経営層の皆様は、皆様の組織のWebサイトの安全性をしっかりと確認されていますか?
担当部署に任せきりになっていせんか?
数年ほど前、ある小規模事業者の個人情報保護対策を見直しに従事させていただいた際の例をご紹介します。
その事業者の代表の方はあるコミュニティに所属しておられ。多方面の個人事業主・小規模事業者の経営層の方とお知り合いでした。
その内の一人の方が「Webデザインを生業」にしておられ、その方に自組織のWebサイト構築をお願いしておられました。
委託先の監督の観点からどのような契約を締結されているのか確認するため。契約書を拝見させていただくとともに、そのWebデザイナーの方と直接お会いして契約書の内容を確認していましたところ、とんでもない条項を見つけてしまったのです。
まず、前提としてWebサイトに求められる安全性に関する「キーワード」が実は2つ存在するのですが、いずれのキーワードも「知らない」「どのような対策なのかわからない」との回答。
そして、業務委託契約の「再委託は可能」であり、再委託先に関して委託元に通知・連絡する必要はない、という内容でした。
どうもWebサイトに求められる安全対策は別の事業者に委託していると推測できたのですが、いくら確認しても納得のいく説明は得られませんでした。
個人情報保護法における委託元としての委託先選定責任・管理監督責任を考えると、到底、Webサイト構築をお願いできるレベルには達していない、と判断せざるを得ない状況でしたので、内容を同席されていた代表にわかりやすく説明し、契約を見直したほうが良い旨を提案しましたが、結局、所属しておられるコミュニティにおける「ご縁を優先」されました。
さて、皆様の組織のWebサイトはいかがでしょう?
必要とされる適切な安全対策が実装されていますか?
Webサイト構築を委託しておられる場合、再委託に関する条項はどうなっていますか?
もし、皆様の組織のWebサイトの安全性についてご不安な点が有りましたら、お気軽にご相談いただければと思います。