コラムColumn

　近年、不正アクセスやマルウェアへの感染に端を発したサイバーインシデントが世間をにぎわせています。直近の2025年では、事務用品等を取り扱う大手通信販売会社や大手飲料メーカなどでサイバーインシデントが発生したことにより流通網等にも大きな影響が生じました。前回のコラムでは、個人データの取扱いを外部に委託するにあたっての委託契約において定めるべき事項について説明しましたが、今回は、個人データを取り扱うシステム開発の業務委託契約と個人情報保護法との関係、特に企業に求められる安全管理措置（個人情報保護法23条）との関係について取り上げていきます。

１．安全管理措置
　個人情報保護法23条は、個人情報取扱事業者に対し、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置、いわゆる安全管理措置を講じることを求めています。
　この安全管理措置として具体的に講じなければならない措置や当該措置を実践するための手法の例等については、個人情報保護法ガイドライン（通則編）「10（別添）講ずべき安全管理措置の内容」に示されています。
　個人情報保護法ガイドライン（通則編）「10（別添）講ずべき安全管理措置の内容」においては、以下の措置が、個人情報取扱事業者が具体的に講じなければならない措置として示されています。

① 基本方針の策定
② 個人データの取扱いに関する規律の整備
③ 組織的安全管理措置
④ 人的安全管理措置
⑤ 物理的安全管理措置
⑥ 技術的安全管理措置
⑦ 外的環境の把握

　このうち、個人データを取り扱うシステム開発の業務委託契約との関係で特に重要なのは、④技術的安全管理措置です。個人情報保護法ガイドライン（通則編）「10（別添）講ずべき安全管理措置の内容」によれば、個人情報取扱事業者は、技術的安全管理措置として、以下の措置を講じる必要があります 。

(1)　アクセス制御
(2)　アクセス者の識別と認証
(3)　外部からの不正アクセス等の防止
(4)　情報システムの使用に伴う漏えい等の防止

　したがって、個人データを取り扱うシステムにおいては、基本的に上記の技術的安全管理措置を講じておくことが必要となるといえるでしょう。特に冒頭で言及したようにサイバーインシデントのリスクが高まっている現状においては、(3)や(4)の措置を講じることが非常に重要であるといえます。

２．業務委託契約を締結するに際して注意すべき事項
　では、個人データを取り扱うシステム開発の業務委託契約を締結するにあたってはどのような点に注意する必要があるのでしょうか。この点を議論するにあたっては、まずシステム開発の一般的な工程について理解しておく必要があります。
　システム開発の手法にはウォーターフォール方式やアジャイル方式など様々な手法があります。このうちウォーターフォール型では、大きく分けて、要件定義、外部設計（基本設計）、内部設計（詳細設計）、開発、テストの工程でシステム開発が進んでいきます。このうち要件定義のフェーズにおいて、情報システムの重要性に応じて、求められる信頼性・安全性の水準を正しく認識し、決定しなければならないとされています 。そのため、要件定義のフェーズにおいて、求められる技術的安全管理措置を考慮したうえで、適切に要件定義を行う必要があります。
　ここで留意する必要があるのは、要件定義のフェーズは一般的には準委任契約（民法656条）により行われ、要件定義を行う主体はシステムの発注者側であり、受託者であるベンダーはあくまで要件定義をサポートする建付けとなっている点です。すなわち、要件定義のフェーズにおいて、求められる技術的安全管理措置を考慮したうえで、適切に要件定義を行うのは、あくまで発注者側ということです。
　発注者側としては受託者であるベンダーの専門性に期待して、セキュリティについても任せきりになってしまうこともあります。しかし、個人情報保護法の定める安全管理措置は、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）、個人データを記録した媒体の性質等に起因するリスクに応じて、必要かつ適切な内容とすべきものであるとされており ^※、個々の個人情報保護事業者により異なりうるものです。そのため、発注者としては、自社として講じるべき安全管理措置、個人データを取り扱うシステム開発の業務委託契約との関係では、特に技術的安全管理措置の内容を自社で適切に設定したうえで、それをシステムの要件定義に反映させていく必要があります。
※個人情報保護法ガイドライン（通則編）「10　（別添）講ずべき安全管理措置の内容」

３．まとめ
　今回は個人データを取り扱うシステム開発の業務委託契約の個人情報保護法との関係について検討しました。個人情報保護法は、個人間の契約関係を規律する法律ではないため、一見契約の内容とは無関係に見えますが、実務上は個人情報保護法を遵守するために契約に反映しなければならない内容が少なからず存在します。契約による適切なリスク管理という観点からも、また個人情報保護法の遵守という観点からも、個人データが関連する契約については適切なレビュー体制の構築が必要とされています。

※このコラムは今回が最終回です。本コラムへのご意見・ご感想はこちらへお願いいたします。