委託先の監督

 近年の個人情報漏えい事件では委託先からの漏えいというケースが少なくありません。

個人情報の取り扱いを委託する委託先が不適切な保護水準であれば、事業者が莫大な資源を投じて適切な個人情報保護マネジメントシステムを構築できたとしても、完璧な個人情報保護の仕組みは確立できません。

個人情報の取扱いを委託するには

事業者が個人情報の取扱いの全部または一部を委託する場合の要求事項を規定しているのが「3.4.3.4 委託先の監督」であり、以下の内容を要求しています。

  • 委託先選定基準を確立し、十分な個人情報の保護水準を満たしている者を選定すること
  • 委託先に対する必要、かつ適切な監督を行うこと
  • 契約によって十分な個人情報の保護水準を担保すること
  • 当該契約書などの書面を個人情報の保有期間にわたって保存すること

なお、委託を受けた者に対して必要かつ適切な監督を行っていない事例として「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では、以下のものをあげています。

  • 個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した場合で、委託先が個人データを漏えいした場合
  • 個人データの取扱いに関して定めた安全管理措置の内容を委託先に指示せず、結果、委託先が個人データを漏えいした場合
  • 再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合
  • 契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わなかった結果、委託先の認知しない再委託が行われ、その再委託先が個人データを漏えいした場合

委託先の選定基準は?

 少なくとも当該業務に関して、事業者と同等以上の個人情報保護水準を、客観的に確認できるものを委託先を選定する基準とする必要があります。

 「Pマーク」や「ISMS適合性評価制度(認証範囲に当該委託処理を行うプロセスがふくまれていることが条件)」といった第三者認証制度の認証取得の有無などが選定基準の具体例としてあげられますが、それらの認証取得をしていない委託先に関しては、事業者が自らの個人情報保護マネジメントシステムの構築に際して検討した「チェック項目」をベースに評価をすることが必要となります。

第三者認証を取得している事業者でも、「3.4.3.2 安全管理措置」の項のとおり、そのセキュリティ対策のレベルは様々です。

そのため、必要に応じて委託先候補の業務状況を確認することが望ましいでしょう。

 このほか、安定した経営状態であることや、当該業務を委託するに相応しい業務実績などを持っていることなども当然のことながら評価の対象となるでしょう。

委託先に対する監督とは

 従業者が「個人情報保護マネジメントシステム」を遵守するよう、必要な指示、監視、指導を要求しているものが「3.4.3.3 従業者の監督」ですが、同様に委託先との取り決め(契約内容)が遵守されるよう、委託先に対して必要な指示(依頼)、監視、指導を行うことが「委託先の監督」となります。

なお、定期的な委託先に対する監査などが、その具体的実現手段としての代表的な実現例となります。

委託先との契約に盛り込む内容は?

 本規格では、以下の内容を契約に盛り込むことを委託先が十分な個人情報の保護水準であることを担保するために要求しています。

なお、これらは委託する個人情報のリスクに応じて、規定する内容が変わり得るもので、すべての委託先に一律に強いるものではありません。

  • 委託者及び受託者の責任の明確化
  • 個人情報の安全管理に関する事項
  • 再委託に関する事項
  • 個人情報の取扱状況に関する委託者への報告の内容及び頻度
  • 契約内容が遵守されていることを委託者が確認できる事項
  • 契約内容が遵守されなかった場合の措置
  • 事件・事故が発生した場合の報告・連絡に関する事項

また、事業者と委託先との連絡を密にすることは、個人情報に関する事件・事故などの予防のため、また、被害の無用な拡散を防ぐためなどには有効です。

委託先の監督のために「監査権」を契約に盛り込む

 このほか、必要に応じて、委託先の業務遂行状況を事業者あるいは事業者が指名する第三者によって監査出来るものとする「監査権」について契約に盛り込む事業者も増えてきているようです。

なお、個人情報やその他の重要情報がある、事業者の事務作業フロアーに入ってくる清掃業者、人材派遣事業者などに対しては、個人情報に関する業務を委託するものではありませんが、「守秘義務」に関する条項を含んだ業務契約書の締結が望まれます。

契約書などの書面を保存するときは

 「契約終了後も第××条については双方の申し出がない限り、保持するものとする」として、契約の有効期間を実際の業務委託期間に追加しているケースがあります。

よって契約書の保存期間は、「当該個人情報の保存期間」「契約書の有効期間」及び「契約条項の有効期間」から、商法などの該当する法令を考慮しながら決定する必要があります。

個人情報保護法との関連

 個人情報保護法「第22条 委託先の監督」に相当する要求事項が「3.4.2.4 委託先の監督」です。

個人情報保護法では「委託先に対する必要かつ適切な監督」のみの要求ですが、規格では委託先選定基準に基づいた委託先の選定、及び個人情報の保護水準を担保するための契約の締結についても要求しています。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする