セキュリティーについて

クラウドワークスの「中の人」ではありませんが、一般的な話としてお答えをしておきます。

そもそもクラウドワークスは業務委託を行うためのプラットフォームであり、業務を委託する側(クライアント)と受託する側(ワーカー：個人・法人を問わず)の間でのやり取りをしているに過ぎず、クラウドワークス側で提供している「セキュリティ」関連の担保ができるものと言えばワーカーとクラウドワークスとの間で締結できるNDAくらいではないかと思います(もちろん業務委託契約時に当事者間でNDA締結を行うことも可能です)。

ワーカーがクライアントのシステムにリモートアクセスして作業を行うケースは私の認識では少なくないのではないかと考えています(リモートワークを行う上では必須ですので)し、私も実際に業務を受託し作業を行う上でクライアントさまの所有するシステムにアクセスして作業を行うことが多いです。

ただ、オンプレミスシステム(会社構内に構築されたもの：いわゆる企業内イントラシステム)へのアクセスを伴う業務は行ったことがありません。基本的にSaaSなどのクラウド系システムがメインです。例えばSalesforceであったりAWSやGCPなど、レンタルサーバー等へのアクセスも含めれば事例は私に限らず多数あるだろうと思います。

ちなみに、イントラ系へのアクセスはワーカーとしてではなく、クライアント側にとってセキュリティホールを作ってしまうという点でリスクになってしまうため(業務受託者経由の漏洩だけでなく、不正アクセスによるものも当然発生しうるので)、わざわざリモートワークをするためだけのために単純に外部からのアクセスを許容する設定をするというのはあまりお勧めできません。
＃技術的にはそれほど難しくないことなのですが、システム全体のセキュリティポリシーを再構築しなければいけないという別の難しさがあります。

貴社の現状を把握していないので一般的な話に終始してしまいましたが参考になれば幸いです。

>>> CrowdWorksさまでのセキュリティーはどうなっていますか？？

「NDA(Non-Disclosure Agreement)」とは情報を外部にもらさいことを約束してもらう契約です。

基本的にオブジェクトコード（コンピュータが理解できるマシン語で記述されたプログラム）で渡したデモソフトが「本検討に関して相互に開示した技術情報」であると解釈することはできますが、それをリバースエンジニアリングして得られたソース・コードの情報については、「開示」されたものではなく、守秘義務の対象にならないと言う解釈もなりたちます。

もう少し書きますと、「個人情報管理」だけがすべてではありません。
「不正競争防止法」など色々あります。

不正競争防止法
http://www.meti.go.jp/policy/economy/chizai/chiteki/index.html

”情報がきちんと機密情報として管理されていなければ、「不正競争防止法における営業機密の要件の１つである秘密管理性が認められません。」"

経済産業省が定義する営業機密管理指針
http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/20150128hontai.pdf

「クラウドワークス」が！　と言うことであれば・・・何もしてないでしょう。
NDAもクラウドワークスが強制しているというものではありません。

個人情報保護法であれ、不正競争防止法であれ国が定めた法律であり「どこを経由して成立した取引か」は関係なく法の基準での判断で有効です。

企業の保護政策について考えるのであれば、「財団法人日本情報処理開発協会」と言うのがあります。

財団法人日本情報処理開発協会
https://www.jipdec.or.jp

ここで、「プライバシー・マーク」を発行してます。

プライバシーマーク制度
https://privacymark.jp

そういうのを認定されているベンダー企業を探すというのであれば、一定の効果はあるかもしれませんけど。
クラウドワークスが特別な取り組みは何もしていないと思います。

利用規約に定めている事がここのサービスの全てだと考えてます。

クラウドワークス利用規約
https://crowdworks.jp/pages/agreement.html

ここで定義されている「第5条 本サービスの内容」でまんまですが、サービスの全容を把握できます。
そして、４と５でここの姿勢や方針がりかいできます。

つまり、「業務委託契約」であり「クライアントとベンダーで取引の責任は完結」させてます。

問題が発生した場合、調停や訴訟裁判による解決以外提供していません。
調停や訴訟裁判に法律上、協力は全面的にすると書いていますがそれは法で定めてある義務の範囲でありそれ以上の事はしないということです。

そして、こういう契約のもと作業するのはベンダー企業であり作業環境をクラウドワークスが構築・提供するわけではありません。

例えば、

個人情報保護法　第２３条
https://ja.wikibooks.org/wiki/個人情報の保護に関する法律第23条

個人情報の保護に関する法律についてのガイドライン
http://www.soumu.go.jp/main_content/000447340.pdf

「個人情報保護法　第２３条 第1~4項」というのがあります。
https://www.waseda.jp/gakuin/koukou/file/security_02.pdf

読めば見たまんまですが、「委託先に提供する場合は同意が不要」と個人情報は規定されているんですよ。
承諾がなくても個人情報は流れるんですよ。

そして、「個人情報保護法　第２２条 」
http://ngswm.livedoor.biz/archives/50155913.html

これも読んだまんまですが「委託元は委託先での個人データの安全管理について監督義務を負う」と定めているわけです。

どこまで要望するつもりなのか？　知りませんが！

結局のところ受託するベンダーの受入体制・環境も重要になってくるのです。
さらに「下請法」などもありますから、所詮「こだわるのであればここだけの定義では十分とはいえない」でしょう。

ただ、お金と投資すれば「安全」というわけではありません、そこはさじ加減が必要だと思います。
価値観はそれぞれなので、そこは御社内で判断されるとよいでしょう。

ただ、こういうのは「裁判事例」などをみればわかりますが、
どこまで投資したら安全というのはありません。

大手企業のシステムでも情報漏洩等々の問題が発生してニュースになったりしています。

そこを考えると一般的な対応で検討しておくほうが良い気がします。
あくまで、アドバイス程度の意見ですが。

クラウドワークスが受注して作業をするのではなく、クラウドワークスを介して発注先を探して作業してもらうというものです。
問題は、クラウドワークス経由発注した発注先がセキュリティー的にどうなのかということになりますので、ご指摘の内容は意味を成しません。

受注者が、発注者のサーバーなどをいじることは通常よくあることだと思いますが、クラウドワークス自体が、発注先の信頼性などを保証することはないので、信頼に足る発注先かどうかはご自身でご判断されることになるかと思います。

> 弊社で使用している独自のシステムでの業務を依頼したいのですが、この場合弊社のサーバー等に直接
> アクセスする事になります。個人データ等が閲覧される可能性が出てきますがCrowdWorksさまでの
> セキュリティーはどうなっていますか？？

この場合、CrowdWorks→御社システムのセキュリティ対策ではなく
ワーカー→御社システム間のセキュリティ対策となります。
外部のワーカーに御社システムにて作業させるには外部からの「穴」をあける必要があります。
この穴を最小限にする必要がありますので"固定IPアドレス"からのアクセスに限定したりVPNで
一旦御社LANにログインしている状態を作ったりします。
漏洩に関してはシステムで権限レベルを実装したり持ち物検査を実施するのはかなりのコストがかかるので
機密保持契約で釘をさすのが一般的かと思います。


> 自社のシステムにクライアントがアクセスし作業している事例があるでしょうか？

多くの商取引システムや求人システムで利用されています。