この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
前回までは、情報主体(個人情報を提供する本人)に対し、個人情報取扱事業者が、どのような対応をすべきか、という点について解説してきました。今回は、個人情報取扱事業者が、ダイレクトメールの発送やデータ処理といったさまざまな業務委託をする際の注意点について解説していきます。
「個人情報の保護に関する法律」(個人情報保護法)では、個人情報取扱事業者に対し、保有する個人情報を安全に管理することを求めています。それは、自社内の管理体制のみならず委託先の監督義務についても言及しており、業務委託先の安全管理体制に対する監督を怠れば法に抵触するということになっています。
しかし、個人情報保護法の中では、あまり具体的な対策には言及されていません。「委託先の監督」という点で、どのような対策を取っておくことが重要なのでしょうか。今回も個人情報保護法と経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」を参照しながら解説していきます。
個人情報の保護に関する法律
http://www5.cao.go.jp/seikatsu/kojin/houritsu/index.html
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
http://www.meti.go.jp/policy/it_policy/privacy/041012_hontai.pdf
個人情報保護法では、個人情報取扱事業者に対し、以下のように委託先の監督義務をうたっています。
第二十二条(委託先の監督)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
この「必要かつ適切な監督」とは具体的にはどんなことなのでしょうか。経済産業省のガイドラインでは以下のように解説しています。
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を順守させるよう、受託者に対し必要かつ適切な監督をしなければならない。
(中略)
「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。
このガイドラインから読み取れることが2点あります。
委託元として委託先に求める安全管理措置を検討する必要があります。これらは当然のことながら、自社で行っている安全管理措置を基準とし、それと同等のものを委託先にも求めていくことが考えられます。
時に、この「安全管理措置」が行われているという証明(お墨付き)ということで「プライバシーマーク」(Pマーク)といった認証制度を委託先選定の基準とする場合があります。Pマークは、JIS Q 15001(個人情報保護に関するコンプライアンス・プログラムの要求事項)に準拠した対策がされているかどうかを審査し、認定するという制度です。
Pマークで求められる安全管理対策は、「安全管理措置として何をすればよいのか」という指標になっており、こういった指標を用いて安全管理のレベルを判断することができます。この安全管理のレベルを「委託先の選定基準」とすることができます。個人情報取扱事業者は、委託先の選定基準を持ち、その選定基準をクリアした業者にのみ個人情報を委託すべきであり、法もこれを求めています。
なお、「Pマーク取得」「ISMS取得」といったチェック項目も1つの基準ではありますが、それだけでなく委託先が具体的にどのような安全管理措置を取っている企業なのか、ということをチェックできることが重要です。そのような契約書は、パートナー選定の幅を広げる選択肢の1つになると思います。
いわゆる「監査をする」ということです。委託元が委託先の状況を定期的に確認(監査)することは、委託先の了解の下で行われるべきことですので、契約書にも盛り込んでおきましょう。監査そのもののやり方や程度はそれぞれであると思いますが、いずれにしても委託元は、委託先が約束事の安全管理をどのように行っているかを、確認することが必要です。
個人情報保護に関する契約において、「監査」の項目を抜くことはできないと考えてください。とはいえ、監査の方法については、相談の余地がありますので、契約書の記載内容も含め、双方協議のうえ決定します。
Copyright © ITmedia, Inc. All Rights Reserved.