個人情報の管理は外部に委託してもいいのでしょうか。
結論として個人情報の管理を外部委託することは可能です。典型的なパターンとしては、社内のデータベースの管理を外注したり、DMの発送を印刷業者に委託したりすることが考えられます。 個人情報保護法やJIS Q 15001は個人情報の処理については、外部委託がだめとも規定していませんし、外部委託が望ましいとも規定していません。ただ外部委託するのであれば、外部委託先の管理監督をきちんと行うことが要求されています(個人情報保護法22条、JIS Q 15001 4.4.4.3)。逆に言えば、外部委託先の管理監督をきちんと行うのであれば、外部委託は法律・規格上可能ということができます。 もちろん外部委託をした際の情報漏えいリスクを実務上どのようにヘッジするかはまた別の問題ですので、十分な対策が必要です。