|
今回は、先月に引き続き「セキュリティ対策」について事業者の義務について説明します。
5.従業員の監督置
従業員に個人データを取り扱わせるにあたっては、個人データを安全に管理させるように監督しなければならない。
・適切でない例
- 従業員が個人データの安全管理措置を定める規定等に従って業務を行っていることを、あらかじめ定めた間隔で定期的に確認せず、結果、個人データが漏洩した場合
- 内部規定等に違反して個人データが入ったノートパソコンを繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、紛失し、個人データが漏洩した場合
個人情報保護法では従業員個人が勝手に行ったことであっても事業者に責任が生じ、個人情報の漏洩が起これば事業者に経済産業大臣から勧告を受けることがあります。
定期的に規程に関する研修を行うことが必要になってきます。
6.委託先の監督
個人データの取扱を委託する場合(ダイレクトメールの宛名印刷を外注するなど)は、個人データの安全な管理のために委
託した者に対して適切な監督を行わなければならない。
・適切でない例
- 個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず外部の事業者に委託した場合で受託者が個人データを漏洩した場合
- 個人データの取扱に関して定めた安全管理措置の内容を受託者に指示せず、結果、受託者が個人データを漏洩した場合
- 再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の確認を怠り、受託者が個人データの処理を再委託し、結果、再委託先が個人データを漏洩した場合
委託する際には契約書を交わし、それに個人データの取扱に関する条文を入れておく必要があります。その文例、個人データ取扱確認書の文例が次のWebサイトにあります。
http://internet.impress.co.jp/books/2081/dl/
適切でない例のようなことになると元の委託者が個人情報漏洩の責任(損害賠償)を負う可能性があります。
委託先を選定するにあたっては委託先がプライバシーマーク、ISMSなどの情報セキュリティに関する第3者認証を受けているかどうかが目安になります。
7.第三者への個人データの提供
あらかじめ本人の同意無く個人データを第三者に提供してはならない
・次の事例は第三者と見なされる。
- 親子兄弟会社、グループ会社間で個人データを交換する場合
- フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
- 同業者間で特定の個人データを交換する場合
・次の場合は第三者への提供とは見なされない。
- 個人データの取扱に関する業務を委託する場合、ただし、6にあるように監督責任がある。
- 合併等で事業を継承する場合
- あらかじめ本人に通知するかホームページ等で公表して共同利用する場合
例:親子兄弟会社、グループ会社間で利用目的の範囲内で個人データを共同利用する場合
8.保有個人データの本人への周知
保有している個人データを開示するように求められたときは本人に対して開示しなければならない。
あらかじめ事業者は受付方法を定めることができるので、定めておくことが望ましい。開示の請求があった場合、それが本人からかどうかの確認が必要になります。一般的には次の方法によります。
- 来所
運転免許証、健康保険の被保険者証などで確認
- 電話
登録してある情報の確認(生年月日など)
- インターネット
あらかじめ発行しいるIDとパスワード
- 郵送・FAX
運転免許証、健康保険の被保険者証のコピーで確認し、その住所に個人データを送付
- 代理人が請求する場合
運転免許証、健康保険の被保険者証などと代理を示す委任状
|
