第87回 個人情報保護法 直前講座(6)
あと2週間。
個人情報保護法の完全施行まで、残りわずかです。
4月1日までにやっておいた方がよいことを、
いっしょに復習していきましょう。
では、「直前講座」第6週目です。
●その6「委託先管理は、はじめ・中・終わり、で。」
■はじめ
アウトソーサーに業務を委託する前に、
その企業が個人情報を適切に取り扱うことができるかどうか?
見極めておく必要があります。
会社で統一されたセキュリティーチェックリストなどを使って、
委託先企業の個人情報保護体制を確認しましょう。
もちろん、他の会社にあれこれ要求するのですから、
まず自社が出来ていることが前提なのです!
例えば、
・個人情報保護の体制(組織)について
□個人情報の取扱いに関する、統括責任者が明確になっていますか?
□個人情報の棚卸を年に1回以上実施していますか?
・人的セキュリティーについて
□個人情報保護の教育、啓発を全ての役員・就業者に年1回以上及び新規に従業員を採用した時はその都度、実施していますか?
・物理的セキュリティーについて
□個人情報を取り扱う場所への入退資格は必要最小限に限定されていますか?
□個人情報を保管する場所への入退出は、日時や氏名等の記録を取り、管理者が内容を確認していますか?
・技術的セキュリティーについて
□ID・パスワードは3カ月に1回以上変更していますか?
□個人情報が保管してあるサーバは、記録媒体の挿入口を取り外すなど、個人情報をダウンロードできないような対策をしていますか?
など。
次に、契約書の締結をしましょう。
おもに次の事項を確認して下さい。
・委託業務以外での個人データの利用禁止
・個人情報を利用、閲覧できる場所と人の限定
・個人情報の再委託の禁止
・委託先に対する、委託元の監査権限
・業務終了後の個人情報の消去
・個人情報漏えい等、事故発生時の連絡体制と、損害賠償
しかし、「業務委託契約書を交わせば、とりあえずオッケー!」
と勘違いしている人が多すぎます…。
セキュリティーの確保が先で、契約書は後。
契約書は立派だけれど、セキュリティーレベルが低い会社と契約して、
仕事が始まってから、「安全管理体制ができていない!」
と焦(あせ)っても、どうなるものでもありません。
シゴトは上流が勝負。
入り口でコントロールする、が鉄則です。
■中
業務委託するアウトソーサーと、個人情報の取扱いルールを確認します。
肝心なことは、実際に個人情報を取り扱う従業員への徹底です。
委託先で働く一般社員・派遣社員・パート・アルバイトなど、様々な雇用形態の従業員の多くは、委託契約書など見たこともないでしょう。
ではどうするか?
委託先のアウトソーサーと協力して、分かりやすくて運用可能な、
マニュアルやチェックリスト形式にする必要があります。
といっても、既にセキュリティー教育が施されている企業であれば、
基礎から一々説明する必要もなく、実は大した手間は掛かりません。
ここでパワーが掛かる企業は、教育レベル・経験値が低いのです。
さて、最初は新鮮な気持ちで、ルールどおりに行動するでしょう。
しばらくすれば中だるみや慣れが出ます。
人間ですから、それが普通。
しかし、安全管理体制は一時的ではなく、恒常的でなければなりません。
長期に渡る業務であれば、できれば委託先の現場に定期的に足を運んで、
個人情報の取扱いについて確認した方がいいのです。
ここでやるべきことは、委託先の個人情報の「安全管理体制の監督」で、「業務の監督」ではありません。
現場を見るとあれこれ口を出したくなって、過干渉になる人がいます。
本人だけは正しい指導をしたと思いこんで意気揚々と帰るのですが、
業務をグチャグチャにしていることもあります。
確認すべきポイントについて発言・協議し、後は委託先に任せる。
このような姿勢が、信頼関係を育て、お互いの成長につながります。
■終わり
業務が終了したら、「お疲れさま。ありがとう。」
で、おしまいになっていませんか?
「バックアップデータを取ってから、作業して下さい。」
と依頼したことがあっても、
「バックアップデータを消去して、作業完了にして下さい。」
と念を押すことは、従来は少なかったのではないでしょうか?
業務が終了したら、クライアントとアウトソーサーで、
個人情報の廃棄を相互確認しましょう。
■自分に厳しく、それから、他人にも厳しく
個人情報漏えい事件が多発して、委託先へ要求が厳しくなっています。
その要求レベルが自社で出来ているでしょうか?
委託先に求めることを、まず自社で実践して下さい。
子供は親の背中を見て育つと言いますが、
委託先の会社もあなたの会社のありようを見ています。
お互いにレベルアップすべく頑張りましょう!
