委託先が十分な個人情報の保護水準であることを監督します
個人情報の取扱いについて、企業が監督義務を負うのは自社の従業員に対してだけではありません。顧客の個人データを処理するために、情報処理を委託した別の業者の従業員が顧客の名簿を外部に流出させてしまった場合でも、委託した企業が責任を負うことになるのです。
ここでいう「委託」は、通常の場合、契約に基づいて行われるものを意味しています。個人情報取扱事業者であるか否かを問わず、個人データの取扱に関する作業を伴うものではあれば、その一切を含みます。
JIS Q 15001では、事業者が委託を行う場合、その要求事項として以下のように規定されています。
- 委託選定基準を確立し、個人情報の保護水準を満たしているものを選定する
- 委託先に対する必要かつ適切な監督を行う
- 契約によって十分な保護水準を担保する
- 当該契約書などの書面を保存する
選定基準としては、「プライバシーマーク」や「ISMS適合性評価制度」といった第三者認証制度の認証の取得など、個人情報の保護水準を客観的に確認できるものにするとよいでしょう。
「必要かつ適切な監督」には、委託業務における個人情報の安全管理措置について同意した契約を締結すること、契約に盛り込んだ安全管理措置が遵守されているかどうか、その実施状況を定期的に確認することが含まれます。
具体的には、委託先から「個人情報管理状況報告書」や「内部監査報告書」などの提出を受けて、その内容を確認したり、委託元が監査を実施して確認したりすることが挙げられます。確認する項目としては、例えば入退出管理、アクセス管理、機器・媒体管理、要員の教育などがあります。確認する期間は、少なくとも年に1回は必要となります。