個人情報保護法
安全管理措置・従業者及び委託先の監督
1.安全管理措置
第20条
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
第20条
「必要かつ適切な措置」として、個人情報取扱事業者は、①基本方針の策定、②個人データの取扱いに係る規律の整備、③組織的安全管理措置、④人的安全管理措置、⑤物理的安全管理措置、⑥技術的安全管理措置を講じなければなりません。
2.従業者及び委託先の監督
第21条
個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
第22条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
第21条
「従業者」には、雇用関係にある従業員のみならず、取締役、監査役、執行役、理事、監事、派遣社員等も含まれます。
「必要かつ適切な監督」としては、事業規模や、個人データの取り扱い状況等に起因するリスクに応じ、従業者に対する教育、研修等の内容及び頻度を充実させる、といった措置を講じることが望ましいとされています。
第22条
「委託を受けた者に対する必要かつ適切な監督」とは、法第20条により自ら講ずべき安全管理措置と同等の措置を講じられるよう、監督することをいいます。
具体的には、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取り扱い状況の把握(定期的な監査を行う等)をする必要があります。