クラウドから個人情報が流出した場合の責任は? [セキュリティ]

個人を特定しうる情報(名前、住所、メールアドレス、電話番号、職業、画像…)が、利用していたクラウドストレージから流出してしまった。それも利用者のミスや悪意からではなく、サービスを提供している事業者側の不備で。

そんな時、責任はどこに発生するでしょうか。
答えは「個人情報データを預けた利用者」です。

個人情報を委託する場合は「きちんと監督しなくてはならない」との規定がありますから、業者が100%悪いので利用者に責任はない!と逃れることは出来ません。監督出来ていない以上、利用者側に責任が発生するのですね。(利用者がサービス提供事業者に損害賠償を求めるのは、また別の話です。)

そうは言っても実際問題クラウドストレージの状況を利用者が完全に監督するのは無理。ですから利用者側のセキュリティポリシーに沿った、信頼できるサービス提供事業者を選定しなければなりません。
最低限でもAES 256ビット暗号化、アクセス管理、変更不可の監査ログ、複数のデータバックアップセンターに加え、連絡が取りやすいサポート体制の整ったサービスを導入してください。

社会保険労務士法人ヒューマン・プライム n54