意味
委託先管理とは、個人情報や情報システムの取扱いを外部に委託する際に、委託元が委託先による安全管理を契約と監督によって確保する取組みである。
住民情報の入力やシステムの運用保守を事業者に委託したとき、その情報が委託先で適切に守られるかは、最終的に委託元である自治体の責任に帰する。委託先管理は、委託先を選ぶ段階から契約・監督・契約終了までの全期間にわたり、委託先が情報を安全に扱うよう仕組みで担保する取組みである。個人情報保護法は、委託元に対し、委託先が安全管理を尽くすよう監督する義務を課している。
具体的には、委託契約に安全管理措置や守秘義務、再委託の制限・事前承認、事故時の報告義務を盛り込み、ISMSやプライバシーマークの取得状況を選定基準に用い、必要に応じて立入確認や報告徴収を行う。委託先で漏えいが起きても、監督を怠った委託元の責任は免れない点が、この管理を重く位置づける理由である。
見落とされやすいのが再委託と契約終了後の扱いである。委託先がさらに別の事業者へ業務を回す再委託では、その先まで監督が及ぶ仕組みを契約で確保しなければならない。また委託が終わった後に、預けたデータが確実に消去・返却されたかの確認まで含めて、はじめて委託先管理は完結する。
つながりのある用語
ご意見箱(匿名でひとことから投稿できます)