グリーンレポート
特集:個人情報編 <第2回>
-特集:個人情報編 <第2回>- 3/4

3.情報が流出するとき「委託先」
 印刷業においては個人データの入力、編集、出力する業務を外注することはよくあることです。また、システム開発、サーバーのメンテナンス、商品の配送などを委託するとき個人データを提供することもあるでしょう。このような委託業務は第三者提供(本人の同意を必要とする個人データの提供)にはあたりませんが、委託元業者は委託先を監督する義務が生じ、責任を負わなければなりません。委託先の業務を更に下請け業者に出す再委託になると個人データがどのように扱われているか把握しづらく、情報漏洩が発覚したとき漏洩元を特定しづらいのもこの場合が多いようです。
事例5)
1995年5月。U市がデータ処理を委託した会社で、アルバイトをしていた大学院生が、データを勝手に持ち出し名簿業者に販売していた事が判明。裁判では、データ処理の委託先で起こった事件に対して、市にも監督責任があるとして、市議 1人につき15,000円を損害賠償金として支払う判決が出された。

事例6)
2003年6月。大手コンビニチェーンで、カード会員115万人中、約56万人分の顧客データが流出、その一部がDM業者に渡り、同コンビニと無関係の会社から会員にDMが届いた。会員データの管理運営は関連会社に委託していたが、誰がデータを流出したかは特定できていない。

対策)
委託先からの情報漏洩を防止するには、・安全管理対策のしっかりした業者を選ぶ、・委託契約書に個人データの管理に関する事項を入れる、・契約が守られているか度々チェックする、などがあげられます。また、委託先が別業者に再委託する場合があります。そのときは再委託を認めるかどうか充分検討し、認めない場合は委託契約書に再委託の禁止条項を加えておく必要があります。認める場合は、・事前に発注元の同意を得る、・再委託先の監督義務を負わせる、・文書などで報告をもとめる、などの対策を行いましょう。しかし、委託業者の選定はなかなか難しいものです。ですから第三者機関が認定する制度であるプライバシーマーク(※TOPICS参照)などを目安にするのもいいでしょう。
image

戻る 次へ


このページのトップ