*本コラムは令和4年4月1日施行の改正個人情報保護法を前提にしています。
個人情報を取り扱う場合に安全管理義務が発生するのに対して、業務の全部または一部を外部にアウトソースした場合、委託先に対する監督義務はどうなるのでしょうか。
法第25条では、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」と定められています。
具体的には、法第23条に基づき、自らが講ずべき安全管理措置と同等の措置が講じられるように委託先の監督を行う必要があります。
(安全管理措置) 第23条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 |
委託先への監督義務の対応としては、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に起因するリスクに応じて、次の措置を講じなければならないとされています(個人情報取扱事業者等に係るガイドライン(以下、「ガイドライン」といいます。)3-4-4)
(1) 適切な委託先の選定 (2) 委託契約の締結 (3) 委託先における個人データ取り扱い状況の把握 |
(1) まず、委託先の選定にあたって、委託先の安全管理措置が業務内容に沿って確実に実施されることについて、あらかじめ確認する必要があります。
(2) 次に、委託契約において、委託先における委託された個人データの取り扱い状況を委託元が合理的に把握することを盛り込むことが望ましいとされています。
(3) さらに、委託先に委託された個人データの取り扱い状況を把握するため、定期的に監査を行う等、委託の内容等の見直しを検討することを含めて適切に評価することが望ましいとされています。
委託先への監督義務を適切に行っていない事例としては以下のようなものがあげられています(ガイドライン3-4-4-参照。)。
事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合 事例2)個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合 事例3)再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合 事例4)契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合 |
また、委託先が再委託を行おうとする場合には、委託の場合と同様に、委託元は再委託する相手方、業務内容、個人データの取扱い方法等について、再委託先に対して監督を適切に果たすこと及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましいとされています。
弊所では個人情報保護法に関するご相談やご依頼をお受けしておりますので、ご気軽にお問合せください。