護法第147条の規定による指導
・同法第23条及びガイドラインに基づき、必要かつ適切な措置を講ずること。
・再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
イ　個人情報保護法第146条第１項の規定による報告徴収
・同法第146条第１項の規定により、再発防止策の実施状況について、関係資料を提出の上、令和６年４月26日までに報告するよう求める。

詳しくは、こちらをご覧ください。

＜株式会社エムケイシステムに対する個人情報の保護に関する法律に基づく行政上の対応について＞
https://www.ppc.go.jp/news/press/2023/240325_houdou/
なお、今回、各事業者において、クラウドサービスの利用が委託等に該当する場合があることの理解が不足していたと考えられることから、個人情報保護委員会は、クラウドサービスを利用して個人データを取り扱う場合及び個人データの取扱いの委託先がクラウドサービスを利用している場合に関し、注意喚起を実施しました。

これについても、ご確認ください。

＜クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点に関する注意喚起について＞
https://www.ppc.go.jp/news/careful_information/240325_alert_cloud_service_provider/