連日報道されるベネッセの個人情報漏えい事案。
今回は、その中で見えてきたその課題を考察し、他のプライバシーマーク取得企業においても同様の事案を発生させないための方法を考えていきましょう。

チェックすべきは委託先の『個人情報保護体制』

渦中のベネッセ自体もプライバシーマークを取得しています。
ただ、取り組みが適切に実施されていたのかどうか、外部からその実態は見極めきれないこと、そして、実際に情報漏えいが起こってしまったことを踏まえれば、プライバシーマークの運用において、何らかの課題があったことは明らかです。
そして、今回の情報漏えいを引き起こしたのが委託先の従業員であった点から、既にプライバシーマークを取得している企業は、改めて、委託先の個人情報保護体制をチェックしてみることをおすすめします。

ベネッセ事案の振り返り

ベネッセはプライバシーマークを取得しており、個人情報を保護するための基本的なシステムは構築されていると考えていいでしょう。
その一方で、シンフォームは2011年以降、プライバシーマーク認定されていませんが、少なくともその時点においては、個人情報を保護するための基本的なシステムは構築されていたと考えられます。
では、委託元であるベネッセから、委託先であるシンフォームへの継続的な調査はされていたのでしょうか？実際のところが外部からは判断できませんが、例えばグループ会社など、日頃から密な付き合いを行っている関係の場合、実態として、継続的な審査が行われないケースも存在します。
たとえ以前から取引があっても、気心の知れた仲であっても、継続的に委託をする場合は、定期的に委託先の個人情報管理状況を把握しておくことが重要です。

個人情報保護法における記載

個人情報保護法においては、委託先の個人情報管理状況を把握する趣旨の「第22条　委託先の監督」という記載があります。プライバシーマークの基準となるJIS Q 15001:2006でも「3.4.3.4 委託先の監督」として規定されています。

個人情報保護法の記載では「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」となっており、具体的にどのような管理が必要かまでは明記されていません。
しかし、同法の具体性を補完するガイドラインにおいては、以下のようにその内容を定めています。

• 委託先選定基準を作成して安全な委託先を選定すること(例:Pマークを取得しているか？など)
• 委託契約などを締結する際に「秘密保持条項」を明記して、個人情報が漏えいしないように定めを置くこと(秘密保持契約を締結)
• 定期的に会議を設定して、取り扱い状況を監督すること(定期的な見直しの実施)
• 提供したデータの返還や消去を義務付けて確認すること(契約修了後の取り決め)

「君子の交わりは淡きこと水の如し」と言います。既に関係が出来上がってしまっていたとしても、お互いの事業をより発展的なものにしていくためにも、継続的に委託先の個人情報管理状況について詳細を把握し、適切な範囲で対応していきましょう。

※参考【個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン】
一部抜粋(クリックするとPDFが開きます)