個人情報管理体制の見直し

　近年、インターネットが普及したこともあり、個人情報に対する管理制度が世界的に見直されている。各国の制度が変わっていく中で、国内だけでなく、国際的に個人情報のやり取りをする際にも注意が必要だ。

　いわゆるベネッセ事件の判決において、個人情報の管理につき漏洩を回避できなかった点を監督にかかる注意義務違反とした。つまり、実際に個人情報を管理している受託者だけでなく、委託者にも一般に理解されている注意義務よりも相当に高いものが要求されているのである。
　このことから、委託先の監督について現在よりも細かいレベルで運用面まで監督することを検討する必要がある。
　例えば、以下の方法が挙げられる。

　・個人情報保護法のガイドラインを元にチェックリストを作成し記入させる
　・報告義務・監査条項を委託契約に盛り込む
　・実際に監査を実施し取り扱い状況を把握する

　上記のほか、適宜話題になっている漏洩原因について対応しているかどうかなどを確認することも重要になってくるであろう。

2

広域にわたる個人情報の処理

　個人情報の保護の対象は広域にわたる。そこで、情報管理を誰がやっても同じ判断でできるように、具体的な個人情報ごとに、本人に対して生じるリスクを見積もるリストなどを作成する事が必要である。
　また、そのリスクのランクによってどのような安全管理措置を講じるかをリストにしておくとわかりやすい（ENISA、IPAのハンドブックなどを参照すると良い）。
　つまり、情報の重要度と脅威・被害の発生可能性の２軸でリスクを評価し、安全管理措置を講じなければならないということだ。
　このような新しい手法を導入する事が難しい場合は、情報管理規程の仕組みに個人情報を乗せるという手法をとってもいいかもしれない。
　例えば情報管理規程が厳秘と秘に分類されているのであれば、個人情報もその分類に従い顧客情報は厳秘、取引先の情報は秘にするなどの措置を講じる事ができる。

3

グローバルなやりとり

　外国法人に個人データを提供する場合には、原則本人の同意が必要となってくるが、受領する法人が個人情報保護委員会の定める基準に適合している場合、または個人情報取扱事業者の義務を遵守する旨の契約を締結することにより本人の同意は不要となってくる。
　つまり、外国法人に個人データを提供する場合には安全管理措置を遵守させる契約を結ぶ事が必要になってくるのだ。
　では逆に日本法人が海外から個人データの提供を受ける場合はどうなるのだろうか。

＜EU加盟国から個人データの提供を受ける場合＞

　・移転先にもGDPRと同等の取り扱い・管理が要求される
　・移転先が処理者（委託先）である場合
　　→GDPRが要求する取り扱い・管理を定めたDPAという契約を締結する必要がある

＜中国・ベトナム＞

　・中国･･･個人データの新たな法律が施行されれば移転先の安全評価が要求される
　・ベトナム･･･中国と同様の制度がある

＜シンガポール・マレーシア＞

　・移転先に国内法を遵守させる事が国外移転の条件

　このように、現代においてグローバルに個人データをやりとりするためには、各国に求められている管理体制を整えることが必須事項になってくるだろう。

個人情報管理体制の見直し

目次

1

委託者に求められる注意義務

2

広域にわたる個人情報の処理

3

グローバルなやりとり

個人情報管理体制の見直し

目次

1 委託者に求められる注意義務

2 広域にわたる個人情報の処理

3 グローバルなやりとり

1

委託者に求められる注意義務

2

広域にわたる個人情報の処理

3

グローバルなやりとり