情報セキュリティ検定をはじめ、個人情報に関する検定を開催中。(財)情報協。

 

個人情報保護対策

 

人的対策

 

(2006.5.27)

 

外部委託業者の管理(委託契約)
昨今、業務のアウトソーシングが進んでいるが、その一環として個人情報を取り扱う業務を委託することが増えている。しかし、その反面、委託先からの個人情報漏洩事故も多発している。
委託先の監督は、従業者の監督と同様に、個人情報保護法によって義務づけられている。万が一、監督を怠った結果として、委託先から個人情報が漏洩した場合、委託元は個人情報漏洩の責任追及を免れることができない。よって、委託先は「信頼できる企業」から選定する必要があるとともに、業務委託時は、委託先が法人・個人であるかを問わず、非開示契約を締結し、委託先への監督権限や損害賠償の可能性を担保しておかねばならない。加えて、漏洩の報告義務に関する条項は必ず盛り込んでおくべきである。
再委託は漏洩リスクが高いため、原則として禁止し、認める場合でも、厳格なルールに沿って行うこと。

 

委託先の監督 第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要 かつ適切な監督を行わなければならない。

 

個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項
  (1)委託者及び受託者の責任の明確化
  (2)個人データの安全管理に関する事項
   ・個人データの漏えい防止、盗用禁止に関する事項
   ・委託契約範囲外の加工、利用の禁止
   ・委託契約範囲外の複写、複製の禁止
   ・委託契約期間
   ・委託契約終了後の個人データの返還・消去・廃棄に関する事項
  (3)再委託に関する事項
   ・再委託を行うに当たっての委託者への文書による報告
  (4)個人データの取扱状況に関する委託者への報告の内容及び頻度
  (5)契約内容が遵守されていることの確認(例えば、情報セキュリティ監査

   なども含まれる。)
  (6)契約内容が遵守されなかった場合の措置
  (7)セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

 

 

違反・事故・苦情への対応

個人情報取扱業者は、個人情報の取扱いに関する苦情の適切、かつ迅速な処理に努めねばならず、そのための体制を整備する義務を負い、苦情処理体制の整備が必要である。
保有個人データの開示請求に対する遅滞ない対応が、個人情報保護法では義務づけられている。

違反・事故などの問題が発生した場合、速やかに代表者に報告が伝わる体制を整備しなければならない。発生原因は単純なものとは限らないので、報告経路は複数設け、可能性の段階でも報告させるように体制を整えることが懸命である。事故発生時の対応はスピードが大切である。事実確認から、被害者への対応や関係機関への報告に至る流れを 個人情報漏洩時の対応手順書としてあらかじめ策定し、従業者に周知・教育しておくこと。

 

 

報告書の作成と被害届け

漏洩事故発生の公表は、早いほどよい。公表が遅れると、社会や被害者が抱く心象が悪くなり、事態がより深刻化する恐れがある。公表手段は、ウェブサイトや記者会見、謝罪広告などがある。また、事件性がある場合は、被害届を警察に届ける。
また、主務大臣はじめ関係機関へ事故発生の事実と経緯を報告する。
※主務大臣とは、個人情報取扱事業者が行う事業等の所管大臣のことを言う。


前のページ