ブログ

カテゴリ

アーカイブ

【個人情報保護法第22条】委託先の監督 2017/01/03

メディア実績ページリンク

【アルバム】社会保険労務士 松本祐徳 メディア実績(2013~)

著書『図解とQ&Aですっきりわかるマイナンバーのしくみ』(宝島社)=33,000部=トーハン調べ2015/11/4週間ベストセラー単行本ビジネス書6位
共著『入門 マイナンバーの落とし穴ー日本一わかりやすい解説』(毎日新聞出版)=10,000部
20151214_105901
20151017_151134

・『週刊エコノミスト2019/4/9号』(毎日新聞出版)2019年4月1日発売「特集:始まる!働き方改革法 」”素朴なギモン”2テーマ寄稿

『週刊エコノミスト 2018年7月17日号』(毎日新聞出版)2018年7月9日発売「特集:変わる!労働法」最大枠2テーマ3頁寄稿

『週刊エコノミスト 2018年2月20日号』(毎日新聞出版)2018年2月13日発売「特集:みんなの労働法」最大枠2テーマ5頁寄稿

『週刊エコノミスト 2015年9月15日特大号』(毎日新聞出版)2015年9月7日発売「特集:マイナンバーがやって来る!」最大枠5頁寄稿

講演

20160325_165000

東京都知事小池百合子さんにテレビで紹介されました!

20160619_202852

15. 委託先の監督更新2016/9/8(平成28年厚労省・経産省告示第2号)

 

(委託先の監督)

保護法第22条

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

 

委託先の監督【平成28年厚労省・経産省告示第2号】

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、保護法第20条に基づく安全管理措置を遵守させるよう、委託を受けた者に対し必要かつ適切な監督をしなければならない(保護法第2条第4項の規定による利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。)。その際、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じた、必要かつ適切な措置を講じるものとする。特に、中小企業者においては、自ら又は委託先の事業の規模及び実態、取り扱う個人データの性質及び量等に応じた措置を講じることが望ましい。

「必要かつ適切な監督」には、委託先を適切に選定すること、委託先に保護法第20条に基づく安全管理措置を遵守させるために必要な契約を締結すること、委託先における委託された個人データの取扱状況を把握することが含まれる。

なお、優越的地位にある者が委託元の場合、委託元は、委託先との責任分担を無視して、本人からの損害賠償請求に係る責務を一方的に委託先に課す、委託先からの報告や監査において過度な負担を強いるなど、委託先に不当な負担を課すことがあってはならない。

① 委託先の選定委託先の選定に当たっては、委託先の安全管理措置が、少なくとも保護法第20条で求められるものと同等であることを確認するため、以下の項目が、委託する業務内容に沿って、確実に実施されることについて、委託先の社内体制、規程等の確認、必要に応じて、実地検査等を行った上で、CPO等が、適切に評価することが望ましい。

イ 組織的安全管理措置

(1) 個人データの安全管理措置を講じるための組織体制の整備

(2) 個人データの安全管理措置を定める規程等の整備と規程等に従った運用

(3) 個人データの取扱状況を一覧できる手段の整備

(4) 個人データの安全管理措置の評価、見直し及び改善

(5) 事故又は違反への対処

ロ 人的安全管理措置

(1) 雇用契約時における従業者との非開示契約の締結、及び委託契約等(派遣契約を含む。)における委託元と委託先間での非開示契約の締結

(2) 従業者に対する内部規程等の周知・教育・訓練の実施

ハ 物理的安全管理措置

(1) 入退館(室)管理の実施

(2) 盗難等の防止

(3) 機器・装置等の物理的な保護

ニ 技術的安全管理措置

(1) 個人データへのアクセスにおける識別と認証

(2) 個人データへのアクセス制御

(3) 個人データへのアクセス権限の管理

(4) 個人データのアクセスの記録

(5) 個人データを取り扱う情報システムについての不正ソフトウェア対策

(6) 個人データの移送・送信時の対策

(7) 個人データを取り扱う情報システムの動作確認時の対策

(8) 個人データを取り扱う情報システムの監視

(9)個人データを取り扱う情報システムのぜい弱性を突いた攻撃への対策

② 委託契約の締結

委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を合理的に把握することを盛り込むことが望ましい。

③ 委託先における個人データ取扱状況の把握

委託先における委託された個人データの取扱状況を把握するためには、定期的に、監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、CPO等が、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。

委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じたときは、元の委託元がその責めを負うことがあり得るので、再委託する場合は注意を要する。

このため、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先から事前報告又は承認を求める、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が保護法第20条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。

なお、漏えいした場合に二次被害が発生する可能性が高い個人データ(例えば、クレジットカード情報(カード番号、有効期限等)を含む個人データ等)の取扱いを委託する場合は、より高い水準において「必要かつ適切な監督」を行うことが望ましい。

また、消費者等、本人の権利利益保護の観点から、事業内容の特性、規模及び実態に応じ、委託の有無、委託する事務の内容を明らかにする等、委託処理の透明化を進めることが望ましい。

 

委託を受けた者に対して必要かつ適切な監督を行っていない場合【平成28年厚労省・経産省告示第2号】

個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した場合で、委託先が個人データを漏えいした場合
個人データの取扱いに関して定めた安全管理措置の内容を委託先に指示せず、結果、委託先が個人データを漏えいした場合
再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合
契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わなかった結果、委託元の認知しない再委託が行われ、その再委託先が個人データを漏えいした場合

 

個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項【平成28年厚労省・経産省告示第2号】

① 委託元及び委託先の責任の明確化

② 委託先において、個人データを取り扱う者(委託先で作業する委託先の従業者以外の者を含む)の氏名又は役職等(なお、委託の実態に応じて、例えば、契約書とは別に、個人データを取り扱う者のリスト等により、個人データを取り扱う者を把握するなど、適切な対応を行うことが望ましい。)

③ 個人データの安全管理に関する事項

④ 個人データの漏えい防止、盗用禁止に関する事項

⑤ 委託契約範囲外の加工、利用の禁止

⑥ 委託契約範囲外の複写、複製の禁止

⑦ 委託契約期間

⑧ 委託契約終了後の個人データの返還・消去・廃棄に関する事項

⑨ 再委託に関する事項

⑩ 再委託を行うに当たっての委託元への文書による事前報告又は承認

⑪ 個人データの取扱状況に関する委託元への報告の内容及び頻度

⑫ 契約内容が遵守されていることの確認(例えば、情報セキュリティ監査なども含まれる。)

⑬ 契約内容が遵守されなかった場合の措置(例えば、安全管理に関する事項が遵守されずに個人データが漏えいした場合の損害賠償に関する事項も含まれる。)

⑭ セキュリティ事件・事故が発生した場合の報告・連絡に関する事項