2005年 11月 30日 ( 1 )

2005年 11月 30日
誰でもわかる!簡単【個人情報保護法】26 ~ガイドライン解説14:委託先の監督~
経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」解説の14回目です。
今回は委託先の監督についてです。

個人情報保護法には

法第22条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

と規定されています。

「適切な監督」の方法としては具体的に明記されているわけではありませんが、ガイドラインでは、【受託者に必要かつ適切な監督を行っていない場合】の事例があるので見ておきましょう。

【受託者に必要かつ適切な監督を行っていない場合】
事例1) 個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず外部の事業者に委託した場合で、受託者が個人データを漏えいした場合
事例2) 個人データの取扱いに関して定めた安全管理措置の内容を受託者に指示せず、結果、受託者が個人データを漏えいした場合
事例3) 再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り、受託者が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合

事例1)では「個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず」となっていますので、契約締結後に委託先の安全管理状況を把握する措置が必要だということがわかります。どのように安全管理措置の状況を把握するか?という事については規定がありませんが、
 ・委託先に安全管理状況の報告書の提出を求める
 ・実際に委託先に行って安全管理状況を確認する
といった方法で実施するべきでしょう。この「安全管理措置状況の把握」は定期的に実施する必要がありますが、委託先の管理者が変更されたようなケースでは、随時報告を受けるようにしておきましょう。

事例2)では「安全管理措置の内容を受託者に指示せず」となっています。事例1)にあった安全管理措置は、委託先に委ねるのではなく、委託元の企業が実施事項を決め、指示しなければならないということです。

事例3)は再委託についてで、「再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り」となっています。委託先が別の企業に再委託する際の条件を決め、指示をすること、委託先と再委託先のデータの受け渡し方法や、再委託先へ提供されるデータの内容などの確認をとること、が必要ということです。

委託先と契約を結ぶ際にも、契約書に盛り込む項目が決まっています。

【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
●委託者及び受託者の責任の明確化
●個人データの安全管理に関する事項
●個人データの漏えい防止、盗用禁止に関する事項
 ・委託契約範囲外の加工、利用の禁止
 ・委託契約範囲外の複写、複製の禁止
 ・委託契約期間
 ・委託契約終了後の個人データの返還・消去・廃棄に関する事項
●再委託に関する事項
 ・再委託を行うに当たっての委託者への文書による報告
●個人データの取扱状況に関する委託者への報告の内容及び頻度
●契約内容が遵守されていることの確認(例えば、情報セキュリティ監査なども含まれる。)
●契約内容が遵守されなかった場合の措置
●セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

これらの項目については、最低限決めておいた方が良いでしょうし、これらの事項について明確な回答が出来ない企業は委託先としては失格といえるかもしれません。
[PR]

by office-izutani | 2005-11-30 11:39 | 誰でも簡単【個人情報保護】