|
今回は、今、最もホットな領域である、「委託先の監督」義務についてお話しします。
■ JIS Q15001:2006と個人情報保護法、共通に義務規定化されている
「委託先の監督」は、ご存じのようにJIS Q15001:2006でも個人情報保護法でも同様の規定ぶりになっています。
すなわち、「適正管理」項が4分野に分解され、それぞれ以下のように規定されています。
JIS Q15001:2006
| 3.4.3 適正管理 |
| ├ |
3.4.3.1 正確性の確保 |
| ├ |
3.4.3.2 安全管理措置 |
| ├ |
3.4.3.3 従業者の監督 |
| └ |
3.4.3.4 委託先の監督 |
|
|
事業者は、個人情報の取扱いの全部又は一部を委託する場合は、
- 十分な個人情報の保護水準を満たしている者を選定しなければならない。このため、事業者は、委託を受ける者を選定する基準を確立しなければなければならない。
- 委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行わなければならない。
- 次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保しなければならない。
- 委託者及び受託者の責任の明確化
- 個人情報の安全管理に関する事項
- 再委託に関する事項
- 個人情報の取扱状況に関する委託者への報告の内容及び頻度
- 契約内容が遵守されていることを委託者が確認できる事項
- 契約内容が遵守されなかった場合の措置
- 事件・事故が発生した場合の報告・連絡に関する事項
- 当該契約書などの書面を少なくとも個人情報の保有期間にわたって保存しなければならない。
|
|
個人情報保護法
| 適正管理 |
| ├ |
第19条 データ内容の正確性の確保 |
| ├ |
第20条 安全管理措置 |
| ├ |
第21条 従業者の監督 |
| └ |
第22条 委託先の監督 |
|
|
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう、受託者に対し必要かつ適切な監督をしなければならない。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。
「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。
【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
- 委託者及び受託者の責任の明確化
- 個人データの安全管理に関する事項
- 個人データの漏えい防止、盗用禁止事項
- 契約範囲外の加工、利用の禁止
- 委託契約範囲外の複写、複製の禁止
- 委託契約期間
- 委託契約終了後の個人データの返還・消去・廃棄に関する事項
- 再委託に関する事項
- 取扱状況に関する委託者への報告内容頻度
- 契約内容が遵守されていることの確認(監査)
- 契約内容が遵守されなかった場合の措置
- 事件・事故が発生した場合の報告・連絡事項
|
|
上述のように、「委託先の監督」はJIS Q15001、個人情報保護法共通に「義務規定」化されており、遵守していない場合は「法令違反」になります。
では「委託先の監督」の、委託とは何でしょうか。
ここで言う委託とは、個人情報の利用目的の達成に必要な範囲で個人情報を利用する業務を委託することです。利用目的の達成に何ら関連しない個人情報を伴う業務委託はここで扱う「委託」ではなく、「第三者提供」です。第三者提供の場合は、本人同意が必要です。
| ■ 「委託先の監督」キーポイント −1− |
|
|
 |
十分な個人情報の保護水準を満たしている者を選定しなければならない。
このため、事業者は、委託を受ける者を選定する基準を確立しなければなければならない。
|
委託先を選定する基準は、少なくとも委託する当該業務に関しては、自社と同等以上の個人情報保護の水準にあることを客観的に確認できるものでなければなりません。個人に委託する場合であっても、委託先選定基準による選定が必要です。
そのために必要な委託先の選定基準とは、どのような基準を作り上げるのでしょうか。
以下がその選定基準チェックリストのモデルです。このチェックリスト作りで重要なことは、80点以上とれればよいといった単純なものではなく、必須項目については欠落があってはならいということです。
また、参考事項として「プライバシーマークやISO/IEC27000等の認証の取得をしているか。」ということも入れましょう(本項目は必須事項としてはなりません)。
| ■ 「委託先の監督」キーポイント −2−
|
|
|
|
| 委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行わなければならない。
|
規定の通り「委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行わなければならない。」のであって、単に「契約書通りによろしくね。」では監督義務を果たしたことになりません。
経済産業分野のガイドラインではこの部分に対して十分な監督をしていない×(バツ)事例として次の3点を示しています。
何気なくさらっと書いてありますが、実にツボをとらえた文章です。実際にこれだけのことを行っていなければ委託先の監督義務を果たしたことにはならないのです。
受託者に必要かつ適切な監督を行っていない事例(経済産業分野のガイドラインより)
|
悪い事例
|
|
適切な監督の具体例
|
|
[事例1]
個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず外部の事業者に委託した場合で、受託者が個人データを漏えいした場合
|
 |
所定の契約締結は当然です。さらに締結時とそれ以降も安全管理措置状況を定期的に把握・管理・監督します。
|
|
[事例2]
個人データの取扱いに関して定めた安全管理措置の内容を受託者に指示せず、結果、受託者が個人データを漏えいした場合
|
|
所定の契約締結を行い、その実施を指示しなくてはなりません。
|
|
[事例3]
再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り、受託者が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合
|
|
再委託に関しても所定の契約締結をし、その条件に関して指示しなくてはなりません。かつ、委託先に対する個人データの取扱状況の確認が必要です。
|
|
|
| ■ 「委託先の監督」キーポイント −3− |
|
|
|
|
次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保しなければならない。
|
以下の内容を盛り込んだ契約書を締結する手順を定め、実施しなければなりません。
そして、実行面で重要なことはプライバシーマーク制度、JIS Q15001要求事項では、上述の定められた手順に従い、
- 委託契約が、特定した利用目的の範囲内であることを、あらかじめ個人情報保護管理者に確認していること
- 定められた手順に従い、下記の内容が盛り込まれた契約書を締結していること
- 契約書の内容が実行されていること
上記の実施が必要です。このことによって初めて、最初に述べた個人情報の保護水準が担保されるのです。
【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
経済産業分野のガイドライン:JIS Q15001共通
- 委託者及び受託者の責任の明確化
- 個人データの安全管理に関する事項
- 個人データの漏えい防止、盗用禁止事項
- 契約範囲外の加工、利用の禁止
- 委託契約範囲外の複写、複製の禁止
- 委託契約期間
- 委託契約終了後の個人データの返還・消去・廃棄に関する事項
- 再委託に関する事項
- 取扱状況に関する委託者への報告内容頻度
- 契約内容が遵守されていることの確認(監査)
- 契約内容が遵守されなかった場合の措置
- 事件・事故が発生した場合の報告・連絡事項
|
|
| ■ 「委託先の監督」キーポイント −4− |
|
|
|
|
当該契約書などの書面を少なくとも個人情報の保有期間にわたって保存しなければならない。
|
定められた手順に従い、当該契約書などの書面を個人情報の保有期間にわたって保存しておかなくてはなりません。さまざまな記録類もこの中に含まれます。
これらの記録類は「監査証跡」としても重要であり、手順に従って実施したことを証する証憑でもあります。文書記録等の管理規定に基づいて保管期間を定め、保管します。
| ■ 「委託先の監督」キーポイント −5− |
|
|
|
|
その他の事項
- 安く委託できるところへ発注するのではなく、自社と同等以上の安全管理が確保できるところへ委託してください。
- 委託した業務を自社内で実施した場合はどのような安全管理をすべきかを考え、同等以上の安全管理レベルを確保してください。
- 緊急事態対応体制についても自社の仕組みと整合した体制の確立を求めることが肝要です。
- 監督とは、基準を示し、実施方法を指示し、そのように実施しているかを定期的に確認し、報告内容を評価して是正措置を指示して初めて監督していることになるということを肝に銘じてください。
- 最後に、委託は、基本的に本人同意のない第三者提供です。扱われているのが自分の個人情報保護であれば、どのようにしてもらいたいかを常に考え、要求事項の全ての措置を実施してください。
|
|
