個人情報取扱事業者が、個人データの取り扱い業務を委託する場合、委託先における安全管理措置を監督する義務があります。このことは、個人情報保護法22条に明記されています。
2019年(平成31年)3月、個人情報保護委員会が、中小企業を対象に安全管理に関する調査を行ったところ、個人情報の取り扱いを外部に委託しているのは417社(回答全体の8.7%)でした。そのうち法律で定められた委託先の監督を「行っている」と回答した割合は30.9%とどまり、「行っていない」という回答は53.2%に上りました。(回収数4,803件、回収率16.0%)
個人情報の罰則規定(第82条~88条)では、最大で6ヶ月以下の懲役または30万円以下の罰金に処せられることになります。損害賠償は、それを上回る額になる可能性があります。
そこで、外部業者に業務委託する際、次のような点に注意しましょう。
個人情報の罰則規定(第82条~88条)では、最大で6ヶ月以下の懲役または30万円以下の罰金に処せられることになります。損害賠償は、それを上回る額になる可能性があります。
そこで、外部業者に業務委託する際、次のような点に注意しましょう。
業務委託内容の精査
委託する業務内容に個人情報が含まれるかどうか、委託内容を精査しましょう。
業務委託契約に安全管理措置を明記
個人情報の扱いについて、委託契約(基本契約)に安全管理措置を明記しておきましょう。委託業務に個人情報が含まれるか否かにかかわらず、その扱いを盛り込んでおくと安全です。
一般社団法人情報サービス産業協会(JISA)が、『個人情報保護モデル契約(改訂第2版)』を刊行しており、これを参考にするといいでしょう。
一般社団法人情報サービス産業協会(JISA)が、『個人情報保護モデル契約(改訂第2版)』を刊行しており、これを参考にするといいでしょう。
監査
契約で定められた安全管理措置が継続的に行われているかどうか、委託業者を定期的に監査することも大切です。
たとえば、毎年書面による報告を求め、3年に1度、現場監査に赴くという手順が考えられます。
監査を実施したら、かならずその記録を自社に残しましょう。記録は、日時と管理者が証明できるのであれば、書面(押印)でも電子データでも構いません。
たとえば、毎年書面による報告を求め、3年に1度、現場監査に赴くという手順が考えられます。
監査を実施したら、かならずその記録を自社に残しましょう。記録は、日時と管理者が証明できるのであれば、書面(押印)でも電子データでも構いません。
参考サイト
- 中小規模事業者の安全管理措置に関する実態調査 報告書 平成31年3月:個人情報保護委員会
(この項おわり)