個人情報について、処理を委託している事業者の従業員宅で取り扱うことを了承して良いのか

 新たにテレワーク(リモートワーク)を導入しようとする事業者や、新型コロナウイルスの感染拡大を受けて急いでテレワークを導入したものの、導入について十分な検討をする時間がなかった事業者向けに、テレワークに伴って生じうる人事評価・労務・法務・情報セキュリティに関する問題点を簡単に記載致します。今回は、テレワーク導入にあたって、自社が管理する個人情報について、処理を委託している事業者の従業員宅で取り扱うことを了承して良いのかについてご紹介致します。

 

委託先の監督義務


 自社の管理する個人データの処理を第三者に委託するときは、委託先事業者においても自社の安全管理措置と同等の安全管理措置が講じられるよう、委託先事業者を監督する義務があります。(個人情報保護法第22条)。自社において、安全管理措置として、情報セキュリティの観点から個人データの事業所外への持ち出しを制御している場合では、個人の個人データの持ち出しを制限することが一般的です。

 

事業所外における安全管理措置


もっとも、委託先事業者も従業員に対して安全配慮義務を負っており、新型コロナウイルス感染症などから従業員を保護するためにテレワークを実施せざるを得ない場合も考えられ、不合理にこのような申し出を拒絶することは適切ではありません。

一方で、委託先事業者の従業員の自宅において個人情報の漏洩が発生した場合には、委託元による委託先い業者への安全管理措置に係る監督が適切になされていたかが厳しく評価されるため、何らの措置も講じずに持ち出しを許可することも適切ではありません。少なくとも、締結済みの個人情報の処理の委託にかかる契約で要求されている具体的な安全管理措置と同等の卒が講じられることを確認する必要があります。もし、契約書の文言上では、事業所外への持ち出しが一切許容されない書きっぷりになている場合は、下記のような追加的な安全管理措置の内容も含めて契約内容を修正する覚書などを締結することが必要です。

  1. 業務上必要最小限の個人データへのアクセスと持ち出しが許可される仕組みであること。
  2. 個人データへのアクセス、編集などが記録されること。
  3. 従業員の利用する端末と事業所の間の経路の安全性が確保されていること。
  4. 従業員の利用する端末上に個人データが保管されないこと、またはMDM等で従業員の利用する端末が紛失した場合のリモート消去などの措置が可能であること。

※追加的な安全管理措置

 

まとめ


 上記までにご紹介致しました通り、テレワークを実施については情報セキュリティについて頭を抱える方も多いのではないでしょうか。企業はテレワークの情報セキュリティへの対応が必要となります。テレワークの推進には、個人情報の管理について委託先事業者についても注意する必要があります。業務の情報セキュリティなどに気を付けた上でテレワークを推進していきましょう。

テレワーク 情報セキュリティ
最新情報をチェック!