個人情報保護法対策室
個人情報保護法対策室
トップページ
個人情報保護法とは
個人情報保護法の解説
個人情報保護の対策
プライバシーコンサルタントのコラム
FAQ
セミナー・お問い合せ
リンク集
FAQ


1 個人情報・個人データ・保有個人データや、個人情報取扱事業者の定義に関する質問

2 利用目的の特定・通知・公表・収集時の留意点に関する質問

3 データ内容の正確性確保と安全管理措置、従業者、委託先の監督に関する質問

4 第三者提供に関する質問

5 開示・訂正等・利用停止、苦情の処理に関する質問

6 その他

<< FAQ一覧に戻る

Q3-1.当社はアウトソーサーとして、多様な顧客から個人情報が関係する業務の受託処理を行っています。預託されている個人データの取り扱いについて、4点教えてください。
[Q3-1-1]
業務を受託することにともなって預託されている個人データに関して、委託元の監督を受けることがありますか。
[Q3-1-2]
受託した個人データはどのように扱えばよいでしょうか。
[Q3-1-3]
預託されている個人データ対するセキュリティレベルについて教えてください。
[Q3-1-4]
従業者への教育は必須でしょうか。

[A3-1-1]
以下のような背景のもとに委託元は貴社への業務委託を実施しています。貴社は受託者として委託元の監督を受けなくてはなりません。

<経産省ガイドラインにおける契約内容例>(解説)

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう、受託者に対し必要かつ適切な監督をしなければならない(電話帳、カーナビゲーションシステム等の取扱いについての場合を除く。)。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。 「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。

なお、優越的地位にある者が委託者の場合、受託者に不当な負担を課すことがあってはならない。 また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じた場合は、元の委託者がその責めを負うことがあり得るので、再委託する場合は注意を要する。

【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】

・委託者及び受託者の責任の明確化
・個人データの安全管理に関する事項
  :個人データの漏えい防止、盗用禁止に関する事項
  :契約範囲外の加工、利用の禁止
  :委託契約範囲外の複写、複製の禁止
  :委託契約期間
  :委託契約終了後の個人データの返還・消去・廃棄に関する事項
・再委託に関する事項
  :再委託を行うに当たっての委託者への文書による報告
・個人データの取扱状況に関する委託者への報告の内容及び頻度
・契約内容が遵守されていることの確認 (例えば、情報セキュリティ監査なども含まれる。)
・契約内容が遵守されなかった場合の措置
・セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

[A3-1-2]
貴社は受託者であり、委託元にとって第三者や共同利用先ではありません。したがって委託元は個人情報の収集時に情報主体・本人に貴社への業務委託を通知する必要はありません(JISQ15001では委託がある場合その旨通知します)。それでは受託者である貴社においてこの個人情報をどのように扱えば良いでしょうか。

業務委託契約、秘密保持契約、個人情報保護覚書を締結した上で預託された個人情報は、貴社にとって個人情報であることを「認識」し、アウトソーシングの事業の用に供している「個人データ」です。従って、次のように判断することになります。

ア)「個人情報」か?
YES 個人情報です。

イ)個人情報取扱事業者かどうか判定するための5,000件の「個人データ」の内にカウントすべきか?
YES 預託されている個人データもその中身が個人情報であることを「認識」していれば5,000件にカウントすべき個人データです。

ウ)「保有個人データ」か?
NO この個人データに対する本人からの開示、修正、利用停止などの請求に応える権限をもっていませんから、保有個人データではありません。

[A3-1-3]
受託業務に付随して預託された個人データに対するセキュリティレベルは、当該業務の契約時に委託元とSLA(サービス・レベル・アグリーメント)等で確認し合っておくことも重要です。委託元は自社と同じセキュリティレベルを要求します。また一定期間毎の監査(監督)を受け入れる必要があります。このような内容を契約書で担保し、かつ委託先である貴社を監督する義務を委託元は負っていますから、そのことをよく理解することが重要です。

[A3-1-4]
これが最も重要です。貴社は個人情報取扱事業者として、受託業務に関する個人データの漏えい、流出事故を防止するために最大限の努力をする必要があります。一旦この領域で事故を起こせば、お客様の貴社に対する評価は瓦解し事業継続そのものが難しくなるでしょう。プライバシーマークやTRUSTe、ISMS(BS-7799)等の認証取得とその実行、そして従業者の啓発教育が大変重要です。

<< FAQ一覧に戻る

▲ ページTOP



このサイトについて   |   サイトマップ   |   個人情報保護について
Copryright (c) 2004-2008, NEC Nexsolutions, Ltd.