昨日の続きです。

③個人情報取扱委託先の管理監督

「定期的に、監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、個人情報保護管理者(CPO)等が、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。」
(ガイドライン
42頁)

ガイドライン第22条「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」との点に関するガイドラインへの追記ですが、個人情報を取り扱う業務の業務委託契約書に関してCPO等が定期的に調査し、問題がある場合、業務委託内容を変更することになります。個人情報を取り扱う業務の業務委託契約書には、委託者の監査権限を明記しておくことが必要になってきますね。

「委託先において、個人データを取り扱う者(委託先で作業する委託先の従業者以外の者を含む)の氏名又は役職等(なお、委託の実態に応じて、例えば、契約書とは別に、個人データを取り扱う者のリスト等により、個人データを取り扱う者を把握するなど、適切な対応を行うことが望ましい。)」
(ガイドライン43頁)

上記同様ガイドライン第22条への追記ですが、個人情報を取り扱う業務の業務委託契約書に関して取扱担当者をバイネームで記載しておきそれ以外の人物が関与しないようにしておくことが望まれます。変更があれば、都度通知させて最新情報をコントロールすべきことになります。

「再委託を行うに当たっての委託元への文書による事前報告又は承認」
(ガイドライン43頁)


こちらも上記同様第22条に関するガイドラインへの追記で、以前は、再委託の場合に、単純に報告すべしとされてきましたが、再委託を事前報告又は承認制にしておくことが望ましいとのことです。委託先によっては、再委託先は複数いるし臨機応変に対応できなくなると言って反発するケースもありそうですが、個人情報の重要性から委託を受ける業者を選別するのに使えそうなポイントではあります。

「契約内容が遵守されなかった場合の措置(例えば、安全管理に関する事項が遵守されずに個人データが漏えいした場合の損害賠償に関する事項も含まれる。)」
(ガイドライン43頁)

こちらも上記同様第22条に関するガイドラインへの追記ですが、以前は、括弧書きがありませんでした。個人情報を取り扱う業務委託契約書において安全管理義務を明記し、当該義務が契約上の義務として定めた上で損害賠償条項にも明確に賠償の対象となる義務として明示しておくことになりましょうか。

最後に。ガイドライン
68頁以下には、消費者に対する分かりやすい説明の実施に際して参考とすべき基準として記載事項がまとめられており、これは今後プライバシーポリシーを作成される場合参考になるのではないかと思います。
975411_541106855932403_799666229_n