外部委託の方法 : 管理方法を開示しない委託先への対応方法

当社ではダイレクトメールの発送業務を外部に委託しています。委託先の情報管理体制がどのようになっているのか不安なので問い合わせてみたら、企業秘密なので一切回答できない旨の返事でした。どのように対応すべきでしょうか。

個人情報保護法第22条では委託先の監督が要求されています。これは単に契約上で守秘義務を定めるのみならず、業務を委託して行わせるに際して、具体的に管理・監督することが求められています。委託業務を取り扱わせる前に、情報管理にかかる社内体制を整備させたり、委託開始後も定期的に報告を求めたりすることが必要になります。 御社の状況を前提とすれば、まずは委託先企業に対して、「個人情報保護法上委託先の監督が要求されている」旨を説明して理解を求めるべきでしょう。こういった場合は委託先も個人情報取扱事業者に該当する場合がほとんどですから、個人情報保護法のことを知ってしかるべきです。 それでも監督に応じないのであれば業者の変更も検討すべきです。これまでにも個人情報漏洩事件が多発していますが、委託先からの情報漏洩が原因となっている事件が多くあります。委託先での事故だからと言って委託元が責任を免れることができるわけではありません。リスク管理のための重要項目と認識して下さい。なお、例えば「使用しているデータセンターの所在地」といった情報はそれを開示するとセキュリティ上確かに問題があります。ただしそういった情報は限定的ですから、開示を求める情報の種類毎に委託先に開示できない理由を説明させてもよいと思います。

外部委託の可否 : 個人情報に関連する業務を外注してもいいのか

個人情報の管理は外部に委託してもいいのでしょうか。

結論として個人情報の管理を外部委託することは可能です。典型的なパターンとしては、社内のデータベースの管理を外注したり、DMの発送を印刷業者に委託したりすることが考えられます。 個人情報保護法やJIS Q 15001は個人情報の処理については、外部委託がだめとも規定していませんし、外部委託が望ましいとも規定していません。ただ外部委託するのであれば、外部委託先の管理監督をきちんと行うことが要求されています(個人情報保護法22条、JIS Q 15001 4.4.4.3)。逆に言えば、外部委託先の管理監督をきちんと行うのであれば、外部委託は法律・規格上可能ということができます。 もちろん外部委託をした際の情報漏えいリスクを実務上どのようにヘッジするかはまた別の問題ですので、十分な対策が必要です。

外部委託の手順:発送業務の外部委託での手続き

当社は機関誌を発送していますが、その発送は配送業者に委託しています。この場合当社から配送業者に送付先となる個人の情報を提供しますが、本人から同意を得たり、配送業者と機密保持契約を締結する必要はありますか?

個人情報の利用目的の達成のために、業務の委託に伴って個人情報を第三者に提供するときには、本人からの同意の取得は不要です(個人情報保護法23条4項1号)。もっとも同法22条により委託元には委託先の監督義務が課されています。経済産業省ガイドラインでは一定の事項を記載した契約書の締結と実際の監督を要求していますので、少なくとも機密保持契約書の締結は必須でしょう。

個人情報漏洩防止対策 : 内部漏洩を防止する方策は

近時の情報漏洩事件においては、内部犯行によるものが増えていると聞きます。これに対してはどのような対策を取ればいいのでしょうか。

内部漏洩防止のための決定的な手段は残念ながら無いと言っていいでしょう。現状において可能な複数の手段を組み合わせて実施し、漏洩の危険性を少しでも減らしていくことが重要です。具体的には、まず各ベンダーが提供しているセキュリティシステムを導入して、社内のシステムから情報を引き出しにくい体勢を作ることが考えられます。次に従業員の法的な義務を強化するために、就業規則、労働契約を整備する必要があります。これらが変更できないのであれば、別途誓約書を提出させるのも有効でしょう。そしてよく言われることですが、社員教育を頻繁に実施して、社員の情報に対する意識を啓発することが重要です。

安全管理措置 : セキュリティ機器の導入は法律上の義務なのか

先日セキュリティベンダーから「個人情報保護法が成立しましたので、セキュリティ機器を導入しなければ違法になりますよ」と言われました。本当でしょうか。

個人情報保護法第20条では、個人情報の安全管理措置を取ることが個人情報取扱事業者の義務とされています。もっとも、どのような安全管理措置をとれば、この条文上の義務を満たしたことになるかは明確ではありません。各種のセキュリティ基準や、国や地方公共団体が定めたガイドラインを参考にして、セキュリティ確保のための措置を取っていくことになります。少なくとも現時点において、特定のベンダーの製品や、特定の機能を有する製品の購入・導入が義務づけられているわけではありません。

安全管理:社員に使わせている社用携帯電話が盗難された場合会社は責任を負うか

会社が従業員に貸与していた携帯電話が盗難されたり、紛失したりした場合に、責任を負うのは会社ですか?従業員ですか?また個人の携帯電話に会社の顧客の情報が入っていた場合はどうですか?

個人情報が漏洩した場合には、個人情報保護法上の責任と、プライバシー侵害が問題となります。携帯電話の紛失や盗難の場合には、アドレス帳に記載されている氏名、住所、電話番号や、メールボックスに保存されているメールアドレスや本文の漏洩の可能性があるでしょう。 まず漏洩した内容が、個人にとってのセンシティブな情報を含んでいる場合(思想・信条・私生活上の行状等)には、本人から紛失した従業員に対する損害賠償請求権(民法709条)が発生します。そして本人は会社に対しては使用者責任を追及できます(715条)。この場合会社は、従業員に対する監督を尽くしていたことを立証できない限りは責任を免れることができません。携帯電話が会社の所有にかかるものであればこの立証は非常に困難でしょうし、従業員の所有物であっても、例えば会社として私物の携帯電話の使用を固く禁止しているにもかかわらず、従業員が勝手に個人の携帯を使用していたことを立証しなければいけませんが、これも容易ではないでしょう。 個人情報保護法上の責任については20条の安全管理義務が問題となりますが、まず従業員個人は、そもそも個人情報取扱事業者に該当しませんから、責任を負うことはありません。会社の責任が発生するかについては、会社が従業員に対して携帯電話の取扱についての適切な教育、監督を行っていたかがポイントです。たとえば教育としては、携帯電話の紛失に対する注意喚起をしたり、メモリの内容が不要になった際にはすぐに消去するよう指導したりしていることが必要です。また監督としては、従業員による携帯電話の取扱状況を定期的にヒアリングしたり、規則に違反した従業員を発見したときに、その改善を実際に命令したりしていることが必要です。会社としてこれらの安全管理義務を尽くしているにもかかわらず漏洩したという場合には、安全管理義務違反を問われることはありま せん。これらの内容は、携帯電話が会社の所有物であるか、私物であるかは関係がありません。なお私物の携帯電話の使用が禁止されていて、かかる規則が周知徹底されているにもかかわらず、従業員がこれに違反して使用・漏洩したという場合には、安全管理義務違反を問われることはないでしょう。 もちろん従業員が訓戒・減俸など会社の内規上の処分を受けるかどうかは個人への法的な責任の発生の有無とは別問題ですので、別途労働法を鑑みた判断が必要です。

安全管理:従業員からの誓約書の取得は義務か

個人情報保護法が施行されましたが、現在在職中の従業員から、新たに個人情報の取扱に関する誓約書や同意書を取得することは必要でしょうか。

個人情報保護法の施行に合わせて、各企業では従業員から個人情報の取扱に関する同意書や誓約書(以下単に「誓約書」といいます)を取得することが積極的に行われています。しかし個人情報保護法が要求しているのは、あくまでも「従業者に対する必要かつ適切な監督を行」うことです(同法21条)。そのため個人情報の取扱方法を教育したり、従業員の個人情報の取扱方法を定期的に確認していなければ、誓約書を取得していたとしても、法律を遵守していることにはなりません。逆に誓約書が無くても、実効性のある監督手段を実施しているのであれば、法令を遵守していることになります。結局、誓約書の取得は必須というわけではありません。 もっとも誓約書を書かせるという行為は、従業員の個人情報保護への意識を高める効果があります。監督の実効性を挙げるための一手段として位置づけるのがよいのではないでしょうか。 また他の企業から業務を受託する際には、従業員から誓約書を取得していることが条件とされることが多くなってきています。そのため契約を遵守するために誓約書の取得が必要となる場合があり注意が必要です。

誓約書:誓約書をとれば法的に義務が発生するのか

従業員から秘密保持に関する誓約書を集める予定にしています。秘密保持契約書のような詳しい内容のものではないのですが、法的には効力があるものなのでしょうか。

従業員から徴収する秘密保持契約書には、通常は秘密保持義務や損害賠償義務が規定されています。もっとも労働契約上、従業員は当然に秘密保持義務を負っており、また、民法415条や709条により、情報を漏洩させた場合には、損害賠償義務を負うこととなります。そのため秘密保持契約書のこれらの規定は法的には意味がありません。また損害賠償額の予定や違約金条項を入れる場合もありますが、労働法上従業員に一方的に不利益を課すような条項は無効となる可能性が高いですから、これもまた法的にはあまり意味がありません。 もっとも日本人は一般的には律儀ですので、機密保持誓約書に署名すると、「情報を漏洩してはいけない」という意識がかなり高まります。そのため事実上情報漏洩防止の効果は高まるでしょう。 また、社外への持ち出し禁止や退職時の返却などの情報の安全のためのルールは、法的に必ずしも従業員が義務を負っているわけではありません。そこで誓約書雛形を会社側で作成する際には、これらの条項を盛り込むと効果のより高い誓約書となるでしょう。

安全管理:市販の名簿も廃棄の際はシュレッダーしないといけないのか

一般的に購入して入手可能な名簿類を廃棄するときにもシュレッダー処理や溶解処理が必要でしょうか?

個人情報について要求される安全管理の度合いは個人情報のセンシティブ性に応じて様々です。廃棄に際しても、個人情報の重要性に応じた処理が必要になります。購入可能な名簿にしても、個人情報保護法施行後に、本人の同意の下で編纂されて一般に発売されている名簿であれば、シュレッダーや溶解処理までは不要でしょう。一方、個人情報保護法施行前に編纂された名簿や、本人の知らないところで発売されてしまっている名簿(多くの紳士録・公務員名簿等が該当します)については、念のため安全な廃棄方法をとった方が望ましいでしょう。 ちなみに悩ましいのがNTTのタウンページやハローページ(現在は配布停止)です。これらをシュレッダー処理や溶解処理していたらキリがありませんが、一般への流通度、普及度が高いため、個人情報保護法施行前に編纂されたものであっても、簡易な処分で問題ないと思われます。

安全管理:情報を漏洩させた従業員自身は責任を負うのか

会社の従業員が個人情報を漏洩した場合には、その個人はどのような責任を負うのでしょうか?

まず民事上の責任として本人に対する損害賠償が必要となります。勤務先や委託元が本人に対して先に賠償している場合には、これらの勤務先や委託元からの求償を受けることになります。たとえば京都府宇治市の住民基本台帳データ漏洩事件では、情報を持ち出した大学院生やその所属企業が宇治市に対し400万円の賠償をすることになりました。 一方、刑事上の責任ですが、故意に持ち出したのであれば、窃盗罪や業務上横領、不正競争防止法違反として、懲役又は罰金が科されます。さくら銀行の派遣社員が個人情報を持ち出した事件では業務上横領罪が成立した例があります。