書いてあること
- 主な読者:個人データを適切かつ効率的に取り扱い、ビジネスに利用したいと考える経営者
- 課題:どのような場合に、個人データの取り扱いを外部に委託できるのか分からない
- 解決策:適切な業者選定、委託契約の締結、定期的な状況の把握(監査)が必要
1 個人データの管理を外部に委託できる?
ビジネスでは顧客や従業員の個人データを取り扱います。個人データとは、
顧客データベースのように、特定の個人情報を検索できるように整備したもの
です。この個人データは適切に取り扱わなければなりません。しかし、社内のリソース不足から対応が難しい場合、外部に委託することがあります。例えば、ネットショップでの注文商品を配送するために、運送業者に顧客データを提供するようなケースです。
「個人データの取り扱いを委託できるの?」と思うかもしれませんが、これは個人情報保護法で認められた行為です。教科書的な説明をしますと、原則として、
法令に基づくなどの例外を除き、本人の同意を得ずに個人データを第三者に提供できない
とされています。しかし、
「委託」は第三者に該当しない
ものとされているので、可能となるわけです。
この記事では、個人データの取り扱いを委託する場合の留意点を説明します。
2 個人データの取り扱いを委託するための3つの視点
さて、ここでいう「委託」とは、
契約の形態・種類を問わず、個人情報を取り扱う事業者が、他の者に個人データの取り扱いを行わせる場合
を広く指します。とはいえ、「気軽にどこでもいいので委託する」ことは当然、認められておらず、委託元は委託先について「必要かつ適切な」監督をしなければなりません。この点については、個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」で示されていて、大きく以降で紹介する3つの視点から考える必要があります。
■個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」■
https://www.ppc.go.jp/personalinfo/legal/
1)適切な委託先の選定
委託元は、委託先で自らが講ずべき安全管理措置と同等の個人データの安全管理措置が確実に講じられることを確認します。具体的には次のような内容です。
2)委託契約を締結する
当然のことですが、委託元と委託先は委託契約を締結することが望ましいです。委託元・委託先において同意した内容や、委託先における委託された個人データの取り扱い状況を、委託元が合理的に把握できるようにしておきましょう。
3)委託先の状況を把握する
委託先が委託契約で合意された内容や安全管理措置が確実に実行されているかを、委託元が合理的に把握するために定期的な監査を行い、必要に応じて委託内容の見直しを検討します。
なお、一般的には次のような場合に、委託先に対する監督が不十分と判断されています。
- 個人データの取り扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏洩してしまった場合
- 契約においては、個人データの管理状況を定期的に報告することになっていたものの、実際には報告はされておらず、委託元も報告がされていないことに対して委託先に何も指摘せず、報告を受けることを怠っていた状況で、委託先が個人データを漏洩してしまった場合
3 クラウドサービスは委託になるのか?
少し違った視点で考えてみます。個人データをクラウド上のサーバーなどにアップロードして取り扱う場合があります。この際、クラウドサービスを提供する事業者が当該個人データを取り扱わないこととなっている場合には、
クラウドサービスはデータ保管場所の提供にすぎず、一般的には個人データの取り扱いの委託に該当しない
と考えられています。そのため、委託先への監督義務は課されませんが、自社の果たすべき安全管理措置と照らして、クラウドサービスを利用することが問題ないかを検討する必要があります。
なお、多くのクラウドサービスの約款には、
クラウド上の個人データが消失や漏洩したとしても、クラウドサービスの提供会社に故意・重過失がなければ損害賠償額には上限がある
と示されています。そのため、クラウドサービスの利用者が多大な損失を被るリスクがある点は認識しておきましょう。
情報処理推進機構(IPA)「中小企業の情報セキュリティ対策ガイドライン第3版」には、付録として「クラウドサービス安全利用の手引き」があり、参考にできます。
■IPA「クラウドサービス安全利用の手引き」■
https://www.ipa.go.jp/files/000072150.pdf
以上(2022年3月)
(監修 Earth&法律事務所 弁護士 岡部健一)
pj60128
画像:pixabay