個人情報保護法と「再委託」

 

ベネッセの個人情報流出問題で、一時、個人情報の「再委託の原則禁止」という情報が出ていましたが、この「再委託の原則禁止」はどうなったのか、ご存知でしょうか?

経産省のパブリックコメント

経産省から、2014年9月26日、”「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案に対する意見公募について”という題のパブリックコメントが公示されました。
(募集期間は、9/26〜10/28)

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の改正案に対する意見公募について

ここでは”「個人情報の保護に関する法律についての経済産業分野を対象とする ガイドライン」の改正案” が示されています。

問題の「再委託」については、以下の文言追加が案となっています。

このため、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容及び再委託先の個人情報の扱い方法等について、委託先から事前報告又は承認を求める、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。

もう少し平易には、”「個人情報の保護に関する法律についての経済産業分野を対象とする ガイドライン」の改正案(概要)”にて以下の通り記載されています。

再委託を行う場合には、委託を行う場合と同様、委託元は、委託先が再委託を行う相手方、再委託に係る業務内容及び再委託先における個人データの取扱方法等について、委託先から事前報告又は承認の申請を求めること、及び委託先を通じて、又は必要に応じて自らが、定期的に監査を実施することが望ましいものとする。

まとめると、
再委託を行う場合、(一次)委託先(委託を受ける側)は、
・再委託先
・再委託に係る業務内容
・再委託先における個人データの取扱方法
などを委託元(委託する側)に事前に報告または承認申請を行う
となります。
#厳密には、上記を委託元が委託先に求めることがガイドラインです。

また、再委託先(二次受け)が再々委託(三次受け)する際も同様で、それ以降の再委託も同様です。

そもそも「委託」「再委託」とは何か?

IT業界では、フリーランスのエンジニア(個人事業主)が多く存在し、ITベンダーがフリーランスのエンジニアと「業務委託契約」を締結し、システムの開発や保守を行っているケースがあります。

ここで、業務委託と言っても、実際には大規模案件の開発でチームが組まれている場合や、セキュリティの問題から、エンジニアが委託元(発注元)で業務を行う、常駐しているケースもあります。

その際、個人情報を取り扱うシステムの開発や保守が業務内容となっていた場合、このフリーランスのエンジニアも上述の「個人情報の再委託先」に該当するのでしょうか?

その他にも、個人情報を保存している物理サーバを設置しているデータセンターも「個人情報の再委託先」に該当するのか?

もし、該当する場合、委託先や再委託先は、委託元(クライアント)に対して個人事業主であるフリーランスのエンジニアの氏名または屋号や、データセンター名を事前に報告または承認申請を行う事になります。

開発現場では、マンパワー不足の際、急遽、業務委託でエンジニアを確保するケースは珍しくなく、その度に委託元に事前報告または承認申請を行っていては、委託元が承認を下すプロセス次第では、とても追いつかない可能性があります。

また、SaaS型のサービスでは、データセンターについては通常、セキュリティの問題から非公開としているケースも多くあります。

経産省のガイドラインで示される「委託」「再委託」と、民法での「委託」(業務委託)との関係次第で影響範囲は大きいと言えるのではないでしょうか。

委託を受けると「個人情報取扱事業者」なのか?

一方、個人情報保護法は、5,000件以上の個人情報を保有する事業者を「個人情報取扱事業者」とし、個人情報保護法の対象としています。

それでは、個人情報の委託を受けると、委託先はこの「個人情報取扱事業者」に該当するのでしょうか?つまり、個人情報保護法の対象となるのか?です。

この疑問へは、消費者庁から見解が示されており、結論としては「個人情報取扱事業者に該当する」ことになります。

Q:委託業務として、委託元の個人情報データベース等を利用していますが、この場合も「個人情報取扱事業者」に該当しますか。

A:たとえ委託元の個人情報データベース等を加工・分析等をせずにそのまま利用する場合でも、委託された業務を行うために利用するのであれば「事業の用に供している」(Q2-19参照)ことになります。したがって、その個人情報データベース等を構成する個人情報によって識別される個人の数が5,000を超えていれば、原則として委託先も個人情報取扱事業者となります。
なお、この場合、委託先は委託された個人データについて委託元の監督を受ける(法第22条、Q4-8及び9も参照)ほか、自らも個人情報取扱事業者としての義務を負うことになります。

参照:個人情報保護法に関するよくある疑問と回答(消費者庁)

そこで、先述のフリーランスのエンジニア(個人事業主)も個人情報の委託先/再委託先に該当する場合、個人情報取扱事業者に該当するか?という疑問が浮かびます。

もちろん、委託、再委託に際しては、物理的安全処置などを取っていますが、個人情報取扱事業者に該当するとなると、実態と大きく乖離するケースも多いと考えられます。

 

あくまでも、法律の専門家ではない私個人による「仮に」の話の積み重ねですが、個人情報保護の理念と実態に大きな乖離が発生する可能性を危惧しています。個人情報保護を軽視する意図は全くありませんが、事業者への過度な負担はコスト増に繋がるため、経済的側面からのバランスも必要と考えます。

パブリックコメントを受けての経産省の次のアクションが非常に気になります。

#当内容は、上述の通り、法律の専門家ではない運営者個人の「仮に」の話である点にご留意ください。

#2014年11月20日時点での情報を元にしています。

関連記事:
サイバー攻撃保険と個人情報漏洩保険
A8でアフィリエイトを始める時は会社バレに注意
「ユーザー属性とインタレスト カテゴリに関するレポートの有効化」とプライバシーポリシー

スポンサード リンク

  関連記事

スマホ広告のnend(ネンド)
nend(ネンド)の成果報告 – eCPM公開

先日当サイトに導入してみたスマホスクロール型広告の「nend(ネンド)」ですが、 …

Google Analytics
ユーザー属性とインタレスト カテゴリに関するレポートを活用!

Google Analyticsの「ユーザー属性とインタレスト カテゴリに関する …

A8に登録されている色々なSEOサービス
色々なSEOサービス – A8広告主

SEO(Search Engine Optimization)は余りにも一般化し …

アクサダイレクト生命の対応に失望
アクサダイレクト生命の対応に失望、、、

昨日、アクサダイレクト生命の対応に感動という記事を書きましたが、今日は反転、失望 …

Google Analytics
Google AnalyticsでMacユーザのアクセス割合を調べる方法

Google AnalyticsでMac(PC / not iPhone)からの …

アクサダイレクト生命保険の対応に感動
アクサダイレクト生命の対応に感動

ANAの保険 de MILEでアクサダイレクト生命のキャンペーンが行われてお …

↑PageTop