情報システム,ソフトウェア,ネットビジネスなどITに関する法律問題を鮫島正洋が解決!
個人情報が流出した
ケース
|
(登場人物)
|
このケースのような場合,CさんはB社に対して損害賠償等の責任追及ができるほか,A社も法的な責任を負わなければならないのでしょうか。
個人情報保護法第22条には,個人情報を取り扱う事業者が,個人データの取り扱いを外部に委託する場合は,対象となる個人データの安全管理が図られるよう,当該業者に対して必要かつ適切な管理をしなければならないと定められています。
つまり,今回の流出の直接的な原因がB社のミスによるものであったとしても,A社が「必要かつ適切な管理」をしていなかったと判断された場合には,この規定に違反していたことを根拠に,責任を負わなければならない可能性があります。
では,「必要かつ適切な管理」とは具体的にどのようなことを行えばよいのでしょうか。
まず,委託先を適切に選定することが必要になります。
選定の際には,委託先候補に対し,個人情報管理に対する取り組み状況や,管理体制,プライバシーマーク等の取得の有無などの情報を提供させ,安易に価格が安いというだけの理由で選定しないように注意しなければなりません。
そして,委託先との業務委託契約を締結する際には,最低でも①委託先と委託元との責任範囲,②データ漏えい・盗用禁止,③目的範囲外の加工・利用・複写禁止,④契約終了後のデータ破棄・返還,⑤再委託に関する事項,⑥管理体制に関する監査・監督,⑦事故発生時の報告・連絡に関する事項などを定めておくべきでしょう。
これらの詳細については,経済産業省のガイドライン(以下「ガイドライン」といいます。)(注1)が参考になります。
重要なのは,単に契約条項を定めることだけではなく,適切に運用することです。委託元の内部で,委託先の評価を定期的に行うとともに,そのための情報収集として,委託先の管理体制をチェックすることなどが必要になるでしょう。
参考までに,「必要かつ適切な監督を行っていない場合」としてガイドラインに例示されているものを記載します。
| 【事例1】 | 個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した場合で,委託先が個人データを漏えいした場合 |
| 【事例2】 | 個人データの取扱いに関して定めた安全管理措置の内容を委託先に指示せず,結果,委託先が個人データを漏えいした場合 |
| 【事例3】 | 再委託の条件に関する指示を委託先に行わず,かつ委託先の個人データの取扱状況の確認を怠り,委託先が個人データの処理を再委託し,結果,再委託先が個人データを漏えいした場合 |
| 【事例4】 | 契約の中に,委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず,委託先に対して再委託に関する報告を求めるなどの必要な措置を行わなかった結果,委託元の認知しない再委託が行われ,その再委託先が個人データを漏えいした場合 |
このような漏えい事故が発生した場合には,たとえ委託先のミスがあったとしても,委託元(事業者)としての責任を免れることは困難になると思われます。
ポイント 専門業者に委託さえすれば安心というわけではなく,委託先の管理体制を把握し,適切に管理・監督しなければならない。
| (注1) | 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成20年2月) 経済産業省 |
| http://www.meti.go.jp/policy/it_policy/privacy/080229kaisei-guideline.pdf |
インターネットに関する法律相談
USLFには理系出身で、かつ企業の技術畑で勤務した経験を持つ弁護士が対応致します。単なる法的見地のみならず、ビジネス的見地を融合して紛争解決に対する最適解をご提案します。
「著作権が不正に使用されている」
「ウェブサイトの利用規約を作成したい」
「利用規約に違反するユーザがいて困っている」
「情報漏えい問題で慰謝料請求を受けている」
といったご相談に対応可能です。
お気軽にご相談下さい。
