2005年4月1日に全面施行された「個人情報の保護に関する法律(以下、「個人情報保護法「という)」に定められた「委託先の監督」は、その運用解釈が記述された省庁別ガイドライン、とくに経済産業分野を対象としたガイドラインにおいて「キモ」とされたのが「委託先に関する監査」でした。
少なくとも2008年か2009年頃には情報サービス産業において、委託先と締結する業務委託契約には「事前予告なし(いわゆる、抜き打ち)」の「立ち入り監査権」を明文化し契約を締結することが求められるようになりました。
ここで、この投稿をお読みになっている組織の代表者・経営者の方々に質問です。
皆様の組織には、委託先に関する監査報告書が存在していますか?
少なくとも新型コロナウイルス蔓延前に業務委託契約を締結している場合、立ち入り監査を実施した監査報告書が存在している筈です。
もしも存在していないのだとすれば、組織の「監査責任者」に理由を説明してもらいましょう。
もしかしたら、委託先に送付した「チェックリスト」の回答を示して「これが監査報告書です。」と監査責任者が説明するかも知れません。
でも、その「チェックリスト」はあくまでも委託先が記入したものであって、皆様の組織の「監査員が監査した結果」ではありません。
万が一、そのような事態が発生した際には、即座に「委託先の立ち入り監査を実施し、その結果を報告せよ。」と命令してみてください。
その時、監査責任者がどのように行動するのかつぶさに観察し、監査責任者として適任かどうか判断するのが組織の代表者・経営者の方々の責任だと考えます。
もしも業務委託契約書に監査に関する条文が存在しない、監査に関する項目はあるものの立ち入り監査権が明文化されていないのだとすれば、業務委託契約を締結する部署の責任者に直ちに業務委託契約書の内容を再検討させ再契約を命令しましょう。
過去に発生した個人情報の流出事故における当事者は「委託先」が殆どです。
しかしながら、全ての責任は「委託元が負う」というのが、個人情報保護法の特徴でもあります。
皆様の組織防衛のため、今一度、業務委託契約の内容を再確認するとともに、委託先の監査が適切に実施されているかどうか確認してみてください。
皆様の組織に監査体制が確立されていない、監査員となる人材の確保に困っている、監査員に求められる資格やスキルが今ひとつよくわからない等の状況が発生していましたら、是非、お気軽にご相談ください。