TOP
>
情報セキュリティ
> 業務委託時の注意点と社内ガイドラインの作成
常識として知っておきたい個人情報保護法
第4回:社内ガイドラインの作成
著者:
日本ヒューレット・パッカード 佐藤 慶浩
2006/7/6
1
2
3
次のページ
業務委託時の注意点と社内ガイドラインの作成
前回は対策内容を決めていくために最初にすべきこととして、個人情報の分別が必要であることを紹介した。個人情報が「誰に関するものか」「どのようなものか」による分別をして対策をすれば、過剰な対策や対策が不十分であったなどといった過不足を防ぐことができる。
今回は業務委託での注意点と、個人情報保護対策を社内に示す際のガイドラインの構成について解説していこう。
委託業務における委託元と委託先の関係
まず前回解説した分別の第1ステップのCについて解説する。
従業員の個人情報
顧客の個人情報
委託業務を請け負っている場合における、委託業務で処理する個人情報
取引先や調達先など、上記以外の個人情報
表1:第1ステップの4つの分別(再掲)
個人情報に限らず、ITシステムの構築/運用/保守を自社だけで完結している企業は少なく、何らかの業務を外部委託していることがあるだろう。その際に委託業務を請け負っている企業は、「委託業務で処理する個人情報」に該当する個人情報を取り扱うケースが多々ある。
世間を賑わす個人情報漏洩事件では委託先が漏洩経路となる場合もあり、この種の業務を請け負う企業では対策内容の検討に神経質になっていることだろう。
しかし
個人情報保護の対応策は業務の委託元が本来指示すべき
なのである。委託先は指示された内容に従って対策を実施すればよい。ところが安全に関することは下請けに丸投げという、国内にはびこる悪しき商慣習によって、委託先が考えさせられる場合も少なくないのが現状だ。
この点について、本来のあるべき姿を整理していく。まずは本連載の「
第2回:企業における対応方針と成功の秘訣
」でも紹介した個人情報保護法の観点から見ていこう。
個人情報保護法では個人情報取扱事業者に安全管理義務を求めているが、委託元と委託先の関係は図1のようになる。
図1:個人情報取扱事業者と業務委託の関係
図1で示したように
「個人情報に関する法律上の個人情報取扱事業者は、委託元企業」
であって委託先ではない。
法律上は個人情報取扱事業者である委託元が具体的な安全管理措置を示して、委託先を監督する責任がある。また委託元が委託先に対して必要な対策を具体的に指示することについては、経済産業省ガイドラインでも明記されている。
経済産業省ガイドラインの法第22条(委託先の監督)より抜粋
「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。なお、優先的地位にある者が委託者の場合、受託者に不当な負担を課すことがあってはならない。
1
2
3
次のページ
著者プロフィール
日本ヒューレット・パッカード株式会社 佐藤 慶浩
1990年日本ヒューレット・パッカード(株)入社。OSF/1、OSF/DCE、マルチメディア、高可用性、インターネット技術支援を経て、米国にてセキュリティ製品の仕様開発に携わった後、情報セキュリティのコンサルティングに従事。また、国内初のインターネットバンキングでトラステッドOSを導入、インターネットトレーディングシステムでは性能改善のためユーティリティコンピューティングも設計。2004年からは、個人情報保護対策室長を務める。社外では、ISO/IEC国際標準セキュリティ委員会委員、情報ネットワーク法学会理事等の他、情報セキュリティ対策や個人情報保護についての講演をしている。現在、内閣官房情報セキュリティセンター参事官補佐を併任。
詳細はコチラ。
http://yosihiro.com/profile/
INDEX
第4回:社内ガイドラインの作成
業務委託時の注意点と社内ガイドラインの作成
委託業務における対策検討は委託元の責任
社内ガイドライン作成におけるポイント
