この法律の特徴の一つは、「自分だけが管理していればいいのではない」ということが明確にされていることだ。「自身の事業活動に関わる関連企業、事業者をも監督しなければならない」という新しい義務が規定されている点である。
これは、本人から個人情報の提供を受けた事業者が、その情報が消去され、存在しなくなり、事業活動に一切利用されなくなるまで、徹底した監督を義務づけるという発想に基づいている。これは大変重い義務に思えるが、顧客・消費者にとって情報を提供した事業者は目の前にいる事業者のみであって、その事業者が誰と協力し、共同で活動し、あるいはアウトソーシングしているかなど、一切関わりのないことなのである。
外注先として誰を選択するか、どの事業者と協力するかなどは、当該事業者が顧客や消費者とは関係なく決定することでもあり、事業者の選択などはすべて当該事業者の責任と負担でやってくれればいい、ということになるわけだ。
こうしたことから、共同利用の場合や委託する場合であっても、それらのすべての場合に個人情報が安全に管理され、利用されているか、当該事業者が責任を持って管理、監督しなければならない。唯一、第三者提供の場合は情報自体を売却するなど当該事業者の手を離れてしまうので、その後の責任はなくなる。しかし、だからこそ本人の事前同意か、本人の希望があれば第三者提供を直ちに停止することを約束する仕組みになっている。
では、委託先を監督するとは具体的にどういうことなのだろうか。法律は、「必要かつ適切な監督」という表現をしているだけである。したがって、通常必要とされ、情報管理が適切に行われるための対応が求められてくると考えられる。
具体的には、自社で実施すると同様以下のような対応が必要となるはずだ。
1.委託先が安全管理の対策を取っていることを確認し、実施を求めること(自社の安全管理措置に匹敵、法20条に匹敵)
2.委託先が従業者監督の対策を取っていること。つまり従業者に関する監督、誓約書の徴収など、委託事業を実施するための体制が取れているかを確認すること、また、確実な実施を求めること(自社の従業者監督に匹敵、法21条に匹敵)
3.委託先で再委託先監督の対策が取られていること。再委託の可否や、再委託する場合の対応策の確立、秘密保持契約の締結など、必要な対策の実施と確認をすること(自社の委託先監督の措置に匹敵、法22条に匹敵)
端的にいえば、自社のコピーのように必要な対策を委託先にも求め、実施の確認を行うことである。
牧野二郎(牧野総合法律事務所)プロフィール
Copyright © ITmedia, Inc. All Rights Reserved.