大手電気通信事業者に行政指導 個人データの取扱いの委託には要注意
利用者の個人情報が中国の関連会社から閲覧できた問題について、個人情報保護委員会は、大手電気通信事業者に対し、令和3年3月 19 日に個人情報の保護に関する法律に基づく報告徴収を行うとともに、同年3月 31 日より立入検査を実施しています。
立入検査は継続中ですが、一定の確認が終了したということで、その行政上の対応が公表されました(令和3年4月23日公表)。具体的には、次のような指導が行われたということです。
●個人データの取扱いを委託する場合には、個人情報の保護に関する法律に基づき委託先に対する必要かつ適切な監督を行う義務があるところ、同法に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、例えば次のような手法により必要かつ適切な監督を行うこと。
・委託先(再委託先を含む。以下同じ。)のシステム開発者に個人データへのアクセス権限を付与する場合には、その必要性及び権限付与の範囲を組織的に検討した上、必要な技術的安全管理措置を講ずること。
・委託先のシステム開発者に個人データへのアクセス権限を付与する場合には、不正閲覧等を防止するため、アクセスしたデータの適切な検証を可能とするログの保存・分析など組織的安全管理措置を検討した上、必要な措置を講ずること。
・委託先における個人データの取扱状況を把握するため、定期的に監査を行うなど、委託契約の実施状況を調査した上で、委託内容等の見直しの検討を含め、適切に評価する措置を講ずること。 など
誰もが利用しているアプリの運営会社が行政指導を受けました。これを他人事とは思わずに、個人データの取扱いを委託・再委託している場合には、委託先等における安全管理措置が適切か、改めて確認するようにしましょう。
詳しくは、こちらをご覧ください。