いつもお世話になります。
オプティマ・ソリューションズの中康二です。

昨年12月に経済産業省が改正した「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」においては、ベネッセ事件での流出の状況を受けて、「委託先の監督」が改正の大きなテーマになっており、その中には「再委託先の監督」が含まれています。今回はこの点に絞って解説いたします。

従来、あくまでも再委託先の監督責任を一義的に負うのは委託先であり、再々委託先の監督責任を一義的に負うのは再委託先であるということから、再委託先、再々委託先への監督という考え方はあまり一般的ではありませんでしたし、ガイドラインでも「再委託の際の委託元への文書による報告」を求めている程度でした。

それが今回の改正では

・委託先が再委託する場合には、委託先から、事前報告または承認の申請を求める。
・委託先を通じて、または必要に応じて自らが、再委託先に対して定期的な監査を実施。
・再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする

となり、大幅に強化されました。

「再委託先を監督する」とはどういうことなのだろう。私も最初はピンと来ませんでした。昨年12月の経産省ガイドライン改正説明会の第二部で、IPAの方から「組織における内部不正防止ガイドライン」の説明を聞いていた時に、下記の絵が出てきて「あ、これだ」と思いました。


（画面はIPA「組織における内部不正防止ガイドライン」より）

すなわち、従来は最初の委託先だけは委託元が監督するものの、再委託先は委託先が監督するもの、再々委託先は再委託先が監督するものとなっていて、入れ子構造になっていたわけです。階層が深くなるほど、最初の委託元から遠い関係になり、チェックが甘くなるリスクが存在していた。

今後の方向性としては、委託元が委託先、再委託先、再々委託先に関しても監督することで、委託元がリーダーシップを発揮して自分の配下の事業者全てに目を光らせようというものです。

ここで注意すべき点が2つあります。
（１）今回の改正では、再委託先の監督はあくまでも「望ましい」ことの一つとされましたから、まだ事業者としての「義務」ではありません。ただし、今後の方向としてはこちらに進んでいくということです。
（２）とはいっても、中間の委託先にも再委託先、再々委託先を監督する必要があるわけですし、無計画に各社が自社の配下の事業者全てに監査を行おうとすると監査の回数がいたずらに増加し、非効率が発生する可能性があります。委託元と委託先ということは、すなわち取引関係にある訳ですし、共存共栄を目指す関係にあるはずですから、事前に調整を行うことで、効率よく、全体の安全性を担保する方向性を探る必要があります。

経済産業省からのリリース
http://www.meti.go.jp/press/2014/12/20141212002/20141212002.html
個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン（本文）
http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/1212guideline.pdf
IPA「組織における内部不正防止ガイドライン」第2版
http://www.ipa.go.jp/files/000041054.pdf

（私のコメント）
2015年1月現在、まだ議論が進んでいる途中の【個人情報保護法2015年改正】と、すでに確定済みの【経済産業省ガイドライン改正】の2つの話が同時に進行しています。本Blogでは、なるべく明確に分けて記事を構成するようにしていますが、読者の皆様もしっかりとどちらの話なのか区別して頂いて、混乱しないようにしてください。よろしくお願いいたします。

また、何か情報が入りましたら、皆様にシェアいたしますね。