塚本

AGS株式会社が個人情報を無断再委託!Pマーク存続が危うい?


情報サービス会社として様々な事業展開を行っている「AGS株式会社」は多くの顧客を獲得し、個人情報を守るための体制を整えプライバシーマーク(Pマーク)も取得していました。しかし2019年1月8日に、法令を違反して無断で第三者に個人情報を含むデータ入力業務などを再委託していたことを明らかにしています。

具体的にはどのような問題に発展しているのか、「AGS株式会社」とはどのような企業なのか紹介していきましょう。

AGS株式会社とは?

銀行系業務や地方自治体業務など、様々な情報サービスを行っている「AGS株式会社」は、金融・公共・法人といった幅広い範囲で取引を行っています。業務内容としては、システムコンサルティングからアウトソーシングまで、幅広いサービス提供を行っているのが特徴です。

他にもインターネットを活用した事業やセキュリティ対策への関心も深めており、信頼できるサービスを提供する企業として多くの顧客を獲得しています。事業概略について紹介していきましょう。

1.情報処理サービス

「AGS株式会社」のサービスの一つとして情報処理サービスの提供があります。埼玉県内屈指のデータセンタを基板としており、大型汎用機を活用した受託計算サービスやデータ入力・印刷・デリバリなどの周辺業務を併せたトータルサポートを行っているのが特徴です。

他にもインターネットデータセンタ「さいたまiDC」では、ハウジングといったファシリティ提供サービスから稼働監視サービス、セキュリティサービスまでインターネット利用システムに関する幅広いサービスを提供しています。そのため情報についての取り扱いは慎重に行うことが重要な事業展開が主です。

2.ソフトウェア開発

ソリューション提供の実績やエンジニアリング経験を活用し、コンサルティングから最新技術によるシステム企画や設計など、総合的な保守サポートを実施しています。どのような運用が適切なのか、アドバイザー的な役割で提案することから、インターネット業界からも厚い信頼が寄せられているのです。

3.情報サービス

IT化を早く・安く実現するためにシステムパッケージ商品などを販売し、導入支援サービスまで提供しています。専門的な知識からIT化をどのように行えばいいのか、一から指導してもらうことができるので、IT化を望む多くの顧客を獲得しているのが特徴です。

4.機器販売

マルチベンダーとして、他のコンピューターメーカーにはない企業にマッチしたコンピューター機器や周辺機器などの販売を行っています。独自の技術や発想が詰め込まれた機器が販売されているので、今までにない機能性をサービスとして提供しているのが特徴です。

法令違反の内容とは?

インターネット事業として、多くのサービスを提供している「AGS株式会社」が行った法令違反となった問題とはどのような内容なのでしょうか。2019年1月8日に、「AGS株式会社」が発表した内容としては、埼玉県内6市の自治体から受託した個人情報を含むデータ入力業務及び、封入封緘業務を無断で第三者に再委託したといったことが法令違反である行為として公表されました。

具体的には、無断再委託は2016年~2017年の複数年にわたって実施されていたようで、データ入力業務の合計は46万2,015件、封入封緘業務の合計は8,414件もの個人情報が流出したとされています。

外部的なセキュリティとしては、プライバシーマーク(Pマーク)を取得していることから、問題なく個人情報を守る体制が整っていることは証明されているでしょう。

しかし今回の個人情報の流出は、「AGS株式会社」が無断で業務を再委託することによって発生した問題なので、業務的な信用を失ってしまうきっかけになっています。「AGS株式会社」に求められる対応としては、今後の業務改善と再発防止のための職員への教育を徹底することが大切です。

問題が発覚した理由

今回の個人情報の取り扱いを巡る問題は「AGS株式会社」の社内調査によって発覚したと言われています。委託元の各自治体から特定個人情報(マイナンバー)を取り扱う受託業務において、無断再委託の有無について報告要請があったことがきっかけで調査が行われ、問題が判明したのです。

番号法が施工された2015年には、再委託の許諾は得ていたのですが2016年~2017年度については自治体の許可を得ずに、再委託を行っていたことから問題視されています。

インターネットサービス業界において、個人情報を他の企業に再委託し、個人情報を共有することは個人情報流出を招く恐れがあるため、信用を著しく下げる原因となってしまうでしょう。

特に「AGS株式会社」は、無断で再委託をしたことで個人情報を簡単に外部に漏らしてしまっていることが露呈してしまい、多くの顧客から失望されたことが予想されます。

2015年度には、再委託の許諾を得ていたことから2016年~2017年度についても再委託の許諾を事前に申請しておくことが重要でした。個人情報保護の管理体制が十分に整っていなかったことから、今後のセキュリティ面についての意識改革が大切になってくるでしょう。

Pマークが失効される可能性

企業が外部に向けて、個人情報保護の管理体制が十分に整っていることを証明することができるプライバシーマーク(Pマーク)を「AGS株式会社」は取得していました。しかし今回の無断再委託の件を受けて、改めてセキュリティ面の調査が入る可能性があります。

改めて審査を行い、十分な個人情報保護の管理体制が整っていない場合、プライバシーマーク(Pマーク)失効の恐れがあるでしょう。今までにも更新の際に、個人情報保護の管理体制が整っていないことから、プライバシーマーク(Pマーク)が失効されたという話があります。

一度プライバシーマーク(Pマーク)が失効された場合、企業はセキュリティ面で問題があると認識され、他の企業からの信用を失うこともあるでしょう。そのためにもプライバシーマーク(Pマーク)を取得した後は、継続的に個人情報保護の体制を整えておくことが大切なのです。

プライバシーマーク(Pマーク)を継続的に取得するためには、多くの手間と費用が発生しますが、プライバシーマーク(Pマーク)を取得しておくことで、外部にセキュリティ面が万全であることをアピールすることができるため、必要な負担と言えるでしょう。

「AGS株式会社」が行った無断再委託の問題は、外部からセキュリティを破られたなどの問題ではありませんが、内部の管理体制が不十分であったことが証明されたので、今後の対応や個人情報保護の管理体制についての見直しが必要になってきます。

まとめ

インターネットサービスを幅広く提供している「AGS株式会社」は、数々の実績から高品質のサービスを提供していることから顧客の信頼を獲得していました。しかし無断再委託を実施していたことから、顧客の信用を裏切る形で問題が露呈してしまっています。

問題となっていたのはセキュリティ面よりも、個人情報を軽く扱ってしまったことに対する企業の対応です。改めて個人情報保護の観点から、どのような対応が必要なのか、体制を整えることが今度の課題となってくるでしょう。

状況によってはプライバシーマーク(Pマーク)失効も考えられるので、今後の「AGS株式会社」の対応に期待されています。

この記事を書いた人

塚本
塚本
■出身地:福岡県
■趣味:FX、株式投資
■最近のはまり:仮想通貨、ブロックチェーン技術について
■苦手なもの:ねぎ

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にDM発送代行、プライバシーマーク取得コンサルティング事業をしております。
プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 塚本