委託先を監督する

個人情報取扱事業者は、個人データの取扱いの全部または一部を委託する場合、安全管理措置を遵守させるように委託先に対し必要かつ適切な監督をしなければならない（22条）。

　個人データ取扱いの委託先に対しては、委託する業務内容と無関係の個人データを提供してはならない。さらに、委託する個人データの内容を踏まえて、漏えい時の権利や利益の侵害の大きさを考慮しておき、リスクに応じた必要かつ適切な対策を立てる必要がある。

　個人情報保護法第22条の「必要かつ適切な監督」には、委託先の適切な選定、委託先との契約、委託先の監査、さらに委託先の評価が含まれる。

　もし委託先が情報を漏えいすれば、漏えいされた被害者が民事上の損害賠償請求訴訟を起こした場合、裁判所は委託先の故意や過失であっても、原則として委託元の故意や過失と同じものとして扱う。

　したがって、委託元としては、委託先を自社とは無関係な事業者として放置はできず、個人情報取扱事業者としての監督が必要になる。

　実際、委託先や再委託先からの個人情報漏えい事故が頻発しており、委託先であっても監督を怠らないことが重要である。

委託先に対して必要かつ適切な管理を行っていない場合

○不適切な管理の例①

「契約締結時とそれ以後も個人データの安全管理措置の状況を適宜把握せずに、委託先が個人データを漏えいした｣

○不適切な管理の例②

「個人データの取扱いに関して定めた安全管理措置の内容を委託先に指示せずに、その結果、委託先が個人データを漏えいした」

○不適切な管理の例③

　「委託先に再委託の条件に関する指示を行わず、なおかつ委託先の個人データの取扱い状況の確認を怠った。そのため、委託先が個人データの処理を再委託し、その結果、再委託先が個人データを漏えいした｣

○不適切な管理の例④

「契約のなかに、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わなかった。その結果、委託元の認知しない再委託が行われて、その再委託先が個人データを漏えいした」

委託先の選定

　委託先の選定では、あらかじめ選定基準などを定めておき、その選定基準にもとづいて客観的な評価を行うことが重要である。また委託業務の遂行能力に加えて、個人情報保護を含む情報セキュリティレベルを評価しなければならない。

　委託先に求める情報セキュリティレベルは、自社で行っている安全管理措置と同等のレベルがひとつの基準となる。また、プライバシーマークやISMS(情報セキュリティマネジメントシステム）認証の取得を基準とすることも考えられる。

　安全管理措置については、チェックリストなどを作成して委託先に対して照会や調査をするなど、実際的で適切な安全管理基準を満たしているかを確認する。

委託先との契約

　委託先との取り決めは、必ず契約書の形で書面に残しておく。委託契約では、個人データの取扱い状況を合理的に把握できるように規定し、それらの実施の程度を相互に確認する。

　また、再委託先で問題が生じたときは、元の委託元がその責任を問われることがあるため、再委託に関しても契約書で規定しておく。具体的には、「再委託を禁止する」「再委託を認める場合でも事前承認とし、その再委託先の選定基準を確認する」「再委託先に対しても委託先と同じレベルの情報セキュリティを要求する」といったことなどが考えられる。

　さらに、情報漏えい事故が発生したら迅速な対応ができるように、報告や連絡をする事項を契約に規定しておくことも重要である。

委託契約に盛り込んだほうがよい一般的な事項は次のとおりである。

個人データの取扱い委託時に盛り込むべき事項

○委託元および委託先の責任

○個人データの安全管理に関する事項

　・個人データの漏えい防止、盗用禁止に関する事項

　・委託契約範囲外の加工、利用の禁止

　・委託契約範囲外の複写、複製の禁止

　・委託契約期間

　・委託契約終了後の個人データの返還･消去･廃棄の関連事項

○再委託に関する事項

○再委託を行うにあたっての委託元への文書による報告