従業者の監督
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
個人情報保護法 第21条
まず、繰り返しの説明になりますが、「従業者」という言葉に注意してください。
「従業員」より広義で、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者をいいます。
従いまして、役員も従業者ですし、派遣社員も従業者になります。
次に注意すべきはモニタリングの際の告知です。監視カメラで取扱状況を確認する際は事前に告知すべきです。監視カメラでの撮影もまた個人情報の取得だからです。
抜き打ち、秘密裏の調査の方が違反を見つけやすいでしょうが、目的は違反者を数多く見つけることではなく個人データの安全管理を図ることです。事前に告知した方が不正に対するけん制にもなります。
委託先の監督
個人情報取扱事業者は、個人データの取扱の全部又は一部を委託する場合は、その取扱を委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報保護法 第22条
委託先の選択
そもそも業務を委託する際に、適切な委託先を選択すべきです。財政基盤はしっかりしているか、個人データの取扱実績はどうかなどの観点から精査して委託先を選択すべきです。
責任の範囲の明確化
責任の範囲が不明確だと、委託元(個人情報取扱事業者)も委託先も自身は責任を負わないと誤解し、結局個人データの取扱が安全になされないおそれがあります。
ただし、優越的地位を濫用して委託先に不当に重い責任を課すことは許されません。
取扱状況の把握
個人データの取扱を委託するのであれば、委託先が個人データを適切に取り扱っているか把握できるよう、報告の義務を契約に盛り込むべきです。
再委託
委託先がしっかりしていても、再委託先がいい加減では困ります。再委託には承諾を必要とするようにするか、再委託を禁止とすべきです。
