前回までは,個人情報漏洩事故が発生した場合の個人情報取扱事業の責任を中心に検討しました。今回は,個人情報漏洩事故に対し,企業がどのような対策を講じることができるのか,という点について検討します。
企業が採用しうる個人情報対策としては,以下のようなものが挙げられます。
(1) 業務委託契約締結時における法務の視点からの対策
(2) システム面からの対策
(3) 損害保険の活用や事故後の広報活動等
順番に見ていきましょう。
業務委託契約締結時における法務の視点からの対策
個人情報保護法上,個人情報取扱事業者は,「委託を受けたものに対する必要かつ適切な監督」(同法22条)をしなければなりません。「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成20年2月)によれば,その内容として,(1)委託先を適切に選定すること,(2)委託先に同法第20条に基づく安全管理措置を遵守させるために必要な契約を締結すること,(3)委託先における委託された個人データの取扱状況を把握すること――が含まれるとされています。
(1)については,個人データの取扱状況に関しヒアリングしたり,過去の実績等から判断することになると思われます。契約と直接関係があるのは,(2)の内容です。(3)の内容を実施できるのか否かは契約次第ということになります。したがって,前述の(2),(3)の内容を実現するための契約を締結することにより,漏洩事故の発生を防ぐことになります。
前述のガイドラインによると,具体的には,業務委託先との契約に,以下のような条項を盛り込むことが望ましいとされています。
・委託元および委託先の責任の明確化
・個人データの安全管理に関する事項
・個人データの漏えい防止,盗用禁止に関する事項
・委託契約範囲外の加工,利用の禁止
・委託契約範囲外の複写,複製の禁止
・委託契約期間
・委託契約終了後の個人データの返還・消去・廃棄に関する事項
・再委託に関する事項
・再委託を行うに当たっての委託元への文書による報告
・個人データの取扱状況に関する委託元への報告の内容および頻度
・契約内容が遵守されていることの確認(例えば,情報セキュリティ監査なども含まれる)
・契約内容が遵守されなかった場合の措置
・セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
無論,すべての条項を契約書に盛り込むことは困難であり,しかも契約書に上記の内容が記載されているだけで,直ちに個人情報の漏洩を防止できるわけではありません。しかし,契約書に記載することで契約当事者の意識を高めることは,個人情報の漏洩を防止するひとつの対策になるといえるでしょう。
