• TOP
  • アクセス
  • メールマガジン購読申込み・解除

Contact us

  • ワンダーマンコンセプト
  • ワンダーマンソリューション
  • コラム
  • 企業情報
  • 採用情報

個人情報保護法 第2回/本当の厳しさ・おそろしさ

category
ワンダーマン・ニューズレター
writer
田原 憲司
series
TIPS★TIPS No.27
date
2005年7月14日
themes
情報セキュリティ

個人情報保護法が今年の4月1日に完全施行した。各企業ともそれぞれ個人情報保護のための取り組みをしているが、その実際はどうだろうか?

自社内にルールは作った、社員教育もした、仕事依頼先と機密保持の契約は締結した・・・。それでも漏えい等のトラブルは起こり得る。自社内の徹底した個人情報保護の取り組みはもちろんなのだが、仕事というものは、一社内で完結するとは限らない。委託先企業での取り組みを向上していただかなければ、漏えい等のトラブルがやはり起こってしまうかもしれないのだ。自社のことで精一杯で、個人情報保護の取り組みの重要性を認識した上で委託先企業に対し、何かしらの行動を起こしている企業は、実はまだまだ多くないのではないだろうか。

管理者の監督責任とは?
個人情報保護法の第22条は、"管理者の監督"と呼ばれる条項である。
「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」

経済産業省の個人情報保護ガイドラインでは、以下の場合は適切な監督を行っていないと判断されることになっている。

  1. 個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず外部の事業者に委託した場合で、受託者が個人データを漏えいした場合
  2. 個人データの取扱いに関して定めた安全管理措置の内容を受託者に指示せず、結果、受託者が個人データを漏えいした場合
  3. 再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り、受託者が個人データの処理を再委託し、結果、再委託先が個人データを漏えいした場合

つまり要約すると、万が一、以下を怠ってトラブルが発生した場合は責任を問われるのである

  1. 外部に個人データの取り扱いを委託した場合、定期的に管理措置を把握すること
  2. 受託者の個人データの取り扱いに対して、的確な指示をすること
  3. 再委託先に対しても的確な指示を出すこと

実は、個人情報取扱事業者である管理者には厳しい内容なのである。個人情報を取り扱うプロセス、プロセスに内在するリスク、そのリスクの回避策、そして、なお残るリスク・・・。これらを管理者は認識し、委託先企業と共有することが求められているのである。"アタリマエ"のことである。しかし、"アタリマエ"な事を当たり前に実施することこそ、重要でありながら容易ではない。

委託先の監督責任、どう果たせばいいのか?
委託先の監督は、「言うは易く、為すは難し」なのである。たとえばこんな課題がある。

◎何しろ委託先とは他社。監督や依頼が内政干渉になりかねない。
◎「あとはヨロシク」を委託先は受けざるを得ないこともある。
◎すべての委託先を訪問することも、確認することも容易ではない。

仕事の依頼元からのお願いなので対応しようと、委託先に対応いただければいいが、委託先が情報保護に大きな関心がないこともあるだろう。一方、委託先がカタチだけ「引き受けました」と言って心が入っていなければ、漏えい等のトラブルの発生に直結しかねない。「情報保護に取り組んでください」とお願いし、機密保持契約を取り交わすだけでは、委託先を監督したと言い切るのはなかなか難しいのかもしれない。重要なのは、委託先に情報保護の"意義"を理解していただくことなのである。

当社が取り組みはじめた "委託先との関係構築"
委託先からは、独自に情報セキュリティ向上に取り組むことは、金銭的および人的負荷の観点からも容易ではない、とお聞きしていたし、推察できる。当社が委託先を支援できることは何かないのか・・・。

そこで、当社は"委託先における情報セキュリティ向上の取り組みを支援する"ことを開始した。広告会社である当社だけでは取り組みに限界があるので、ビジネスリスク・マネジメントのコンサルティング会社とともに様々なツールを開発し、提供することにしたのである。

たとえば、取り組みに必要な規定・帳票類、社員教育に必要な教材、社員の理解度を把握するレポートを提供したり、プライバシーマーク等の認証取得を支援する。委託先が情報保護への取り組みをすすめていただき、結果として発注先の情報セキュリティが向上するのであれば、当社にとってうれしい限りである。当社から提供するツールや情報等について、委託先が意義や価値を見いだし、さらに評価していただくことで、より強固な信頼関係が築けるのであれば、当社の委託先への監督も実態をともなうものになるであろうと考える。

このことを最初に構想にした時は「夢みたいな・・・」とも感じたが、当社は本気で取り組み始めた。現在、各社様に"支援"についての説明会を開き、ご理解と協力をお願いをしている状況だ。管理者の監督責任をどう果たしていくのか、についての取り組みははじまったばかりであり、まだ課題は多い。"支援"に対する進展についてや、その他、当社の取り組み等、今後も折を見て、この場にてご紹介をしていきたいと考える次第である。

※バックナンバー
―個人情報保護法 第1回/個人情報保護法で何が変わる?―Tips・Tips No.24 (2005年3月号)  

※ご参考までに 個人情報保護に関する当社の公開論文を掲載しております。個人情報の定義、及び取り扱いに関する留意事項についてまとめておりますので、是非ご参照ください。
―信用失墜を嘆く前に始めよう 個人情報の定義づけと運用管理―

【ワンダーマン・ニューズレター】 TIPS★TIPS一覧へ

コラムは毎月1回メルマガでも配信中 購読はこちら(無料)


PageTop

Copyright © Wunderman Dentsu, Inc. All Rights Reserved

ISO/IEC 27001:2013(JIS Q 27001:2014) 電通ワンダーマンは、
右記のセキュリティ認証を取得しています。

ISO/IEC 27001:2013 / JIS Q 27001:2014