第89回 安全管理措置、委託と監督義務
政府が発表しているガイドラインでは「個人番号関係事務の全部又は一部の委託者は、委託先において、番号法に基づき委託者自らが果たすべき安全管理措置と同等の措置が講じられるよう必要かつ適切な監督を行わなければなりません」と記述されている。委託先では「自社で課せられている義務と同等」の措置が講じられていることが必要で、また、それを必要かつ適切に監督しなければならない。
「必要かつ適切」についても詳しい内容が記述されている。
まず、@委託先の選定を適切に行う事、次いで、A委託先に安全管理措置を遵守させるために必要な契約を締結する事、さらに、B委託先における特定個人情報の取り扱い状況を把握する事――の3点が述べられている。
適切な選定について、委託者は「委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません」とされている。実際に委託先の設備や技術水準などを提示させて評価する、というのは実質的には困難である。そこで客観的な評価として、第三者機関による認証である「Pマーク」や「JAPiCOマーク」を取得している、というのが重要な判断基準になる。企業認証は小企業は対象になりにくいので、その際には、JAPiCOの個人認証の仕組みである「個人情報管理士」の取得で代替するのが当面の対応策になるのではないかと考えられる。
委託先に安全管理措置を実行させるための「契約」としては、ガイドラインは「秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等」を内容として盛り込まなければならない、と記述している。
ガイドラインでは、委託企業・事業所(A社)は、委託先(X社)の監督も行わなければならない。また、X社が再委託する際には選定基準を吟味してその許諾の可否を判断するとともに、A社も再委託先(Y社)の監督の責を負う。もちろん、X社もY社を監督する。さらにY社が再々委託する際には、再々委託先のZ社についてY社は、X社と委託元A社双方の許諾を得なければならない。また、Y社がZ社を監督するのはもちろん、A社も、X社もZ社監督の責任を負うことになっている。
このように委託するA社は委託先だけでなく、再委託先、再々委託先のすべてに対して監督の責任を負うことになる。この場合、国内で処理作業をしない海外のクラウドサービスに委託できるのか、という問題が生じる。ガイドラインでは「委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません」となっているが、国内企業とは別の企業基準をもつ外国企業がどこまで監督を受け入れることになるのか。
関係者の間では、国内企業に委託、再委託、再々委託を限ってゆくのが安心だという声が強いが、海外企業から、今後、どのような提案が出るのか、注目したい。
【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization
「必要かつ適切」についても詳しい内容が記述されている。
まず、@委託先の選定を適切に行う事、次いで、A委託先に安全管理措置を遵守させるために必要な契約を締結する事、さらに、B委託先における特定個人情報の取り扱い状況を把握する事――の3点が述べられている。
適切な選定について、委託者は「委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません」とされている。実際に委託先の設備や技術水準などを提示させて評価する、というのは実質的には困難である。そこで客観的な評価として、第三者機関による認証である「Pマーク」や「JAPiCOマーク」を取得している、というのが重要な判断基準になる。企業認証は小企業は対象になりにくいので、その際には、JAPiCOの個人認証の仕組みである「個人情報管理士」の取得で代替するのが当面の対応策になるのではないかと考えられる。
委託先に安全管理措置を実行させるための「契約」としては、ガイドラインは「秘密保持義務、事業所内からの特定個人情報の持出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等」を内容として盛り込まなければならない、と記述している。
ガイドラインでは、委託企業・事業所(A社)は、委託先(X社)の監督も行わなければならない。また、X社が再委託する際には選定基準を吟味してその許諾の可否を判断するとともに、A社も再委託先(Y社)の監督の責を負う。もちろん、X社もY社を監督する。さらにY社が再々委託する際には、再々委託先のZ社についてY社は、X社と委託元A社双方の許諾を得なければならない。また、Y社がZ社を監督するのはもちろん、A社も、X社もZ社監督の責任を負うことになっている。
このように委託するA社は委託先だけでなく、再委託先、再々委託先のすべてに対して監督の責任を負うことになる。この場合、国内で処理作業をしない海外のクラウドサービスに委託できるのか、という問題が生じる。ガイドラインでは「委託先の設備、技術水準、従業者に対する監督・教育の状況、その他委託先の経営環境等をあらかじめ確認しなければなりません」となっているが、国内企業とは別の企業基準をもつ外国企業がどこまで監督を受け入れることになるのか。
関係者の間では、国内企業に委託、再委託、再々委託を限ってゆくのが安心だという声が強いが、海外企業から、今後、どのような提案が出るのか、注目したい。
【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization