個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図れるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない(法22条)。
(1)
委託先の選定基準の設定
@ 委託先の選定
個人情報の全部又は一部を第三者に委託するに当たり、個人情
報の漏えい等を防止するために、充分な個人情報の安全管理対
策を講じている委託先を選定する。
A 具体的基準
委託先の選定にあたっては、以下の事項を参考とする。
a ISMS・プライバシーマーク等第三者認証取得状況
b 委託業務に係る個人情報安全管理対策の整備状況
ア 内部規程の整備状況
イ 責任体制の整備状況
ウ 物的安全管理措置の実施状況
エ 人的な安全管理措置の実施状況
c 再委託の取り扱い状況
d 過去の個人情報漏えい等の経歴の有無及び再発防止措置の
内容の実施状況
e 委託先の個人情報取り扱いルールの遵守に対する態度
(2) 委託・受託契約関係の明確化
@ 個人情報の委託をめぐる権利関係の明確化
委託業務の範囲、受託者の責任を明確化し、業務委託に付随し
て個人情報の委託が行われる場合の権利義務の内容をできるだ
け明確にすることが望ましい。
A 契約条項
業務委託契約には、個人情報に関して以下の条項を盛り込むよ
う交渉する。
a 委託契約の目的のために必要となるもの以外の個人情報の利
用は原則として禁止する。
b 受託者にも委託者と同等の個人情報安全管理に関するルール
を遵守させるとともに、個人情報の取り扱い状況について委託
者への報告義務、委託者の個人情報に関する取り扱い状況の
監査権(立入検査の実施等)を認めさせる。
c 漏えい等が発生した場合、契約内容が遵守されなかった場合
の対処や責任の所在、損害額の算定基準等を明確にする。
(3) 契約書等関係書類の保存
委託契約書、当該委託に関する個人情報の保有、管理等に関する書類は、個人情報の漏えい等が発生した場合の対処や責任の所在を明確にするために、必要に応じ、委託契約の終了後も保存するものとする。
(4) 委託先に対する安全管理措置
委託先に係る個人情報の安全管理措置は、委託業務において委託者と同一の個人情報を取り扱うという観点から、委託者が講じている物理的、人的安全管理措置と同等の内容を満たすように努めさせる。
(5) 再委託の取り扱いおよび再委託先に対する安全管理措置
@ 事前承認
委託先が再委託をする場合は、委託先から事前に承認願いを提
出させ、前記(1)の委託先の選定基準に照らし、適切な再委託先
であるか否かを審査のうえ、再委託を認めるか否かを決定するも
のとする。
A 再委託関係の明確化
委託先が再委託をする場合には、委託先と再委託先との間にお
いて、委託者と委託先との間を規律する前記(2)の委託・受託関
係の明確化、(3)の契約書等関係書類の保存に関する規程に準
じた取扱いがなされるように、委託者において指導・監督するもの
とする。
|
