個人情報保護委員会は7月13日、地方公共団体から委託を受けた事業者でのUSBメモリ紛失事案を受け、個人データの適正な取扱いについて注意喚起を発表した。個人情報取扱事業者が個人データを取り扱う場合には、個人情報の保護に関する法律(平成15年法律第57号)に則り、個人情報を適正に取り扱う必要がある。
同会では、下記3点について、改めて留意するよう事業者に呼びかけている。
1.安全管理措置について(個人情報の保護に関する法律 第23条)
個人データをUSBメモリ等電子媒体において取り扱う場合は、盗難や紛失等を防止するために、施錠できるキャビネットまたは書庫等の定められた場所で適切な管理を行う必要がある。
個人データをUSBメモリ等電子媒体において持ち運ぶ場合も、業務上必要な場所に限るなど適切な管理を行うとともに、容易に個人データが判明しないよう、暗号化やパスワードによる保護等を行った上で保存し、施錠できる搬送容器を利用するなどの安全な方策を講じた上で、慎重に取り扱う必要がある。
安全管理措置を定めた社内規程等に従った運用の状況を確認できるよう、電子媒体の持ち運びの状況等を記録することも重要である(個人情報保護法ガイドライン(通則編)10-3、10-5)。
2.従業者の監督について(個人情報の保護に関する法律 第24条)
個人情報取扱事業者は、その従業者に個人データを取り扱わせる際は、当該個人データの安全管理が図られるよう、上記安全管理措置を定めた社内規程等に従って業務を行っていることを確認するなど、必要かつ適切な監督を行う必要がある(個人情報保護法ガイドライン(通則編)3-4-3)。
3.委託先の監督について(個人情報の保護に関する法律 第25条)
個人情報取扱事業者は、個人データの取扱いの全部または一部を委託する場合は、個人データの安全管理が図られるよう、委託を受けた者への必要かつ適切な監督を行う必要がある。
また、委託先が再委託を行う場合は、委託を行う場合と同様に、委託元は委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受けまたは承認を行うこと、及び委託先を通じて或いは必要に応じて自らが、定期的に監査を実施することで、委託先が再委託先に対して監督を適切に果たすこと、及び再委託先が安全管理措置を講ずることを十分に確認することが望ましい(個人情報保護法ガイドライン(通則編)3-4-4)。
