TOP情報セキュリティ> 委託業務における対策検討は委託元の責任




個人情報保護法
常識として知っておきたい個人情報保護法

第4回:社内ガイドラインの作成
著者:日本ヒューレット・パッカード  佐藤 慶浩   2006/7/6
前のページ  1  2   3  次のページ
委託業務における対策検討は委託元の責任

   「情報を安全に管理せよ」という指示は、委託先への監督責任を果たすことにならない。監督責任とは「安全な管理とは何を実施することなのか」と「何をもって、それを実施していると判断するのか」を示して、その判断をすることである。

   例えば委託元から、「当社顧客の個人情報について必要な安全管理措置を講ずること。問題が生じた場合には、当社の被った損害についてすべて責任を持つこと」などという具体性を欠く契約を求められたならば、必要な安全管理措置が何かを具体的に示すように依頼すべきだ。

   とはいえ、そのような依頼を委託元にすると関係が悪くなり、仕事をもらえなくなるのではないかと心配されるかもしれない。

   そのような場合には、2006年4月に施行された公益通報者保護法が適用される場合がある。この法律は、例えば委託先への監督責任を果たさない委託元に違法行為を指摘することで、自らの不利益が発生する場合に、そのような不利益から保護するというものだ。

   このような説明をすると、委託元は「具体策を示せなければ委託ができない」と思うかもしれないがそうではない。具体策を示さず委託する場合には、委託元である自身が責任を持つという自覚をしていればよい。具体策を示していないのに、責任だけを契約で求めたことで安全管理措置を講じたと思っていることが問題なのだ。

   責任だけの押し付けが横行すれば、本連載の「第1回:データが語る個人情報保護法の実態」の最後に紹介したような委託関係における無責任の連鎖が発生し、健全な社会が形成されなくなる。

   それは日本のIT産業にとって大きなマイナスとなり、業界全体の衰退を招きかねない。IT企業は目先の利益にだけとらわれず委託元に対して毅然とした態度を取り、健全な社会を形成するよう促すべきだ。

   特に委託契約において優越的地位になり得るような企業の方が、無策な委託元になりやすいといえる。すなわち大手著名企業がそれにあたる。

   多くの企業は委託発注担当者のモラルでこれが防げると思っているが、それは大きな間違いだ。なぜなら責任の押し付けによる発注の方が委託元にとっての契約リスクは低いため、そのリスク軽減を意識する「よき社員」ほど、このような発注をしようとするからだ。しかし、万が一委託先で事故が起きれば、それは契約リスクだけでは済まないということを、現場は見落としがちだ。

   具体的対策を明示しない委託発注を禁止するなどの明確な禁止条件を設けていない企業は、十分気をつける必要がある。契約リスク軽減より安全性を重視する領域の範囲を明確にしていない企業では、よき社員が結果的に不利益をもたらすことになる。

   このように責任転嫁しかしない無策企業の放置は、非常に深刻な問題だと考えるべきだ。大規模な個人情報漏洩事件が著名な企業で発生し、そのたびに委託先での管理不足が原因であるという事例からも本質的なことを学んでいないといえるのではないだろうか。


社内ガイドラインの作成

   分別の第1ステップのAとBとDについては、自身が対策内容を考えなければならない。それらについて自身が無策企業にならないことが重要だ。これはすべての企業にいえることである。


社内ガイドラインの事例

   個人情報の対策を具体的に考える場合には、個人情報のライフサイクルで考える。個人情報のライフサイクルについては、経済産業省のガイドラインでも示しているが、より具体的なイメージをつかむために、日本HPが公開している個人情報保護の社内ガイドライン作成ハンドブックを参照するとよい。

日本HP 個人情報保護方針について
http://www.hp.com/jp/pip

   上記のWebサイト内にある「摘要」の「個人情報保護対策の情報提供」から「ハンドブックダウンロードページ」にアクセスして、PDFファイルをダウンロードすることができる。これは日本HPが実際に社内で使用しているガイドラインを、様々な企業で再利用できるように、表記を一般的なものに変えて公開しているものである。

   このガイドラインは日本HPの個人情報保護方針や法定公表事項などで定めている事項、および顧客情報管理対策や情報セキュリティ対策に依存している。そのため各社にとって適当なガイドラインの内容は、適宜変更していただきたい。

   また各社の業種業態によって異なる省庁の法定ガイドラインに従う必要があり、ガイドラインの内容が異なる点も忘れてはならない。ハンドブックでは経済産業省の法定ガイドラインに従っている。

   さらにこのハンドブックは、個人情報保護法および経済産業省ガイドラインに準拠しているほかに、HPがグローバルで宣言しているプライバシーステートメントに従い、お客様からの信頼をいただくための自主規制事項にも準拠するようになっている。

   そのため国内法およびガイドラインの定めよりも、厳しい対策基準を求めている部分がある。それらについては国内において違法とならない場合があるため、各社の個人情報保護方針にあわせて手を加えて採用するのがよい。

前のページ  1  2   3  次のページ


日本ヒューレット・パッカード株式会社  佐藤 慶浩氏
著者プロフィール
日本ヒューレット・パッカード株式会社   佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/


INDEX
第4回:社内ガイドラインの作成
  業務委託時の注意点と社内ガイドラインの作成
委託業務における対策検討は委託元の責任
  社内ガイドライン作成におけるポイント