最終回 委託先の監督をどこまでするか？：個人情報を読み解くキーポイント（2/4 ページ）

[牧野二郎（牧野総合法律事務所），ITmedia]

　法律には抽象的に、委託先の監督（法22条）が定められたにとどまることから、その具体的内容として、ガイドラインではさらに以下の点を定めている。

1. 委託先選定基準を作成して安全な委託先を選定すること
2. 委託先とは委託契約などを締結する際に「秘密保持条項」を明記して、個人情報が漏えいしないように定めを置くこと
3. 定期的に会議を設定して、取り扱い状況を監督すること
4. 提供したデータの返還や消去を義務付けて確認すること

　当初はガイドラインによって、相当なばらつきもあったものの、その後多くのガイドラインは項目がほぼ揃うようになり、前記の4点を求めるのが一般となってきた。

　金融庁では、以下のように委託先監督を求めており、他の省庁でも、ほぼ同様のガイドラインとなっているので、それぞれ検討していただきたい。

参考ガイドライン

「金融分野における個人情報の保護にする関ガイドライン」（2004年12月6日金融庁告示第67号）

第12条委託先の監督（法第22条及び基本方針関連） 1.金融分野における個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、法第22条に従い、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 2.「委託」とは、契約の形態や種類を問わず、金融分野における個人情報取扱事業者が他の者に個人データの取扱いの全部又は一部を行わせることを内容とする契約の一切を含む。 3.金融分野における個人情報取扱事業者は、個人データを適正に取扱っていると認められる者を選定し委託するとともに、取扱いを委託した個人データの安全管理措置が図られるよう、個人データの安全管理のための措置を委託先においても確保することが必要である。なお、二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行わなければならない。 具体的には、金融分野における個人情報取扱事業者は、 （1）個人データの安全管理のため、委託先における組織体制の整備及び安全管理に係る基本方針・取扱規程の策定等の内容を委託先選定の基準に定め、当該基準に従って委託先を選定するとともに、当該基準を定期的に見直すこと。 （2）委託者の監督・監査・報告徴収に関する権限、委託先における個人データの漏えい・盗用・改ざん及び目的外利用の禁止、再委託に関する条件及び漏えい等が発生した場合の委託先の責任を内容とする安全管理措置を委託契約に盛り込むとともに、定期的又は随時に当該委託契約に定める安全管理措置の遵守状況を確認し、当該安全管理措置の見直しを行うこと。等が必要である。 出展：金融分野における個人情報保護に関するガイドライン

他企業を管理できるのか？