 |
||||||||||||||
|
||||||||||||||
| 1 2 3 次のページ | ||||||||||||||
|
||||||||||||||
| 業務委託時の注意点と社内ガイドラインの作成 | ||||||||||||||
|
前回は対策内容を決めていくために最初にすべきこととして、個人情報の分別が必要であることを紹介した。個人情報が「誰に関するものか」「どのようなものか」による分別をして対策をすれば、過剰な対策や対策が不十分であったなどといった過不足を防ぐことができる。 今回は業務委託での注意点と、個人情報保護対策を社内に示す際のガイドラインの構成について解説していこう。 |
||||||||||||||
| 委託業務における委託元と委託先の関係 | ||||||||||||||
|
まず前回解説した分別の第1ステップのCについて解説する。
表1:第1ステップの4つの分別(再掲) 個人情報に限らず、ITシステムの構築/運用/保守を自社だけで完結している企業は少なく、何らかの業務を外部委託していることがあるだろう。その際に委託業務を請け負っている企業は、「委託業務で処理する個人情報」に該当する個人情報を取り扱うケースが多々ある。 世間を賑わす個人情報漏洩事件では委託先が漏洩経路となる場合もあり、この種の業務を請け負う企業では対策内容の検討に神経質になっていることだろう。 しかし個人情報保護の対応策は業務の委託元が本来指示すべきなのである。委託先は指示された内容に従って対策を実施すればよい。ところが安全に関することは下請けに丸投げという、国内にはびこる悪しき商慣習によって、委託先が考えさせられる場合も少なくないのが現状だ。 この点について、本来のあるべき姿を整理していく。まずは本連載の「第2回:企業における対応方針と成功の秘訣」でも紹介した個人情報保護法の観点から見ていこう。 個人情報保護法では個人情報取扱事業者に安全管理義務を求めているが、委託元と委託先の関係は図1のようになる。  図1:個人情報取扱事業者と業務委託の関係 図1で示したように「個人情報に関する法律上の個人情報取扱事業者は、委託元企業」であって委託先ではない。 法律上は個人情報取扱事業者である委託元が具体的な安全管理措置を示して、委託先を監督する責任がある。また委託元が委託先に対して必要な対策を具体的に指示することについては、経済産業省ガイドラインでも明記されている。
経済産業省ガイドラインの法第22条(委託先の監督)より抜粋
「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。なお、優先的地位にある者が委託者の場合、受託者に不当な負担を課すことがあってはならない。 |
||||||||||||||
|
1 2 3 次のページ |
||||||||||||||
|
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
-
人気記事ランキング
-
-
連載
