会員特典


 

 

経済産業省個人情報保護ガイドライン
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A

 

2.(3)個人データの管理 4)委託先の監督

 
委託先に対して個人データを提供する場合、第三者提供について本人の同意を得たうえで提供した場合は、委託元は、委託先の監督責任を負いますか。
監督責任はあります。委託は、本来自己の業務である個人データの取扱いを他者に依頼することですから、本人の同意を得たからといって、委託元は、委託先の監督責任を免れるわけではありません。 (2005.7.28)
 
オフィスの清掃を請け負う会社ですが、清掃依頼を受けた会社から、個人データの非開示契約の締結を求められました。清掃員はコンピュータのあるオフィスに立ち入ることはありますが、それらを触ることはありません。それでも、そのような契約が必要ですか。
清掃業務の依頼を受ければ、名簿の廃棄等を行う場合もありますから、個人データの取扱いの委託を受けることになる場合がしばしばです。このような場合には、委託元は委託先に対する監督責任を果たすため、安全管理措置の一つとして、委託先と適切な契約を交わさなければなりません。また、清掃業務の性質上、個人情報に一切触れないような場合には、清掃員がみだりに個人情報に触れないことについての確約を得るために、委託元(依頼主)が個人データの非開示契約等の締結を求めることには合理性があります。(2005.7.28/2007.3.30修正)
 
委託元は、委託先を監督するため、業務の委託先に対して、それに従事する委託先企業の従業員などの個人情報の提出を求めることはできますか。
求めることはできます。ただし、委託元は、その利用目的を通知又は公表するなど、利用目的に関する規定を守らなければなりません。また、提出する内容が個人データであれば、委託先は本人に対して、委託元への第三者提供の同意を得たものだけを提出することができます(もっとも、事実上同意が推認できる場合もあるでしょう)。委託先の個人情報を取得しなければ委託先を監督できないかについては、十分に検討し、必要以上の個人情報の提出を求めるべきではありません。(2007.3.30)
 
委託元は、委託先を監督するため、委託先の従業員個人に対して委託元との間で直接の非開示契約の提出を求める義務はありますか。
義務はありません。(2007.3.30)
 
委託元は、委託先を監督するため、委託先に対する定期的な立入検査を実施する義務はありますか。
一般的に、立入検査を実施すべき義務はありません。ただし、本人の個人データが漏えい等した場合に本人が被る権利侵害の程度、事業の性質及び個人データの取扱状況等に応じて、定期的な立入検査を実施すべき必要性がある場合もあります。(2007.3.30)
 
「委託先において実施される個人データの安全管理措置が、委託する当該業務内容に応じて、少なくとも法第20条で求められる安全管理措置と同等であることを、合理的に確認する」ため の方法として、どのような方法がありますか。
例えば、当省ガイドラインの2-2-3-2.中【組織的安全管理措置として講じなければならない事項】、【人的安全管理措置として講じなければならない事項】、【物理的安全管理措置として講じなければならない事項】、【技術的安全管理措置として講じなければならない事項】の各々に掲げられる【各項目を実践するために講じることが望まれる手法の例示】を参考にして、委託元は、委託先における個人データの安全管理措置の実施状況を確認するためのチェックリストをあらかじめ用意し、委託先の選定時や既存の委託契約の更新時に確認する方法が考えられます。
その他、チェックリストを用いない場合における委託先を評価する目安の一つとして、合理的・客観的な基準により公正な第三者認証を得ていること等が考えられます。(2008.2.29)
 
「委託先における委託された個人データの取扱状況を把握する」ための方法として、どのような方法がありますか。
例えば、契約で合意した内容が委託先において遵守されていることを確認するため、契約に盛り込んだ事項や委託先の選定時に用意した選定基準等を活用して、委託した個人データの取扱状況を確認するためのチェックリストを用意し、委託先に当該チェックリストを回答させ、結果を確認する方法等が考えられます。(2008.2.29)
 
委託先が倉庫業、データセンター(ハウジング、ホスティング)等の事業者の場合で、預ける情報の中に個人データが含まれていることを当該事業者に認識させることなく預けることがあります。
この場合、当該事業者と契約を締結するときに、個人データの取扱いに関する条項を契約に盛り込む必要がありますか。
質問のケースにおいては、委託元が事前に当該個人データに安全管理措置を講じる(暗号化等の秘匿化等)ことになると考えますので、委託先との契約の中に個人データの取扱いに関する条項を盛り込む必要はありません。ただし、委託元は委託先を適切に選定する必要があります。(2008.2.29)
 
 
 
PAGE TOP ▲