メールでの
個人情報取扱事業者は、個人データ(データベースを構成する個人情報)の取扱いの全部または一部を業務委託する場合は、個人データの安全管理が図られるよう、受託者に対する必要かつ適切な監督を行わなければなりません。
個人データの取得、加工、編集等の取扱いの委託は、例えば、外部の情報処理業者に対して、▽顧客や取引先、従業員の個人データの入力、計算や管理(従業員であれば給与計算)を業務委託する、▽宅配業者に住所や氏名等の個人データを交付して商品発送を業務委託することをいいます。原則として本人の事前同意が必要となる第三者提供(例:親会社から子会社へ、出向元から出向先へ)とは異なり、利用目的の達成に必要な範囲内であれば本人の同意は不要となるのですが、その代わりに監督義務が課されます。また、委託は、特定のグループ間(例:グループ企業間での出向)で個人データを共同利用する場合とも異なり、共同利用される個人データの項目・利用目的や共同利用者の範囲等を事前に本人に対して通知し、または本人が容易に知り得る状態に置く必要はありません。
個人情報取扱事業者は、個人データの漏洩、滅失または毀損を防止し、個人情報の安全管理のために必要かつ適切な措置を講じなければなりませんが、個人データの取扱いを業務委託する場合は社外の情報管理も徹底しなければなりません。すなわち、受託者を監督するため、受託者に個人データを伝達する目的、対象や範囲を限定したり、業務委託契約書において、▽秘密保持、▽目的外利用禁止、▽情報持ち出し禁止、▽再委託の禁止、▽従業者(役員・従業員、派遣労働者)に対する教育・指導、▽契約終了後の情報の返却または廃棄、▽禁止・義務の遵守状況に対する報告などを定めたりしなければなりません。秘密保持は契約終了後も継続する旨の条項を入れることが肝要です。
受託者が個人情報を漏洩した場合、委託者は安全管理に関する監督について相当の注意をしていれば、本人に対する損害賠償責任を負うことはありませんが、裁判例の傾向からは相当の注意を尽くしたと認定されることはほとんどありません。そのため、個人情報取扱事業者は、受託者の個人情報漏洩により損害賠償責任を負うリスクが高いことを肝に銘じ、受託者を監督しなければなりません。
受託者についても、委託者と本人に対する損害賠償責任を負うことになるので、個人データの安全管理措置を徹底することが必要です。
