「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の一部改正について
ずきんさんところにもあったので。
ガイドラインの修正方針はニュースリリースに書かれてるが、具体的にどう修正したか?というポイントは、
- 用語の修正(委託元、委託先→委託者、受託者)
- 法改正にともなう内容修正(不正競争防止法関連)
- 個人データの管理の委託に関する指針の詳細化
というところか。
特に一番最後が重くて、やり方はさまざまにしても、
個人情報の管理を委託するにしても管理を丸投げするな
というところにつきます。
あたりまえだけど、業務委託を行うということは、「受諾者のやることも委託者が責を負う」ということ。もちろん、責を負うケースってのは「あたりまえの管理をやってない場合」ですが。あたりまえの管理は基本的に
- 適切な事業者を選定しているか
- 適切な内容の契約を結んでいるか
- 業務内容について適宜確認を行っているか
というところ。「適宜確認」というのがまた面倒でw、開発と運用ではそのスパンが異なるので、一律同じというわけにはいかないんで注意を。いずれにしても、それらの事項に関連した監査は必要になってくるわな。
オレとかは、聞かれたら「必要以上の情報は持つな、預かるな、必要なくなったら消せ、その前に、本当にその情報が必要か確認しろ」という話をしてるわけですが、それが単にガイドラインという形でさらに上から出てきた、という印象。ある意味喜ばしくもある感じ。