個人情報保護法では、個人情報データの安全管理や、取扱者、データ処理の委託先への監督義務について定めています。このため、アルバイトや外部委託先が行った個人情報漏えいに関しても、監督責任が生じます。こうしたリスクから企業を守るためには、プライバシーポリシーや個人情報管理規定で企業の組織体制を整備するとともに、人的管理を行うことが必要です。

具体的には、従業員や契約社員、アルバイトそれぞれと機密保持に関する契約を結びます。個人情報を取り扱う際の作業手順や、社外や在宅勤務時における個人情報の取り扱いに関しても基準を設ける必要があるでしょう。PCやネットワークを使用せずに物理的な方法で個人情報を盗むソーシャルエンジニアリング (注) 対策として、従業員のセキュリティ意識を高める教育も必要です。また、個人情報保護法違反や個人情報の漏えい事件が起きた際に、どのように対応、対策するかといった、マニュアル作りも大切です。

外部委託に関しては、過去の実績や、個人情報保護体制の有無に基づき外部委託先を選定し、委託先との契約では、責任範囲を明確にするとともに、委託業務終了後の処置についても定めておく必要があります。

• 注) ソーシャルエンジニアリングとは、電話でパスワードを聞き出したり、パソコンに貼ってある付箋を見たり、パスワードの入力時に肩越しに盗み見するなど、コンピュータを使用せずにパスワードなどを盗むこと。

ワンポイント

プライバシーポリシーや個人情報管理規定の策定だけでなく、社内教育も大切

(2006年05月02日掲載)