最終回 委託先の監督をどこまでするか？：個人情報を読み解くキーポイント（3/4 ページ）

[牧野二郎（牧野総合法律事務所），ITmedia]

　「自社の管理ですら困難であるというのに、ほかの企業を監督するなどできる話ではない」というのが実情だろう。確かに、自社の管理のほかに、他企業を見るというまったく別の作業が発生すると考えた場合、それは相当に困難なものとなるだろう。

　しかし、個人情報保護法はそのようなことを求めているのではない。自社で安全管理をする必要性があるのは当然として、法が求めるのは、「自社の管理レベルと同等な企業に委託すべき」ということに過ぎない。すなわち、自社と比べて管理のレベルが著しく劣った企業に、貴重な情報を投げてはならないし、仮に管理レベルが低い企業に投げるならば事故を覚悟すべし、ということを言っているに過ぎない。

　従って、各企業は自社で実際に行った管理と、まったく同じことを委託先に要求すればよいのである。何も難しく考えるものではなく、新しい何かを求められるわけでもない。ただ、自社と同じ管理レベルであることを確認し、それ以下の管理レベルの企業には頼まないという選択をしてほしいということなのだ。

　この管理レベルを明らかにするのが、次に述べる委託先選定基準なのである。

委託先選定基準

　選定基準というのは、提供する情報の重要性などを考慮して、提供しても安全かどうか、相手方の体制はできているかなどを調査し、確認した上で契約することを意味している。つまり、契約の相手としてふさわしいか事前確認を実施することである。

　こうした選定基準をどのように定めるかはすでに述べたように、基本原則は自社並みに安全確保を実装させる、それを確認する、ということになる。自社並みとは、安全管理措置の内容、すなわち組織的対策／人的対策／技術的対策／物理的環境対策などで実施した対策、措置の内容そのものと同じ項目を、検討課題、チェック項目とすることでよい。

秘密保持契約の締結と定期的監督の手法

　秘密保持契約は具体的に情報を特定して、担当者を明確にし、保管方法、保管場所なども定めて点検できるようにしなければならない。ガイドラインでは個別の契約までは求めず、業務委託契約の中に秘密保持条項として記載することを求める。その内容は、委託先企業が情報をどのように取り扱うか、秘密に保持すべきこと、責任の内容などを詳細に規定するように求めるものが多い。

　こうした業務委託契約に何項かの秘密保持条項を持つことは重要なのだが、実は、日常的管理に役立つかについては疑問である。なぜなら、業務委託契約書自体は通常完成すると同時に金庫にしまわれてしまい、門外不出の重要書類となってしまう。そのため、そこに記載した秘密保持条項は日の目を見ることがないのである。その条項は、事故が発生した後に、責任配分の証拠として機能することはあっても、日常管理のためには機能することがあまりない。

　そこで、企業の安全対策という視点、日常的な有効管理の方法として、秘密保持契約書は金銭給付が定められた重要な契約書類とは別に、単体の持ち出し、複製が可能な書類として作成すべきである。表題については、秘密保持契約書であってもよいが、合意書でもよいし、覚書でも構わない。また、調印者に関しては情報管理の担当者、管理責任者であればよい。

　無論代表者が署名することも望ましいが、日常的管理としては担当者の自覚と責任を促すものとして、現場担当者の署名、押印は不可欠としたい。

　さらには、再委託先に関しても、ほぼ同趣旨の、同じ雛形のものでも良いので、合意書を作成し、委託先と再委託先のそれぞれの担当者の署名、押印を不可欠としたい。こうすることで、委託だけでなく、再委託先まで管理できるという実効性が与えられることになる。

定期的協議と議事録

　さて、こうして作成された秘密保持契約や合意書は、どのように利用するのがよいだろうか？　有効利用し安全に管理したいわけだから、定例会議、定期的協議を行い、その際秘密保持条項や契約書、合意書の内容を定期的に検討することとしたい。

　それぞれの内容が遵守されていることが確認されることで、定期的な管理が行われることになる。そして、こうした定例会で管理が行われた事実は、議事録の形で確保したい。参加者全員がこれにサインして、相互に確認する。こうして、お互いの注意喚起を促すのである。

バックアップデータ抹消誓約書の作成