第2回 個人情報保護法とはどんな法律か？：個人情報保護法を読み解くキーポイント（3/3 ページ）

[牧野二郎（牧野総合法律事務所），ITmedia]

　この法律の特徴の一つは、「自分だけが管理していればいいのではない」ということが明確にされていることだ。「自身の事業活動に関わる関連企業、事業者をも監督しなければならない」という新しい義務が規定されている点である。

　これは、本人から個人情報の提供を受けた事業者が、その情報が消去され、存在しなくなり、事業活動に一切利用されなくなるまで、徹底した監督を義務づけるという発想に基づいている。これは大変重い義務に思えるが、顧客・消費者にとって情報を提供した事業者は目の前にいる事業者のみであって、その事業者が誰と協力し、共同で活動し、あるいはアウトソーシングしているかなど、一切関わりのないことなのである。

　外注先として誰を選択するか、どの事業者と協力するかなどは、当該事業者が顧客や消費者とは関係なく決定することでもあり、事業者の選択などはすべて当該事業者の責任と負担でやってくれればいい、ということになるわけだ。

　こうしたことから、共同利用の場合や委託する場合であっても、それらのすべての場合に個人情報が安全に管理され、利用されているか、当該事業者が責任を持って管理、監督しなければならない。唯一、第三者提供の場合は情報自体を売却するなど当該事業者の手を離れてしまうので、その後の責任はなくなる。しかし、だからこそ本人の事前同意か、本人の希望があれば第三者提供を直ちに停止することを約束する仕組みになっている。

委託先に対する監督の本質

　では、委託先を監督するとは具体的にどういうことなのだろうか。法律は、「必要かつ適切な監督」という表現をしているだけである。したがって、通常必要とされ、情報管理が適切に行われるための対応が求められてくると考えられる。

　具体的には、自社で実施すると同様以下のような対応が必要となるはずだ。

1.委託先が安全管理の対策を取っていることを確認し、実施を求めること（自社の安全管理措置に匹敵、法20条に匹敵）

2.委託先が従業者監督の対策を取っていること。つまり従業者に関する監督、誓約書の徴収など、委託事業を実施するための体制が取れているかを確認すること、また、確実な実施を求めること（自社の従業者監督に匹敵、法21条に匹敵）

3.委託先で再委託先監督の対策が取られていること。再委託の可否や、再委託する場合の対応策の確立、秘密保持契約の締結など、必要な対策の実施と確認をすること（自社の委託先監督の措置に匹敵、法22条に匹敵）

　端的にいえば、自社のコピーのように必要な対策を委託先にも求め、実施の確認を行うことである。

図2■関連企業や委託先での個人情報の取り扱い。本人が、事業者に個人情報を提供する場合、事業者に対して、その目的に限定して提供する仕組みにしているので、第三者や関連企業に無断で提供することはできない。提供したいときは事前に同意を取るか、第三者への提供（売却）のあることや、共同利用者の氏名や責任者、利用目的を明確に表示しておかなければならない

牧野二郎（牧野総合法律事務所）プロフィール

1953年生まれ、中央大学法学部卒業。弁護士。法的側面からのセキュリティ対策サービス、電子署名制度による安全な取引を実現するためのリーガルサービスの提供に特化し、制度整備を通して、情報社会のあり方、自己実現の方法など、積極的なかかわりを提言している。

最近の主な著書：『企業情報犯罪対策入門』（インプレス）、『即答！個人情報保護』（毎日コミュニケーションズ）