個人情報が流出、漏えいするといった事故は、委託先(取引先)から起こるということもあります。
社内での個人情報の取扱いは、しっかりしていたとしても、委託先から個人情報が漏えいしたとなれば、委託した会社にも責任が生じてきます。
プライバシーマーク認定制度では、要求事項(JISQ15001)の3.4.3.4[委託先の監督]で委託先を選定、評価、監督することが求められています。
では、具体的にどういった対策が必要になってくるのでしょう?
(1) 委託先と秘密保持契約書を取り交わす以下の事項が契約に盛り込まれた秘密保持契約書を、委託先と取り交わします。
a) 委託者及び受託者の責任の明確化
b) 個人情報の安全管理に関する事項
c) 再委託に関する事項
d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度
e) 契約内容が遵守されていることを委託者が確認できる事項
f) 契約内容が遵守されなかった場合の措置
g) 事件・事故が発生した場合の報告・連絡に関する事項
※JISQ15001:2006 3.4.3.4から抜粋
(2) 委託先を選定、評価する十分な個人情報の保護水準を満たしている事業者かどうかを選定する必要があります。
選定するためには、選定する基準を確立しなければいけません。
委託先を選定する基準は、少なくても委託する業務に関しては、自社と同等以上の個人情報保護の水準であるかどうかを客観的に確認できなければいけません。
そのためには、選定基準チェックリストを作成し、評価する必要があります。
(3) 委託先を監督する委託先が、個人情報の安全管理を図っているか、定期的に確認する必要があります。
定期的に確認するために、運用確認表などを作成して、いつ実施するか具体的に決めた方が、運用がスムーズにいきます。
個人情報を委託している事業者は、委託先を正しく管理、監督できているか見直してみましょう。