現実に起こった個人情報漏洩事故を振り返ると、下請けや孫請けなどの業務委託先が漏洩源となっている事例が多く見られます。個人情報を取り扱う事業者にとって委託先を適切に管理することは極めて重要です。今号の記事では委託先の管理について個人情報保護法に沿ってお話しします。

委託先管理の要点は次の2点です。(1)事前に本人から同意を得る必要はない。(2)その代わり委託元は委託先を適切に監督しなければならない。

ここでいう委託とは、個人データの取扱いの全部または一部を委託する場合のことを指します。契約書の標題に何と書いてあるかは関係ありません。また契約の実態が請負であるか準委任であるかも関係ありません。取引の実態が「個人データの取扱いの全部または一部を委託する場合」にあたるのであれば、それは管理すべき「委託」に該当します。

なお、個人情報保護法では再委託先以降についてまで直接監督することを求めてはいません。再委託先に対する監督義務は再委託元が負います。また、もとの委託元は、再委託元である委託先が再委託先を適切に監督しているかを把握して適切に指導する必要があります。

委託先を適切に管理するとは、具体的に何をしらたよいのでしょうか。一般的には次のような方法が考えられます。

まず、委託先の選定を適切に行うことです。このためには委託先の選定基準を確立し、その基準に従って選定するという段階を踏むとよいでしょう。選定基準としては、例えばプライバシーマークを取得していることなどが考えられます。

次に、委託先との契約に必要な条項を盛り込むことです。具体的には委託元および委託先が講じるべき安全管理措置の内容や双方の責任の分担を明確にすべきです。

さらに、定期的にあるいは随時、契約内容の実施状況を点検することです。契約を結んだあとは放っておくというのではなく、適時委託先からの報告を求めたり現場を訪問したりすることが必要です。

我々リーガルワークスでは業務委託に関して労務管理の点からだけでなく個人情報保護の点からも事業者様をサポートいたします。お気軽にご相談ください。

（行政書士　関戸幸一）