個人情報の取扱いの局面において、自社内完結ではなく、一部業務を委託することも考えられます。
この場合には、委託先の選定基準や委託契約の内容についても一定事項の内容を盛り込んだものとする必要があります。
委託先において発生した事故等に対する本人への責任はあくまで自社(委託者)にありますので、自社と同等の取扱いができる委託先を選定し運用する必要があります。
ポイント
- 委託先の選定は、チェックリストを採用し行う。合格基準点を設定し委託の可否を判断する運用とする。
- チェック事項は、安全管理措置の内容から必要部分を抜粋し、保管状態・利用の制限などを盛り込み点数をつける。
- 選定された委託先についても、継続(包括)して委託している場合には、1年の定期に再度見直し再評価を実施する旨を規定する。
- 内容に応じて基準値も見直す。
- 委託する際の委託契約書の雛形を作成する。
- 契約条項の中には、JIS要求事項の内容を含めたものとします。
- 委託契約書は当該の少なくとも業務委託中は保管する旨を規定する。
- 委託契約や選定評価について、一定の資格を有する者などは除外する旨を規定する。
- 弁護士や税理士などの資格者の契約締結の除外(別途顧問契約がある場合)や委託先がプライバシーマークを取得している場合での選定評価の省略などを規定する。
- 委託契約は原則として再委託の禁止、個人情報の取扱い状況の確認は随時行なえるものとし、事故発生時の責任の所在については明確にしておく。