個人情報保護法での委託先の監督義務について | プライバシーマークだけじゃない個人情報保護、年間3万円からの個人情報保護マーク

プライバシーマークだけじゃない個人情報保護、年間3万円からの個人情報保護マーク

個人情報保護団体JAPHIC(ジャフィック)のパートナ企業の代表が、個人情報漏えい事故や事件、個人情報の保護について記載していきます。

JAPHICは、個人情報保護法に基づき中小企業やPマークの取りにくい職種に対しても門戸を開く、個人情報保護団体です。


個人情報保護法では、委託先の監督義務についても義務化されています。

委託先の監督義務??って聞くと具体的にはどんな事をさすのでしょうか。

業務の委託には、色々なパターンがあると思いますが、下請け業者やSOHO業者、
派遣社員も業務委託に含まれます。

個人情報保護法では、以下のように監督義務が定められています。

第二十二条(委託先の監督)
 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

この「必要かつ適切な監督」とは具体的には、経済産業省のガイドラインでは以下のように解説しています。

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう、受託者に対し必要かつ適切な監督をしなければならない。

(中略)

「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。

この場合の安全管理措置の基準は何になるのでしょうか。

この「安全管理措置」が行われているという証明という形に「プライバシーマーク」(Pマーク)や
JAPHIC ( ジャフィック ) マークといった認証制度を委託先選定の基準とする場合があります。
Pマークは、JIS Q 15001(個人情報保護に関するコンプライアンス・プログラムの要求事項)に
準拠した対策がされているかどうかを審査し、認定する制度です、
JAPHIC ( ジャフィック ) マークは、個人情報保護法に基づいて事業者が個人情報保護体制を
構築し運用していることを第三者が認証する制度です。

上記のマークを安全管理措置の基準として「委託先の選定基準」とすることができます。
個人情報取扱事業者は、委託先の選定基準を持ち、その選定基準をクリアした業者にのみ
個人情報を委託すべきであり、法もこれを求めています。

これからの取引を進めていくうえでも、個人情報の取り扱いについて、
委託側も受託側もそれぞれに責任が今までよりも重視されていく中で、
これらの第三者認証を受ける事の重要性も高まっていくと考えられます。


個人情報の漏えいを起こさない為にも、こうした努力が必要です。

中小企業向け個人情報保護マークJAPHIC
http://www.japhic-c.jp/