背景

企業の情報漏洩は、取引先や社員、一般の方々から会社の信用を損ないブランドの低下を引き起こします。2022年度の改正個人情報保護法では、個人情報を取り扱う企業に対して「個人情報漏洩時の行政への報告義務」や「漏洩時の刑事罰の厳罰化」など制度が強化され、情報漏洩は企業経営に大きな影響を及ぼすリスクとして認識が定着してきています。

情報の中でも漏洩時に社会的な影響度が高い「高い機密性を必要とされるデータ」に関しては取り扱いを慎重に行う必要があります。特に情報管理部門は、「個人情報の保護に関する法律についてのガイドライン（※2）」に記載の安全管理措置（法第23条関係）、従業者の監督（法第24条関係）、委託先の監督（法第25条関係）に則り社内対策だけでなく、委託先の管理監督の実行責任が発生します。

従来のスマクラEDIについて（暗号化・運用内容・権限管理）

「従来のスマクラEDI」は、通常の企業間取引データを取り扱うサービスとして、お客様にご利用いただいています。
取り扱うデータは営業系の情報（受発注等）が前提で、データ連携エラー時は運用担当者がお客様のご利用環境にログインし、お客様の実際のデータ内容を直接参照し、原因調査などの業務運用を行っています。 この運用を行うため、「従来のスマクラEDI」はデータの暗号化や運用担当者に対しての強力な業務範囲の制限（権限管理）を行わないサービスとなっています。

スマクラEDIの「高い機密性を必要とされるデータ」の取り扱い方針

「従来のスマクラEDI」は、情報漏洩へのリスク回避対策が十分ではないため、「高い機密性を必要とされるデータ」へのサービス提供は行ってきていません。
現在、「従来のスマクラEDI」では、個人情報を取り扱う場合、契約上、お客様より申請をいただくことになっています。（現在、ご申請いただいているお客様はございません。）
このような環境で「高い機密性を必要とされるデータ」を「従来のスマクラEDI」へ委託し運用し続けることは、ご利用企業様のリスクになります。仮に「従来のスマクラEDI」ご利用中のお客様の中で「高い機密性を必要とされるデータ」取り扱いが確認された場合は、「スマクラ セキュア（※3）」への移行か、一定期間ののち他サービスへの移行をご案内します。

（※1）高い機密性を必要とされるデータ ①要配慮個人情報・機微情報、特定個人情報、信用情報、財産情報、経済的利益に関わる情報にアクセス可能な認証情報など ➁3ヶ月の間に1000名を越える個人基本情報（住所、性別、連絡先、給与情報等）や、名刺レベルの個人情報（名前、会社名、会社連絡先等）が送受信されるなど

（※2）個人情報の保護に関する法律についてのガイドライン 個人情報保護委員会が、事業者が個人情報の適正な取扱いの確保に関して行う活動を支援すること、及び当該支援により事業者が講ずる措置が適切かつ有効に実施されることを目的として、個人情報の保護に関する法律の第4条、第9条及び第128条に基づき具体的な指針として「個人情報の保護に関する法律についてのガイドライン（通則編）」として開示されたものです。 法第23条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 法第24条　個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。 法第25条　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 法第25条のガイドライン記載の一部抜粋 【委託を受けた者に対して必要かつ適切な監督を行っていない事例】 事例1）個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合 事例2）個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合

（※3）スマクラ セキュア 個人情報や金融関連データなど機密性・秘匿性の高いデータを安心・安全に連携するため、EDIデータを暗号化するとともに、スマクラ側でのデータへのアクセス管理機能を強化し、お客様のEDIデータを高セキュリティ状態に保ちます。
これにより、情報漏洩を防止し、安心安全なEDIデータの通信を行うことができます。

本件に関するお問い合わせ先