委託先の監督が不十分とされる4つの例【Pマーク取得の基礎知識】
「委託先」とは個人情報にかかわる業務を委託している会社などのことを指します。プライバシーマーク(Pマーク)取得会社として個人情報保護を維持するためには自社における個人情報の取り扱いだけでなく委託先における取り扱いについても監督の目を行き届かせなければなりません。
委託先を監督しているつもりでも場合によっては監督が不十分と判断されるケースもあります。プライバシーマーク(Pマーク)取得会社が特に気を付けるべき事例を4つほどご紹介します。
委託先の安全管理の状況を把握していなかった場合
プライバシーマーク(Pマーク)では個人情報の安全管理措置が求められていますが、プライバシーマーク(Pマーク)を取得している会社は自社に加え委託先においても安全管理措置が徹底されるように見届けなければなりません。
委託先と委託契約を締結した時点または更新するタイミングで契約書面上では相手方の安全管理内容を確認するかもしれませんが、現実にどのような管理がなされているかという点も把握しておく必要があります。
仮に委託先の安全管理措置の状況を把握しておらず、その結果個人情報の漏えいなどが生じた場合は委託元としても監督不十分の責めを負うことになります。
委託先に必要な指示を与えなかった場合
安全管理措置についていうと、プライバシーマーク(Pマーク)取得会社は委託先の管理状況を把握するだけなく、必要とあらば指示を与える必要があります。もしデータのアクセス制限が緩ければその部分を指摘すべきですし、入退室管理が不十分であれば必要な安全管理方法をプライバシーマーク(Pマーク)の規格に準じて指示すべきなのです。
委託先で個人情報事故が発生した場合に委託元が十分な指示を与えていなかったことが明らかになれば、委託元も責任の一端を負うことになります。
再委託先を管理していなかった場合
「再委託」とは委託を受けた業者がさらに別の業者に委託をすることです。プライバシーマーク(Pマーク)取得会社は自社の個人情報の安全な取り扱いを確実にするために再委託についても必要な管理策を講じるべきです。
たとえば委託先に再委託に関する指示や条件を提示するなどのアクションは最低限必要でしょう。これを十分に行っていなかったことが原因で再委託先で個人情報が漏えいしたときは委託元にも責任があるといわざるをえません。
再委託の状況を把握していなかった場合
委託先との業務委託契約や業務委託更新契約の中に“委託元は委託先が実施する再委託の状況を監督する”という規定があるにもかかわらず再委託があるかどうかを把握していないプライバシーマーク(Pマーク)取得会社がある場合、このような場合でも委託先の監督が不十分と見なされます。
そうならないためにも再委託に関する報告を定期的に委託先に求めるなどの措置などが求められます。
まとめ
委託先の監督は、プライバシーマーク(Pマーク)や個人情報保護法の主旨に沿って、また業務委託契約書の中で合意した事項の通りに行うようにしましょう。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
