第3回 ― 実践! 業務委託先の信頼度チェック― 信頼できる業務委託先を見分ける方法とは…
学校内部からの個人情報漏えい防止については、今や大半の学校で何らかの対策を講じているものと思います。では、業務委託先(以下、委託先)からの漏えい対策はどうでしょうか? 今回は、盲点となりやすい、業務委託時における個人情報保護、中でも要となる委託先の信頼度を計る際の視点がテーマです。
STEP1:委託先からの個人情報漏えい事情
全業種の視点から見ると、委託先からの個人情報漏えい事例は頻繁に報道されています。学校業界はどうでしょうか? 平成17年度4月から今年度6月末現在までに、少なくとも以下の6事例が発生しています。
- 事例1 郵送を委託した際に、卒業生や新入生約7,200名分の個人情報を記録したCD-ROMが行方不明となった。
- 事例2 施設出入管理システムの構築を委託した際に、受託業者社員が、学生約2,100名分の個人情報を記録したPCの盗難に遭った(PCは同 社員が同社の駐車場に置き忘れた)。
- 事例3 郵送を委託した際に、学生約70名分の個人情報を記録した採点簿が行方不明となった。
- 事例4 PCのハードディスクの修理を委託した際に、受託業者社員が持ち帰って修理している過程で、私有PCに接続したことによりウィルス感染し、児童・教職員・保護者・地域の関係者ら約240名分の個人情報がインターネット上に流出した。
- 事例5 入試システムの構築を委託した際に、受託業者社員が自宅で作業するために私有PCにサンプルデータ(学校より預託されたもの)を保存したところウィルス感染し、受験生及び保護者約1,000名分の個人情報がインターネット上に流出した。
- 事例6 宅配を委託した際に、入学予定者約850名分のレポートが行方不明となった。
模擬試験や各種検定の成績処理、パンフレットやアルバムの制作、ホームページの制作、清掃、研修や修学旅行等々、今や殆どの学校が何らかの業務を外部に委託しているのが現実です。
一旦委託先に個人情報を預託した後は、その安全管理は事実上委託先に委ねられることになります。しかし、預託後といえども生徒等の個人情報を保護する必要性は何ら変わらないと同時に、例え委託先で発生した事故であっても、委託元の責任(社会的)を完全に免れるのは困難なことも事実です。
STEP2:どのような点に着目すべきか?
では、委託先を選定するに際しどのような点に着目したらよいのでしょうか? これは、文部科学省ガイドライン第4(一)に言う「個人データの安全管理について十分な措置を講じている者を委託先として選定する基準を設けること。」を実践することに相当します。以下、具体的に検討してゆきます。
(1) 情報保護に関する第三者認証取得の有無
個人情報を含む情報保護に関する第三者認証は、当然ながら、第三者機関の審査を経て付与されます。すなわち、各種第三者認証(プライバシーマーク、TRUSTe、ISMS等)を取得している企業の場合、情報の取扱いにおける信頼性が高い、と判断できます。
(2) 情報セキュリティに関する対策の状況
委託候補先担当者に別表(「個人情報 業務委託先チェック項目」)の各項目をヒアリングすることでも、当該企業の情報管理に関する信頼性を推測することができます。
(3) 再委託の状況
安全と判断して業務委託した企業が、更に別の企業に当該業務を委託(再委託)していたらどうでしょうか?委託元としての学校は、あくまでも直接の委託先企業を評価して業務を発注している訳ですから、憂慮すべき事態と言えます。もちろん再委託自体は悪いことではありませんが、再委託先からの漏えい事例が散見されることも事実です。本項目は、委託先の具体的監督事項の一つとして文部科学省ガイドライン第四(二)(2)で学校に要求されている事項でもあり、業務委託契約締結前に必ず確認しておきたい事項です。
(4) 保険加入の有無
個人情報の保護に関する法律施行以降、各保険会社から、いわゆる「個人情報漏えい保険」が発売されています。同種の保険加入の有無も、企業としての個人情報保護に取り組む姿勢を窺い知ることができます。
以上の項目を、一覧形式にしたものが次の表です。業務委託を行う際には、業者ごと毎回、表中記載項目については最低限チェックしておきたいものです。
業務委託に関しては、委託先チェックの他、預託した情報の機密保持に関する誓約や、委託業務終了後の預託した情報の扱いについてなど、他にも重要なポイントがあります。また、通常個人情報を直接取扱うことの無い業務(例 校内の清掃)を委託する場合にも注意を払いたいものです(「厚生労働省ガイドラインQ&A」各論Q4-6参照)。これを機に、業務委託関連の事項について、今一度見直すことをお勧めします。
やってみよう第3回 以上
