㈱エムケイシステム社(社労夢)のランサムウェア被害に伴う社会保険労務士の対応について

目次

1. はじめに

よつば総合法律事務所の弁護士の村岡です。

つい先日、株式会社エムケイシステム社が提供しているクラウドサービス「社労夢」につき、ランサムウェアによるサイバー攻撃を受けたとの報道がありました。この「社労夢」というサービスは、社労士業務を支援するためのクラウドシステムで、2754もの社労士事務所が導入しているサービスのようです(なお、同システムで管理されている事業所数は約57万とのことでした。)。

本記事を作成している時点では、同社のHP上、「現時点で情報流出の事実は確認しておりません」との記載がなされておりますが、流出の可能性を考慮して、6月8日に個人情報保護委員会への報告が行われたようです。

当事務所でも、社会保険労務士様より、「個人情報保護委員会への報告が必要か」「委託元である企業名も記載しなければならないか」「本人通知はどのようにすればよいか」等、本件のご相談を多数いただいております。

また、私自身も社会保険労務士として登録していることもありますので、情報提供を兼ねて、本記事を作成させていただきました。

なお、本記事は、現時点で判明している事情等を基に記載したものであり、また私見が多分に含まれておりますので、内容の正確性・真実性については保証出来かねますので、何卒ご了承ください。

2. 個人情報保護委員会への報告義務

(1) 前提

個人情報保護法では、個人情報取扱事業者(定義・説明は割愛します)に対し、第26条で、以下のように、漏えい等が起きた場合の個人情報保護委員会への報告義務を課しており、また、当該事象を「本人」(漏えい等を受けたおそれのある本人/本件のような場合だと従業員個人)に通知する義務を定めています。

なお、この個人情報保護委員会への報告義務は、2022年4月の法改正で新設されたものです。

(漏えい等の報告等)

第二十六条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

2 前項に規定する場合には、個人情報取扱事業者(同項ただし書の規定による通知をした者を除く。)は、本人に対し、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を通知しなければならない。ただし、本人への通知が困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

この個人情報保護法の規定を受け、同法の施行規則では、第7条で、個人情報保護委員会への報告が必要な場面を以下のように定義しています。

(個人の権利利益を害するおそれが大きいもの)

第七条 法第二十六条第一項本文の個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものは、次の各号のいずれかに該当するものとする。

  • 一 要配慮個人情報が含まれる個人データ(高度な暗号化その他の個人の権利利益を保護するために必要な措置を講じたものを除く。以下この条及び次条第一項において同じ。)の漏えい、滅失若しくは毀損(以下この条及び次条第一項において「漏えい等」という。)が発生し、又は発生したおそれがある事態
  • 二 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
  • 三 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
  • 四 個人データに係る本人の数が千人を超える漏えい等が発生し、又は発生したおそれがある事態

※特定個人情報(マイナンバー)についても別途法律及び漏えい等に関する規定がありますが、ここでは省略します。

詳しくは、個人情報の保護に関する法律についてのガイドライン(通則編)も併せてご参照ください。3-5-3 個人情報保護委員会への報告(法第26条第1項関係)以下が参考になります。

(2) 本件で報告等が必要か

細かい用語の説明や解説はここでは割愛させていただきますが、本件の場合には、少なくとも上記の規則第7条3号の「不正の目的をもって行われたおそれがある個人データの漏えい等が…発生したおそれがある事態」に当たり、個人情報保護委員会への報告+本人通知が必要な場面と解されます。

(3) 報告・本人通知について注意すべきルール

個人情報保護委員会への報告

この個人情報保護委員会への報告は、「速報」(規則第8条1項)と「確報」(規則第8条2項)とがあります。

「速報」については、「事態を知った後、速やかに」行う必要があり、ガイドライン上は、「当該事態を知った時点から概ね3~5日以内」に行うべきという目安が示されています(ガイドライン3-5-3-3)。

「確報」については、「当該事態を知った日から三十日以内」(六十日と解する余地もありますが、個人情報保護委員会に確認いただくのが確実です。)に行う必要があります。

ただし、ガイドライン上、「速報の時点で全ての事項を報告できる場合には、1回の報告で速報と確報を兼ねることができる」との記載もあるため、速報のみで足りるか(別途確報が必要か)は、個人情報保護委員会に確認いただければと存じます。

なお、速報も確報も、報告すべき事項は共通しており、➀概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、③漏えい等が発生し、又は発生したおそれがある個人データに係る本人の数、④原因、⑤二次被害又はそのおそれの有無及びその内容、⑥本人への対応の実施状況、⑦公表の実施状況、⑧再発防止のための措置、⑨その他参考となる事項につき、報告を行う必要があります(規則第8条1項)。

本人通知

本人通知についても「状況に応じて速やか」に行う必要があります(速報・確報の区別はありません)が、こちらについてはガイドライン上、目安の日にち等は記載されておりません。

報告・本人通知を怠った場合

なお、個人情報保護委員会への報告や本人通知を怠った場合には、同委員会から勧告や命令を受ける可能性があり、命令に違反した場合には、企業名の公表や、罰則も予定されています(法第148条、178条、184条1項1号)。

3. 個人情報保護委員会への報告は誰が行わなければならないか

社労士事務所の場合、顧客(顧問先)から給与計算、社会保険手続、それに伴う従業員情報(個人データに該当すると思われます。)の処理・管理等の委託を受けており、この従業員情報を「社労夢」にて登録・管理していることとなります。

この場合、エムケイシステム社、社労士事務所、顧客(顧問先)のうち、誰が個人情報保護委員会に報告しなければならないでしょうか。

この点、以下のガイドライン等を踏まえると、顧客(顧問先)が社労士事務所に個人データの取扱いの委託をしていると評価される可能性が高く、少なくとも「社労士事務所」と「顧客(顧問先)」については、個人情報保護委員会への報告義務を負うこととなります。

3-5-3-2 報告義務の主体

漏えい等報告の義務を負う主体は、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者である。個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになるため、報告対象事態に該当する場合には、原則として委託元と委託先の双方が報告する義務を負う。この場合、委託元及び委託先の連名で報告することができる。なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される(3-5-3-5(委託元への通知による例外)参照)。

法律の建て付けやガイドラインからも明らかな通り、一次的な報告義務を負うのは、「個人情報取扱事業者」である顧客(顧問先)となります。

そして、この顧客(顧問先)が、個人データの取扱いを社労士事務所に委託しているということになるため、上記ガイドラインでいうと、「委託元」=顧客(顧問先)、「委託先」=社労士事務所となり、その両者が報告義務を負うこととなります。

なお、筆者が個人情報保護委員会に電話で問い合わせた際も、「顧客(顧問先)名を記載しないで報告しても、個人情報保護法で求められる「委託元」「委託先」双方からの報告がなされたと扱うことはできない」旨の回答でした。

顧問弁護士のご案内

4. 本人通知はどのように考えたらよいか/すぐに行わなければならないか

上記2で見た通り、個人情報の漏洩等の事象が生じた場合には、個人情報保護委員会への報告だけでなく、「事態を知った後、当該事態の状況に応じて速やかに」、本人に対して、「当該事態が生じた旨」を含む一定の事項を通知する必要があります(法第26条2項・規則第10条)。

本件でも、漏えい等が生じたおそれのある本人、すなわち顧客の従業員に対し、通知を行う必要があります。

ただし、不正アクセスの状況や全体像が把握できていないこともあるため、以下のガイドラインの「事例2」に該当するとして、少なくとも現時点では本人通知を行わないという判断も考えられなくはないところです(この点も個人情報保護委員会の窓口に確認してみましたが、統一的な見解はなく、報告者の判断に委ねられているという印象は受けました。)。

3-5-4-2 通知の時間的制限

個人情報取扱事業者は、報告対象事態を知ったときは、当該事態の状況に応じて速やかに、本人への通知を行わなければならない。

「当該事態の状況に応じて速やかに」とは、速やかに通知を行うことを求めるものであるが、具体的に通知を行う時点は、個別の事案において、その時点で把握している事態の内容、通知を行うことで本人の権利利益が保護される蓋然性、本人への通知を行うことで生じる弊害等を勘案して判断する。

【その時点で通知を行う必要があるとはいえないと考えられる事例(※)】

事例1)インターネット上の掲示板等に漏えいした複数の個人データがアップロードされており、個人情報取扱事業者において当該掲示板等の管理者に削除を求める等、必要な初期対応が完了しておらず、本人に通知することで、かえって被害が拡大するおそれがある場合

事例2)漏えい等のおそれが生じたものの、事案がほとんど判明しておらず、その時点で本人に通知したとしても、本人がその権利利益を保護するための措置を講じられる見込みがなく、かえって混乱が生じるおそれがある場合

(※)「当該事態の状況に応じて速やかに」本人への通知を行うべきことに変わりはない。

※で記載がある通り、基本的には本人への通知義務自体が免除されるわけではないので、どこかのタイミングでは本人通知を行う必要が生じるのが通常です。

ガイドライン上、『当初報告対象事態に該当すると判断したものの、その後実際には報告対象事態に該当していなかったことが判明した場合には、本人への通知が「本人の権利利益を保護するために必要な範囲において」行うものであることに鑑み、本人への通知は不要』との記載もありますが、本件の場合、「報告対象事態に該当していなかったことが判明した」と判断される可能性(=漏えいのおそれすらなかったと事後的に判断される可能性)は低く(私見)、基本的には、本人通知が必要になる事案と考えております。

本人通知の際には、①概要、②漏えい等が発生し、又は発生したおそれがある個人データの項目、③原因、④二次被害又はそのおそれの有無及びその内容、⑤その他参考となる事項を記載する必要がありますが(規則第10条、第8条1項)、後記5の個人情報保護委員会への報告書の記載内容を一部ピックアップして、社会保険労務士にて通知文書の案を作成し、顧客に当該文案を渡す(顧客より従業員に通知いただく)といった対応も考えられます。

いずれにせよ、社会保険労務士から顧客の従業員に直接通知を行うのは現実的ではなく、顧客から従業員に通知いただくことになろうかと思います。

5. 個人情報保護委員会への報告はどのように行えばよいか

全国社会保険労務士会連合会にて、報告書のフォーマットが参考として共有されており、こちらを参考に報告書を作成することが考えられます(会員のみがダウンロードできるため、一般企業の方は確認できません)。

上記4で記載した通り、仮に本人通知を現時点で行わないのであれば、⑹の「本人への対応の実施状況」については、「対応予定」にチェックをつけることになろうかと思います。念のため、「エムケイシステム社からの情報提供等により不正アクセスの状況等が明らかになった時点で対応予定」等と併記しておくのがよりベターでしょう。

なお、本件のように、委託元・委託先双方が個人情報保護委員会への報告義務を負う場合には、「社会保険労務士」(委託先)と顧客(委託元)とで個別に報告を行うのではなく、連名で報告を行うことも許容されております

具体的には、社会保険労務士にて報告書を作成し、⑼の「その他参考となる事項」に委託元の顧客一覧を記載することで、顧客(委託元)についても報告義務を果たしたものと扱われます。

もっとも、顧客(委託元)にも報告義務が課されている関係もあり、顧客(委託元)に事前連絡・報告することなく、社会保険労務士のみの判断で顧客名(委託元名)を記載するという対応には問題があることは否定できません(顧客の承諾なく、無断で報告したと評価されかねません。)。

そのため、少なくとも事前に顧客に報告することは必須と考えます。

6.上記を踏まえた現実的な対応

上記を踏まえると、現状、社会保険労務士の先生が行うべき対応は、以下の➀~③と考えます。

  1. 顧客への説明(個人情報保護委員会に報告を行う旨も併せて報告)
  2. 個人情報保護委員会への「速やか」な報告(報告書の作成・提出/別途確報が必要かは要確認)
  3. 適宜のタイミングで、顧客より本人(従業員)に一定の事項を通知いただく

※他事務所やエムケイシステム社からの情報提供等を踏まえ、本人(顧客従業員)への通知文案を作成し、顧客に文案を渡す(顧客より従業員に通知いただく)という手段も考えられる。

7.その他(損害賠償等)

なお、具体的な対応策と併せ、「今回のような事象で社会保険労務士が損害賠償義務を負う可能性があるか」という相談も多くいただいております。

そもそも個人データの漏えい等が生じたかも不明な中で、この部分については現状何とも申し上げることができませんが、「可能性は否定できないものの、現状では見通しがつけづらいため、引き続き、漏えい等の事実に関する情報収集を行いつつ、まずは報告義務・本人通知の対応を先行する法が良い」ということで、一応の回答とさせていただきます。

8. おわりに

今回の事象で、多くの社会保険労務士の先生がお困りかと思うと、同じ士業として大変心が痛みます。一般的なお話が中心となりましたが、現状把握できている事情等も踏まえ、本記事を作成させていただきました。少しでもお役に立てますと幸いです。

士業のトラブルとサポートについては、こちらをご覧ください。

お問い合わせはこちらからご連絡ください。

お問い合わせはこちら

文責:弁護士 村岡つばさ

※上記記事は、本記事作成時点における法律・裁判例等に基づくものとなります。また、本記事の作成者の私見等を多分に含むものであり、内容の正確性を必ずしも保証するものではありませんので、ご了承ください。