「委託したら終わり」は通用しない——個人情報保護法が問う、委託元の監督責任

はじめに

山形県のIT企業「YCC情報システム」がランサムウェア攻撃を受け、約20の自治体・企業から預かっていた個人情報100万件超に漏洩のおそれが生じました(2026年6月時点)。

この事件が衝撃的なのは、攻撃そのものだけではありません。契約が終了した後も削除されずに残っていた20年以上前のデータが被害対象に含まれていたという事実です。

「委託先のせいで被害を受けた」——そう片付けることはできません。個人情報保護法は、委託元(発注者側)にも明確な監督責任を課しています

なぜ「委託元」が問われるのか

個人情報保護法 第25条には、こう規定されています。

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

つまり、外部に委託しても、責任は委託した側にあります

さらに個人情報保護委員会のガイドラインでは、委託先の管理状況を「少なくとも年1回、原則として実地検査」で確認するよう求めています。

よくある「委託先管理」の落とし穴

多くの中小・中堅企業で見られる問題点を整理します。

① 契約書に「返却・削除条項」がない

業務委託契約を結ぶ際、個人データの取り扱いに関する条項が曖昧なケースが多くあります。「契約終了後にデータをどうするか」が書かれていなければ、委託先が延々とデータを保持し続けることになります。

② 委託後のフォローアップがゼロ

「一度契約を結んだら、あとは委託先に任せきり」という運用は珍しくありません。しかし法律は、継続的な監督を求めています。委託先のセキュリティ状況を定期的に確認しなければ、問題が起きるまで気づけません。

③ データの所在が把握できていない

「どの委託先に、どのデータを、いつから渡しているか」を一元管理できていない組織は多くあります。今回の事件でも、「当時の契約内容を知っている人間が社内にいない」という声が聞かれました。

④ DXが進んでいない委託先ほど危ない

紙台帳・ローカルPC管理・メール添付でのデータ受け渡し——こうした旧来の運用を続けている委託先は、セキュリティリスクが高い傾向があります。委託元は、委託先のIT環境も含めて評価する必要があります。

私見:中小企業こそリスクが高い

これは大企業や自治体だけの問題ではありません。

以前、自動車整備工場に車を預けた際、氏名・連絡先・車両情報を伝えました。その場で紙の台帳に手書きされ、管理方法について説明はありませんでした。DXが進んでいない中小企業では、こうした個人情報の取り扱いが「昔ながらのやり方」のまま放置されているケースが少なくないと感じます。

委託を受ける側(中小企業)も、委託する側(中小企業)も、双方がリスクを抱えているのが実態です。

中小企業庁もセキュリティガイダンスを整備していますが(中小企業庁:情報セキュリティガイダンス)、実際に活用している事業者はごく少数ではないでしょうか。

今すぐ確認すべき3つのポイント

✅ 1. 委託契約の内容を見直す

  • 個人データの取り扱い範囲が明記されているか
  • 契約終了時の「返却または削除」条項があるか
  • 再委託(委託先がさらに外部に委託するケース)の制限があるか

✅ 2. 委託先のセキュリティを定期確認する

  • 直近1年以内にセキュリティ確認を実施したか
  • 確認方法はアンケートだけでなく、可能な範囲で実地確認を行っているか
  • 確認結果を記録・保管しているか

✅ 3. データの返却・削除を記録する

  • 委託終了後にデータが確実に削除・返却されたか確認しているか
  • 削除完了の証跡(完了報告書など)を保管しているか

まとめ

個人情報を外部に委託することは、業務効率化のうえで避けられない選択です。しかし「委託したから後は任せた」では、法的にも経営リスクとしても通用しない時代になっています。

「委託先が悪い」では済まない——委託元のガバナンスが問われています。

自社が個人情報を預けている先は何社ありますか?その委託先の管理状況を、直近1年で確認できていますか?

まずはこの問いを、自社のIT担当者・経営陣で共有することから始めてみてください。

参考情報

コメント

タイトルとURLをコピーしました