名刺管理、給与計算、システム保守、発送代行——個人情報の取り扱いを外部に委託する場面は、中小企業でも数多くあります。このとき法律で求められるのが「委託先の管理」です。このページでは、委託先管理の基本と実務のポイントを分かりやすく整理します。
このページの内容
個人情報保護法では、個人データの取り扱いを外部に委託する場合、委託元が委託先を適切に監督する義務を負うと定められています。つまり、「外部に任せたから自社は無関係」とはなりません。委託先で漏えいが起きれば、委託元である自社の責任も問われます。だからこそ、委託先をきちんと選び、管理することが欠かせません。
委託先管理は、次の3つのステップで考えると整理しやすくなります。
| ステップ | 内容 |
|---|---|
| ①選定 | 個人情報を安全に扱える委託先かを事前に確認する(体制・実績・認証の有無など) |
| ②契約 | 取り扱いのルール・安全管理・責任の所在を契約(覚書)で明確にする |
| ③監督 | 委託後も、適切に管理されているかを定期的に確認する |
※委託先が第三者認証を取得しているかは、選定時の有力な判断材料になります。
委託先が、さらに別の会社に業務を再委託することがあります。この「再委託」が無断で行われると、個人情報の流れが見えなくなり、リスクが高まります。契約の段階で、再委託の可否や、再委託する場合の条件(事前承認・同等の管理など)を取り決めておくことが重要です。実際の漏えいの原因は「中小企業の個人情報漏えい事例と対策」もご覧ください。
委託先管理は「する側」だけの話ではありません。あなたの会社が委託を受ける立場なら、「きちんと個人情報を管理できる会社だ」と示せることが受注力に直結します。その有力な手段が、JAPHICマークなどの第三者認証です。認証があれば、委託元の選定・監督において安心材料となり、選ばれる理由になります。BISFULLは、委託先として信頼される体制づくりを支援します。基礎は「JAPHICマークとは」、法令の背景は「個人情報保護法の改正と中小企業の対応」をご覧ください。