「業務の外注先の管理はどこまで必要なんですか?外注先がさらに外注したらどうなるんでしょうね。」
旅行業の会社で質問が出ました。
個人情報保護法では、その第22条で、業務委託先の個人データの安全管理についての個人情報取扱事業者の監督責任が定められています。
このケースのように、業務の委託先の会社がまた別の会社に当該業務を外注することを「再委託」と言います。
最近では、定型業務を中心に業務のアウトソーシングが盛んですから、委託先企業も受託した業務の一部をさらに他の企業に再委託することも当たり前になってきました。
このような状況で、業務の委託元の監督責任が再委託先や再々委託先まで延々と問われるのか。
このテーマについては、個人情報保護の現場で常に疑問に思われているようです。確かに個人情報保護法における「委託先の監督義務」には再委託についての直接の規定はありませんから、判断に迷うのもよくわかります。
しかし、もし監督責任がどこまでも及ぶとすると、業務の遂行に大きな負担となることは明らかです。したがって、この再委託の場合の監督責任は、基本的に委託先が負うものと考えるのが自然です。
実際、現場では、最初に業務の委託を行った個人情報取扱事業者は、委託先の監督義務のみを負っていると判断しています。そして、再委託先の監督義務は、直接には委託先の事業者にあると解釈されているのです。
つまり、業務の委託元は自ら再委託先の事業者を直接監督する権限がないと考えられているわけです。
その上で、委託元である個人情報取扱事業者は、再委託先の選定に明確な基準を適用しているか、再委託先に対して適切な監督が実施されているかなどについて、委託先の事業者を監督する義務を負うことになります。
ですが、ここで一つの疑問が生じます。
実際にそんなことが可能でしょうか。特に、委託先が個人情報取扱事業者に当たらない零細企業や個人事業主の場合は、そこまでの義務を強いてよいのか。また、アウトソーシングを選択するような事業者が委託先における再委託先の監督状況までチェックできるだろうか、という疑問です。
プライバシーマークの取得支援の過程でよく思うことですが、委託先の事業者が個人情報取扱事業者でプライバシーマークを取得していたりしない限り、これは現実には無理です。
実際、委託元の事業者のほとんどは、委託先との間に締結する「業務委託契約書」の中に“再委託の禁止”を謳うことで、このリスクを回避しています。
法律や省庁ガイドラインが描く理想の個人情報保護対策と現実の個人情報保護対策との間の大きな乖離が、業務の「再委託」という、こんな場所にも表れているわけですね・・・