当社ではダイレクトメールの発送業務を外部に委託しています。委託先の情報管理体制がどのようになっているのか不安なので問い合わせてみたら、企業秘密なので一切回答できない旨の返事でした。どのように対応すべきでしょうか。
個人情報保護法第22条では委託先の監督が要求されています。これは単に契約上で守秘義務を定めるのみならず、業務を委託して行わせるに際して、具体的に管理・監督することが求められています。委託業務を取り扱わせる前に、情報管理にかかる社内体制を整備させたり、委託開始後も定期的に報告を求めたりすることが必要になります。 御社の状況を前提とすれば、まずは委託先企業に対して、「個人情報保護法上委託先の監督が要求されている」旨を説明して理解を求めるべきでしょう。こういった場合は委託先も個人情報取扱事業者に該当する場合がほとんどですから、個人情報保護法のことを知ってしかるべきです。 それでも監督に応じないのであれば業者の変更も検討すべきです。これまでにも個人情報漏洩事件が多発していますが、委託先からの情報漏洩が原因となっている事件が多くあります。委託先での事故だからと言って委託元が責任を免れることができるわけではありません。リスク管理のための重要項目と認識して下さい。なお、例えば「使用しているデータセンターの所在地」といった情報はそれを開示するとセキュリティ上確かに問題があります。ただしそういった情報は限定的ですから、開示を求める情報の種類毎に委託先に開示できない理由を説明させてもよいと思います。