個人情報保護法では、第１９条で（データ内容の正確性の確保）、第２０条で（安全管理措置）、第２１条では（従業者の監督）、そして第２２条において（委託先の監督）をもとめています。通常は、更に第２３条（第三者提供〈委託〉）を加えて、「適正管理、利用、第三者への提供」として、個人情報取扱事業者に適切な管理を求めています。

それでは、第２１条（従業者の監督）、第２２条（委託先の監督）の「監督」とは、どのような監督を求めているのでしょうか。これは、個人情報保護法、第２２条（委託先の監督）の条文に「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」と明記されているとおり、「個人データの安全管理に関する監督義務」があるということです。

なぜ、委託先の安全管理に関する監督が個人情報取扱事業者の義務なのでしょうか。これは、第２３条（第三者提供）において、委託先は第三者ではないという規定があり、本来は「本人同意」を必要とする第三者提供を「委託に関しては第三者ではない」という規定によって、同意なき第三者提供を可能にしているからです。したがって、事業者は、委託先に提供されているかどうかは本人にはわからない状態で第三者提供するわけですから、委託先において、その個人データの安全管理が図られるように、委託元個人情報取扱事業者の義務として、委託先を適切に監督しなければならないのです。

経済産業分野のガイドラインでは安全管理に関して、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のため、組織的、人的、物理的、及び技術的安全管理措置を講じなければならない。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。なお、その際には、個人データを記録した媒体の性質に応じた安全管理措置を講じることが望ましい。としています。同様の安全管理を委託先にも求めなくてはなりません。

経済産業分野のガイドラインにおけるでは「必要かつ適切な監督」とは、委託契約における個人データの取扱に関して、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。とされています。つまり、契約をもって、その保護水準を担保することを求めているのです。

それでは、どのような内容を契約書に盛り込むべきでしょうか。経済産業分野のガイドラインでは、以下の内容を契約書に含むことを求めています。

経済産業分野のガイドラインにおける、「受託者に必要かつ適切な監督を行っていない場合」の事例を見てみましょう。以下のように、ガイドラインでは、「これが適切な管理だ」という記載ではなく、このような事象が起こっていれば「適切な管理ができていないと見なしますよ！」という記載方法がとられています。これは適切な管理策とは、その個人データの価値や事業者の環境によって異なるものであり、また、漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさによっても異なることから、正に「適切」に実施しなければならないからです。

このような、事件事故の発生は
「適正な安全管理が行われるように、委託先の監督ができていない」
ということになります。