プライバシーマーク入門講座(連載:第19回)
2007/11/18 日曜日 16:43:33 JST
「個人情報保護マネジメントシステム」の構築に向けて(第14回)
   ~内部規定の作成(第11回)~


④ 3.4.3.4委託先の監督
 委託とは、貴社が責任を持って、また管理・監督権を持って、委託先に貴社の業務(個人情報の取扱いの全部又は一部)の実施を委託することである。
 ここでの委託としては、先ずは"個人情報の直接的な取扱いを含む業務"が対象となるが、"個人情報の取扱いは含まないが個人情報に触れる可能性がある業務"の委託についても、安全管理策の一環として本項に準じた取扱いを行なうことが望ましい。
 要は、下記するように、委託先が事故を起こした場合、貴社は社会的な制裁を受けるだけでなく、法律の上でも委託元として貴社の管理・監督責任が追及されることを認識した上で、委託先の評価・選定を行ない、必要な契約を取り交わしておくべきであるということである。
 委託を行なうに当たっては、本人から直接書面により取得した個人情報や、アクセスの対象となる個人情報について、"個人情報の取得時に、通知を行った際に委託を行なうことに対する本人の同意が得られているか否か"も確認することが必要である。
 従って、委託に際しては、業務実施上の管理者だけでなく、個人情報保護管理者の確認・承認を得ることが必要である。
 また、手順の作成に当たっては、委託先の評価・選定、契約の締結、また、日常における委託先の監督についても定めることが必要である。
 継続的に委託が行われる場合には、当初の評価結果を確認するような、定期的な再評価も必要である。
委託先の選定においては、次を理解することが必要である。
 ・ 委託において、委託先で事故が起こった場合は、委託元である貴社も管理・監督責任を問われる。
 ・ 貴社がPマークを取得した場合、顧客は貴社が「個人情報保護マネジメントシステム」を構築し、適確な安全管理を行っていると期待している。
 それは、貴社が委託を行っていようが、いまいが、に関係ない貴社への期待である。
 従って、業務が委託された場合も、当然のことながら顧客の期待に応えていなければならない。その為には、貴社が実施するのと同等またはそれ以上の安全管理策が委託先でも実施されていることが必要である。
 要は、委託を行なうに当たっては、貴社が安心して業務を委託できるか否かを評価した上で、選定することが必要である。
 評価においては、委託する業務により評価項目が異なるであろうし、また選定基準も、委託する業務の内容によって異なる。
 どのように評価項目を設定し、評価を行い、評価の結果を受けて、委託先をどのように選定するかの手順や基準(定量的とは限らない)を規定する必要がある。
 また、実際には、評価の結果をもって、適切な委託先を選定することが望ましいが、事業を行なう中で、何らかの事情でその企業に委託をせざるを得ない場合もあるであろう。
 しかしそのような場合も、個人情報の安全管理に不安がある状況で委託を行なうのは問題である。
 その場合は、貴社が安心して業務を委託できるレベルまで、問題点の是正を要求し、その完了をもって委託を実施すべきである。
 評価・選定において、ISMSの認証を取得していればそれで合格、としている企業があるが、以前の回でも述べたとおり、ISMSには、「個人の権利を保護するシステム」であるという概念はないこと、また、ISMSでは対象とする「適用範囲及び境界の定義」を行うことが認められており、その部分だけでのシステムの構築や認証の取得ができる規格であること、等から、委託先の評価においては、委託先の中でのISMSの適用状況等も十分に調査した上で、採否を決定すべきである。
 契約の締結に当たっては、JIS規格の要求する項目を盛り込む。
 契約に盛り込む項目としては、JISの本文だけでなく、解説も参照し、要求された項目を契約書に盛り込んで契約を締結する。
 また、契約の中で、契約終了後も一定期間「非開示条項(機密保持)」が有効となるような契約とすることが必要である。
 個人情報保護法も2006年版のJISも、発注者の管理・監督の権限(逆から見れば責任)を重視している。
 内容としては、"委託先に全ての責任を押し付けて終わり"という内容は認められないということである。
事例として;
――京都府宇治市の住民基本台帳データ約22万人分が、同市が企画した乳幼児健診システムを開発していた再々委託先のアルバイト従業員によって不正流出させられた事件において、裁判が起こされ、その中の争点の一つに"宇治市とアルバイトの間に実質的な指揮監督関係、すなわち再々委託先のアルバイトの従業員と宇治市との間に実質的な指揮監督関係があったかどうか"が問題となったが、大阪高等裁判所はそれを肯定した。
大阪高等裁判所の判断を不服とし、宇治市は最高裁判所に上告したが、最高裁判所は平成14年7月11目に、宇治市の上告を不受理としたことにより、宇治市の敗訴が確定した。――

 この事例で分かるように、委託先を管理・監督してゆく義務は逃れられないものとなっている。
 従って、貴社として、どのように委託先の監督を行ってゆくのかも定め、契約に盛り込み、それを実施して行くことが必要である。
 この件に関してJISで要求しているのは「個人情報の取扱状況に関する委託者への報告の内容及び頻度」「契約内容が遵守されていることを委託者が確認できる事項」を契約書に盛り込むことであるが、貴社としては、委託先の定期的な立ち入り検査(第二者監査)等を積極的に実施することも規定し、実施してゆくことが望まれる。

         (中小企業診断士 中村 隆昭)