|
<< FAQ一覧に戻る
Q3-30.当社はお客様が乗船される際、乗船名簿(複写式)を記入され、船内に乗船名簿の一部を預けます。船内にて当該乗船名簿は当社、船内サービス、船内事務を行う当社関連会社Aが船内サービスや船内事務手続き上、利用することがあります。このように関連会社Aに当社の乗船名簿を利用する場合がある場合、当該状況は個人情報の共同利用と扱われますでしょうか?また関連会社Aは現在、プライバシーポリシー等を整備されていない状況です。当該関連会社においても、プライバシーポリシー等の社内規程を整備する必要がありますでしょうか?
乗船名簿記入時に、利用目的を「船舶による旅客サービスのために利用します。」とし、A社には業務委託している形にするのがよいでしょう。委託先は法律上第三者に該当せず、本人同意無く個人情報の提供が可能です。A社は利用目的の達成に必要な範囲(「船舶による旅客サービスのため」)で個人情報の利用が可能です。
但しこの場合、 貴社は委託先A社の監督義務が発生します。以下にしたがって、契約を締結し、A社の監督を実施してください。
◇ ◇ ◇
経済産業分野のガイドラインより
* 貴社は本来、国土交通省のガイドラインを参照すべきですが、委託先管理に関しては経済産業分野のガイドラインを参照しても差し支えありません
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう、受託者に対し必要かつ適切な監督をしなければならない。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。
「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。
なお、優越的地位にある者が委託者の場合、受託者に不当な負担を課すことがあってはならない。また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じた場合は、元の委託者がその責めを負うことがあり得るので、再委託する場合は注意を要する。
注【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
・委託者及び受託者の責任の明確化
・個人データの安全管理に関する事項
:個人データの漏えい防止、盗用禁止に関する事項
:契約範囲外の加工、利用の禁止
:委託契約範囲外の複写、複製の禁止
:委託契約期間
:委託契約終了後の個人データの返還・消去・廃棄に関する事項
・再委託に関する事項
:再委託を行うに当たっての委託者への文書による報告
・個人データの取扱状況に関する委託者への報告の内容及び頻度
・契約内容が遵守されていることの確認 (例えば、情報セキュリティ監査なども含まれる。)
・契約内容が遵守されなかった場合の措置
・セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
◇ ◇ ◇
以上です。
関連会社A社も貴社のご指導で個人情報保護体制の整備をはかられることをお勧めいたします。その際、上記の監督の一環として実施すれば理解を得やすいのではないでしょうか。
<< FAQ一覧に戻る
|
