顧客サーバをリモート参照する場合、その個人情報は自社の管理対象になりますか?
個人情報洗い出し作業で 質問があります。
弊社は、システム開発会社です。
ある顧客より システムの保守開発を業務委託されています。
そのシステムは、顧客が保有するもので、会員制Webシステムです。
弊社の保守要員は、弊社事務所内で作業をしており、ネットワーク越しにリモートアクセスすることによって 顧客サーバを管理しております。
で、会員制Webシステムなので、大量のユーザ(個人情報)を参照可能なのですが、これについて 弊社の保有する個人情報として 管理すべき対象となるのでしょうか?
システム開発会社様において、顧客環境にある本番データへのアクセス権限を保持している場合、その管理範囲をどう定義するかは非常に重要な論理構築ポイントとなります。
結論から申し上げますと、その個人情報は「直接の保有」ではありませんが、貴社のPMS(個人情報保護マネジメントシステム)における「管理対象」に含める必要があります。
スムーズに社内体制を整えられるよう、また審査時にロジカルに説明できるよう、以下の3つの観点で整理・解説いたします。
1. 「保有」ではなく「取り扱い」としての管理
Pマーク(JIS Q 15001)の考え方では、自社で取得した個人情報(従業員情報や自社サービスの顧客情報など)と、受託業務で扱う個人情報は区別されます。
今回の場合、データ自体は顧客が保有するものですが、貴社の作業者が「アクセス可能(取り扱う)」状態にあるため、「受託業務において取り扱う個人情報」として特定し、リスク分析を行う義務が生じます。
2. 責任境界の明確化(物理的 vs 技術的・組織的)
ご指摘の通り、サーバの物理的場所によって管理の責任範囲が変わります。
- 物理的安全管理(顧客責任):
サーバ室の入退室管理や施錠などは、顧客側の管轄となります。 - 技術的・組織的安全管理(共同〜貴社責任):
貴社拠点からのアクセスログの管理、作業者の端末セキュリティ、ID・パスワードの厳格な運用、および従業者への教育は、貴社側で「自社の個人情報と同等、あるいはそれ以上」のレベルで管理する必要があります。
3. 審査・実務上の「独自性」を高めるポイント
単に「管理する」だけでなく、以下の対応を行うことで、審査時の満足度と実務の安全性が飛躍的に向上します。
- 「台帳」への記載方法の工夫:
個人情報管理台帳には、件数を特定するのではなく「顧客サーバ内データ(リモートアクセスによる参照のみ、貴社内へのダウンロード禁止)」といった形で、「取り扱いの形態」を明記してください。これにより、不要な安全管理措置を省きつつ、必要なリスク対策(漏洩防止)に集中できます。 - 委託契約書(SLA)の再確認:
契約書内で「どこまでが貴社の責任か」が明記されているか確認してください。最新のJIPDEC指針では、委託元・受託者間での責任分担が明確であることを重視します。 - 「特権ID」の管理:
保守要員が強力な権限(特権ID)を持つ場合、そのIDの利用申請・承認フローが貴社のPMS(人的・組織的安全管理)として機能しているかが、審査で最も注目されるポイントになります。
運営のアドバイス
サーバが貴社内にある場合は「フルスペックの管理」が必要ですが、今回のようなリモートアクセス形態では、「貴社拠点内にデータを持ち込ませない、残さない」という技術的対策を主軸にリスク分析を行うのが、最も効率的かつ安全な運用です。
実態に即した「無理のない、かつ漏れのない管理」の構築にお役立てください。
