個人情報の委託先への提供と監督義務
個人情報取扱事業者は、自らが収集した個人情報(個人情報の保護に関する法律(本稿では、以下、単に「法」といいます。)では「個人データ」と定義されています。)を第三者に提供するには、原則として、本人の同意を取得しなければなりません(法第27条第1項)。
この原則には、例外(本人の同意が不要な場合)として、次の3類型が定められています(法第27条第1項)。
(1)【委託先への提供】
個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部 を委託することに伴って当該個人データが提供される場合
(2)【事業承継による提供】
合併その他の事由による事業の承継に伴って個人データが提供される場合
(3)【共同利用】
特定の者との間で共同して利用される個人データが当該特定の者に提供される場合であって、その旨並びに共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的並びに当該個人データの管理について責任を有する者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置いているとき。
本稿では、上記の例外3類型のうち、「(1)委託先への提供」に該当する場合に、提供元の企業が負う義務について検討します。
1.法第27条5項1項の委託先とは?
個人情報取扱事業者が、「個人データの取扱いの委託」をする場合の委託先のことをいいます。「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいい、具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定されています。個人情報保護法ガイドライン(通則編)(以下、単に「ガイドライン」といいます。)では、この事例として、次の2つを挙げています(ガイドライン3-4-4 P79)。
①データの打ち込み等、情報処理を委託するために個人データを提供する場合
②百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供する場合
2.委託先の監督義務
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければなりません(法第25条)。
委託先は、本人に通知した利用目的に沿って行う提供元企業の事業の一部を担うのですから、提供元と一体と考えられています。
一体と考える、ということは、個人情報を企業に提供した方は、提供先企業と同程度の管理レベルを当然に期待しており、この期待を保護する必要がある、ということです。
委託先の監督義務を負う、ということは、委託先から漏えい等の事故があった場合の責任を、提供元企業が負うことにほかなりません。
2014年7月に発覚した、ベネッセコーポレーションの個人情報流出事件は、同社の会員情報の管理を委託していたグループ企業でシステム保守を担当していた派遣社員が、故意にのべ2億3000万件もの個人情報を持ち出し、名簿業者に売却した、というものですが、同社は漏えいが確定した会員への対応(図書券や電子マネーの送付や受講料減額)のため、2015年3月期に260億円の特別損失を計上、翌年度も信頼回復の遅れが影響し、2期連続の赤字決算となり、当時の代表者は、引責辞任をしています。
委託先管理をおろそかにしてしまったことにより失った信頼を回復することの難しさや、企業業績に与えるインパクトをまざまざと見せつけられた事件でした。
3.「委託先の監督」とは何をすればよいのか?
ガイドライン(3-4-4委託先の監督)では、『個人情報取扱事業者が個人データの取扱の全部または一部を委託する場合は、自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする。』とされています。
また、『その際、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない』、としています。
(1)適切な委託先の選定
委託先の選定に当たっては、委託先の安全管理措置が、委託元に求められるものと同等以上であることを確認するため、ガイドラインの「(別添)講ずべき安全管理措置の内容」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければなりません。つまり、次項の委託契約の締結前に確認をする必要があります。
(2)委託契約の締結
委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい、とされています。
(3)委託先における個人データ取扱状況の把握
委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい、とされています。
以上から、「委託先の監督」とは、次の①から③を実施することであると考えられます。
①委託先の選定段階(委託契約の締結前)で、委託先が自社と同等レベル以上の安全管理措置を行っていることを確認すること
②双方合意・確認した、講ずべき安全管理措置の内容と、委託元がその管理状況を把握することとを規定した委託契約を締結すること。
③定期的な監査等により、モニタリングと見直しを行うこと。
4.「委託先の監督」の実務対応
では、実際に「委託先の監督」は、どのように実施すればよいのでしょうか?
ガイドライン(3-4-4委託先の監督)では、『取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、必要かつ適切な措置を講じなければならない。』と書かれているのみで、対応の「範囲」や「深さ」について、具体的な手法を明示していません。つまり、ガイドラインでは、何を行えば「委託先の監督」という要求を充足するのか、判然としません。
多くの企業が、ここに悩みを抱えているかもしれませんが、ガイドライン(3-4-4委託先の監督)が上記記述と併せて示す、以下の『必要かつ適切な監督を行っていない事例』は、何をもってこの要求を充足するのかを考えるうえで、示唆を与えるものと思われます。
『必要かつ適切な監督を行っていない事例』
事例 1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合
事例 2)個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合
事例 3)再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合
事例 4)契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合
ここで示された事例から考えると、以下のようなことが管理のポイントになりそうです。
ポイント1)委託先における個人データの安全管理措置の状況を契約締結時及び以後継続的に把握
ポイント2)必要な安全管理措置を委託先に指示すること
ポイント3)再委託に関する条件の指示と再委託の実施状況の把握
以上から、「委託先の管理」の仕組み(態勢)として、以下の3ステップが考えられます。
なお、ここで示す態勢は、あくまで一例であり、この仕組みを回せば、「委託先の管理」の要求を充足するとは限りません。充足するかどうかは、事案ごとにリスクを評価し、必要な対策を講じているかどうかから判断されるべきものですので、ご注意ください。(法令解釈や運用の法的妥当性に関しては、専門の弁護士にご相談ください。)
適切な委託先の選定 ~ ステップ1
委託契約の締結に先立って、あらかじめ用意したガイドライン「10((別添)講ずべき安全管理措置の内容)」に定める各項目を記載したチェックシートに委託先がチェックを入れることで、安全管理措置を講じる旨を表明保証させるとともに、措置の具体的な内容について説明を受けます。この際、措置として不十分な点があれば改善を指示します。
委託契約の締結 ~ ステップ2
委託契約において、(1)で確認した「講ずべき安全管理措置」について合意し、一定期間経過ごとにモニタリングを実施すること、モニタリングにより発見された安全管理措置上の問題点に関し、委託先に対し必要な指示ができること、及び再委託の条件等を規定します。
委託先における個人データ取扱状況の把握 ~ ステップ3
委託から1年経過ごとに、チェックシートの記入や面談により、委託先の個人データの取扱い状況を把握します。不適切な管理が認められれば、是正を指示します。
当事務所では、委託先への個人情報の提供に必要な体制の構築(業務フローの整備)、安全管理措置に関するチェックシートの作成、委託契約の標準パターンの作成などの支援をハンズオンで受託しております。以下の「お問合せ」から、お気軽にご相談をお寄せください。