委託先管理の投資対効果

　委託先に預けていた個人情報が持ち出され、インターネット通販詐欺に利用されるなどの事件が発生している。この事件は、委託元が目的の達成に必要と考えられる以上の情報を委託先に預けていたこと、かつ、委託先における適切かつ十分な従業者の管理・監督が行われていなかったことが主たる原因と言われている。こういった状況下、平成19年3月には「個人情報の委託等に関する注意喚起」が財団法人日本情報処理開発協会から発信され、かつ、平成20年1月には、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が改正された。改正のポイントは、【1】委託先に対する必要のない個人データの提供を禁止したこと、並びに【2】委託元による委託先に対する「必要かつ適切な監督」の内容を明確化したことである。

　今や委託先の管理は委託元の義務となっている。しかし、注意喚起やガイドラインが出てもなお、委託先からの情報漏えいは収束する傾向にない。今回は、委託先管理の投資対効果について考察してみたい。

　委託先管理の施策には、次のようなものがある。

a.十分な安全管理措置が講じられている委託先の選定基準の確立と選定
b.委託先との必要な契約の締結
c.委託先への目的の達成に必要な範囲に限定した情報の提供
d.委託先での情報の取扱状況の把握
など。

　また、委託先との必要な契約事項には、次のようなものがある。

1.委託元と委託先それぞれの責任と体制に関する事項
2.再委託に関する事項
3.情報の安全対策（組織的、人的、物理的、技術的、総合的）に関する事項
4.委託先による従業者の教育に関する事項
5.委託先による定期的・継続的点検と改善措置の実施に関する事項
6.委託先による運用報告の提出に関する事項
7.委託元による契約内容の遵守状況の確認方法に関する事項
8.契約内容が遵守されなかった場合の措置
9.事件・事故が発生した場合の報告、連絡及び対応に関する事項
など。

時間と費用が必要

　委託元が目的の達成に必要と考えられる以上の情報を委託先に提供してはならないとなると、場合にもよるが、多くの場合、データを加工して渡すということになる。加工に時間と費用が必要になる。この点が乗り越えなければならない最初の壁である。企業における利益追求が激化しているなか、そう簡単にはいかないのが現実であろう。また、費用が確保できたとしても、この加工作業を委託するようでは、堂々巡りである。

費用を増やさず委託したい委託元と
利益率の高い契約をしたい委託先

　もちろん、ガイドラインにおいて、委託先への個人情報の提供をすべて禁止しているわけではない。必要があり提供する場合は、監督すればよいことになっている。しかし、監督するには、何を監督するのか、まず、役務を明確にしなければならない。この点も壁になる。役務を増やすと委託費も増えることになる。もし、委託元の優位な立場を利用し、費用を支払わず役務を増やすようなことになると、下請法に抵触することにもなりかねない。困った話である。費用を増やさず委託したい委託元と、利益率の高い契約をしたい委託先、あまり踏み込みたくない気持ちも理解できる。

委託元から預かった情報の管理責任はどこにあるか

　また、責任と体制にも壁がある。企業における最終的な責任は経営陣であることは言うまでもない。しかし、これは自社が所有権を有する情報と考えられる傾向があり、所有権を有しない情報、つまり、委託元から預かった情報は含まない場合が多い。実際、委託元から預かった情報については、特別な要求がない限り、委託先の経営陣ではなく、受託した個別部門の担当者に管理を任せているケースがほとんどであろう。筆者自身の経験では、この点が委託に関する最大の壁である。委託元は委託先に管理を任せたと言う、一方、委託先は自社が所有権を有しないので自社でのマネジメントの適用範囲外であると言う。委託元から預かった情報を委託先の経営陣が直接的に管理すべきかどうか意見が分かれるところである。

委託元による専門家の育成または契約と
リスクマネジメントができる体制づくり

　結局のところ、委託元が組織を超えて管理するしかない。法規制もその方向にあると解釈できる。とすると、これまでのような委託先への丸投げはできなくなってくる。この状況に対応するためには、まず、委託元が直接管理できる体制、つまり、リスクマネジメントができる体制をつくらなければならない。投資対効果の視点で見れば、この体制が有効に機能するか否かが、鍵を握ることになるであろう。この体制なくして、どんな施策を講じても投資対効果は期待できない。委託元が専門家を育成または契約し、体制を確立したうえで施策を講じていくことをおすすめする。

《次回へつづく》

《撮影：郡川正次》