Last Updated on 2025年9月25日 by 勝
個人情報の取り扱いにおいて、「従業者(従業員、アルバイト、派遣社員など)」や「委託先(業務を外注した会社)」を適切に監督することは、個人情報を守る上で非常に重要です。
従業者(社内の人)への監督
従業員が原因で情報が漏れる事故が最も多いため、社内のルール作りと教育が重要です。
必須の対策(しなければならないこと)
| 対策の柱 | 具体的な行動 |
| ルールの明確化 | ・「秘密だよ」と約束させる: 採用時や入社時に、個人情報を外部に漏らさないという「誓約書」を提出させる。 ・権限を分ける: 誰でもすべての情報にアクセスできないよう、「この部署のこの人は、この顧客データだけ見られる」というように、アクセスできる範囲(権限)を明確に決める。 |
| 教育・研修 | ・定期的に勉強会を開く: 「個人情報とは何か」「情報が漏れるとどうなるか」「メールの誤送信に注意」といった内容を、年1回以上は必ず教える研修を実施する。 ・理解度チェック: 研修後にテストやアンケートを行い、ルールが本当に浸透しているかを確認する。 |
| 日常の管理 | ・「鍵」をかける: 個人情報が載っている書類は鍵のかかるキャビネットにしまう。パソコンのデータにはパスワードを設定する。 ・放置禁止の徹底: 顧客名簿や機密書類を机の上に置きっぱなしにして離席する行為を禁止する。 |
| 緊急時の体制 | ・報告の仕組みを作る: 「あれ?変なメールを開いちゃったかも」「顧客のファイルが見当たらない」など、情報漏洩の可能性がある事態が発生した場合に、誰に、いつまでに、どう報告するかの連絡ルート(マニュアル)を明確にしておく。 |
委託先(外部に外注した会社)への監督
委託先に個人情報を提供する場合、「第三者提供」にはあたりませんが、個人情報を守る責任(監督責任)は継続して発生します。
委託先の「選定時」にしなければならないこと
委託する前に、その会社が信用できるか、情報を守る能力があるかをチェックします。
- 選定基準の確認: 「個人情報を扱う業務を任せるなら、このセキュリティレベルが必要」という基準を設け、それを満たしているかを確認する。
- 実績と体制の確認: 委託候補の会社に、「セキュリティの担当者はいるか」「これまでに情報漏洩事故はなかったか」などを質問し、確認する。
「契約時」にしなければならないこと(最重要)
契約書を通じて、委託先が守るべきルールを明確に約束させます。
- 利用目的の制限: 委託した個人データは、「委託された業務(例:ダイレクトメールの発送)以外には使ってはいけない」と契約書に明記する。
- 安全管理措置の義務付け: 「アクセス制限をすること」「データを暗号化すること」「従業者に教育をすること」など、委託先が講じるべき具体的な安全対策を契約に盛り込む。
- 事故時の報告義務: 「情報漏洩などの事故や、その可能性が発生したら、すぐに、そして必ずあなた(委託元)に報告すること」を義務付ける。
- 再委託の制限: 委託先がさらに別の会社に業務を任せたい場合(再委託)は、「あなたの許可を必ず得ること」や、「元の契約と同等以上の個人情報保護義務を再委託先にも課すこと」を約束させる。
- 契約終了後の対応: 業務が終わったとき、「預けたデータをすぐに返却するか、復元できないように完全に削除・破棄すること」を明確に定める。
「委託中」にしなければならないこと(継続的なチェック)
契約を結んだら終わりではありません。約束通りに業務が行われているかを継続的に監視します。
- 定期的な報告の要求: 委託先から「個人情報の取り扱い状況」「セキュリティ監査の結果」などの報告書を定期的に提出させる。
- 立ち入り検査(監査)の実施: 必要に応じて委託先に実際に立ち入って(あるいはリモートで)、「個人情報が適切に管理されているか」「契約通りのルールが守られているか」をチェックする。
- 改善の要求とフォロー: 検査で不備が見つかったら、改善計画の提出を求め、その後、本当に改善されたかを確認する。
このように、個人情報の監督とは、「ルールを作って(契約)、教育し、定期的に確認する」という一連のサイクルを、社内と社外(委託先)の両方で実行し続けることです。