|
<< FAQ一覧に戻る
Q3-11.ホームページからの通信販売の申し込みに対して、A社ではWeb専門業者(B社)と業務契約(秘密保持契約)を締結しており、ホームページからの申し込みは全てA社の管理するサーバへ蓄積され、その情報はA社へ手渡しで行われます。つまりA社は、ホームページともB社ともネットワーク回線では繋がっていません。
そのような環境の中で、もしそのホームページを通じて不正アクセスにより個人情報が漏洩し、情報主体より訴訟が起きた場合、A社はどのような立場となるのでしょう?
お客様から見える、個人情報の収集者はどのようになっていますか?利用目的の告知文はどちらの名前になっているのでしょうか?それによって対応は全く異なります。
■A社の名前で個人情報を収集している場合
前提として、収集画面で、利用目的を特定し、必要な項目が告知(通知)されていなければなりません。
この場合、A社は委託元(委託者)、B社は委託先(受託者)です。A社はB社を監督する義務がありB社の漏えい事故の責任は、A社が負わなければなりません。そのようなことがおこらないように、A社はB社を管理監督する義務があるのです。また、以下のような内容を含む契約を締結する必要があります。
【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
・委託者及び受託者の責任の明確化
・個人データの安全管理に関する事項
:個人データの漏えい防止、盗用禁止に関する事項
:契約範囲外の加工、利用の禁止
:委託契約範囲外の複写、複製の禁止
:委託契約期間
:委託契約終了後の個人データの返還・消去・廃棄に関する事項
・再委託に関する事項
:再委託を行うに当たっての委託者への文書による報告
・個人データの取扱状況に関する委託者への報告の内容及び頻度
・契約内容が遵守されていることの確認(例えば、情報セキュリティ監査なども含まれる。)
・契約内容が遵守されなかった場合の措置
・セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
■B社の名前で個人情報を収集している場合
前記同様に、収集画面で、利用目的を特定し、必要な項目が告知(通知)されているという前提です。A社はB社から個人情報を間接取得することになります。従って、A社は改めて、利用目的を通知し本人同意を得る必要があります。
あるいは、B社は収集時の利用目的の中にA社に提供する旨とその他必要な項目を通知しておかなければなりません。
この場合に事故が起きれば、B社の責任ということになります。
文面から拝察しますと、そのホームページで正しい告知はなされているのでしょうか?
個人情報保護方針は公表されていますか?
開示請求窓口、苦情相談窓口は開設され、それを告知していますか?
他の事項も含めて、これらは個人情報取扱事業者の義務として4月1日以降は実施しておかなければならいことです。個人情報のリスクの認識と合理的な安全管理策など、個人情報取扱事業者の義務としてやらなければならないことが、たくさんあります。これらの環境を整備した上で、漏えい事故の責任のあり方を検討しなければなりません。会社としての個人情報保護のあり方を学習し、個人情報保護法遵守体制を確立されることをおすすめ致します。
<< FAQ一覧に戻る
|
