委託先について
個人情報の漏えい事件は委託先からの漏えいも少なくありません。
自社での個人情報の取扱いをしっかりしていても、委託先の個人情報保護水準が低ければ事故率は高まってしまいます。
委託先の選定基準
委託先の選定基準としては、少なくとも業務に関して、自分たちと同等以上の個人情報保護水準を客観的に確認できるものにする必要があります。
選定基準の具体的な例としては「プライバシーマーク」「ISMS」などの有無があげられます。
また、それらの認証取得をしていない委託先に関しては会社側で評価を実施する必要があります。
委託先の監督
委託先との取り決め(契約内容)が遵守されるように、必要な指示、監視、指導を行うことになります。具体的な手段として委託先の定期的な監査があります。
契約に盛り込む内容
委託先が十分な個人情報の保護水準であることを担保とするために、以下を盛り込むことが要求されています。ただし、全ての委託先に一律に強いるものでなく、リスクに応じてどこまで求めるか変わる可能性があります。
・委託者及び受託者の責任の明確化
・個人情報の安全管理に関する事項
・再委託に関する事項
・個人情報の取得状況に関する委託者への報告内容及び頻度
・契約内容が遵守されていることを委託者が確認できる事項
・契約内容が遵守されなかった場合の措置
・事件、事故が発生した場合の報告、連絡に関する事項
※契約を交わすだけでなく、事件・事故の予防や被害の拡散を防ぐためには連絡を密にすることも重要となってきます。