|
<< FAQ一覧に戻る
Q3-2.当社は広告代理を含む業務を行う制作会社です。取引会社の顧客管理の一部を請け負っております。覚書・契約書の類は交わされておりません。その業務の中で、顧客プロフィールのデータ入力業務と顧客へのDM発送用宛名シールの出力を受託しています。その数量は微量であり、熟練者でなくても出来る作業です。この場合どのような対応をすべきなのでしょうか。
<現状の条件>
・データ入力に使用するPCはネットワークには接続していない
・すべてのデータはCDの受け渡しで行われている
・担当者のみの操作で行われており、他の社員はパスワードを知らない
回答を整理すると以下のようになります。
(1)貴社は委託先である。従って委託元は貴社を監督する義務を負っている。
(2)貴社と委託元は業務委託契約、秘密保持契約、個人情報保護覚書を締結する必要がある。
(3)貴社は委託元の要求する個人情報保護、安全対策を行わねばならない。
(4)貴社が保持している(預託された)個人情報は、個人データであるが、「保有個人データ」ではない。したがって、預託されているデータの本人からの要求による開示、修正、利用停止などの措置をとってはならない。
(5)貴社における個人情報保護体制構築は特に委託先としての個人情報保護体制構築が重要であり、委託元と同期をとって実施されるべきものです。なぜならば、貴社に預託されている個人情報の真の保有者は委託元企業であり、個人情報の管理責任、義務等は全て委託元企業にあるからです。
貴社の「現状の条件」である、
・データ入力に使用するパソコンはネットワークには接続していない
・すべてのデータはCDの受け渡しで行われている
・担当者のみの操作で行われており、他の社員はパスワードを知らない
これらの現状の安全対策は、すべて、委託元と合意した(委託元の要求する)管理策とする必要があります。これは委託元には貴社を監督する義務があるからです。
貴社でこの部分を勝手に決めるわけには行きません。さらに委託元は貴社における安全管理を契約によって担保する必要があります。
お話ししなければならないことが広範に及ぶため難しいのですが、先ず委託元と話し合われることが先決です。その上で、合意したレベルで以下の2点について、実施してください。
(1)個人情報保護体制の構築
(2)情報セキュリティ対策
そのためには、個人情報保護法対策セミナー等に出席し、個人情報保護法、分野別ガイドライン、JIS Q15001等について、学習されることが必要でしょう。
その上で、自力で解決できる部分と外部のコンサルティングを利用する部分を切り分け、個人情報保護体制構築されることをお勧めします。
<< FAQ一覧に戻る
|
