最低限、委託契約に個人情報取扱事業者が定める内容を盛り込むとともに、それが遵守されていることをチェックする必要がある。

委託先での漏洩は委託元の責任となる
個人データの漏洩事件・事故の中には、業務委託先や再委託先（いわゆる孫受け会社）で起きているケースが少なくない。
個人情報保護法では、業務委託先への監督責任があるとされており、委託元が必要かつ適切な監督を行なっていない場合、委託先が漏洩事件・事故を起こしたとしても、委託元が責任を問われることになる。その監督責任は、孫受けである再委託先にも及ぶため、孫受けを許可するための手順や確認を怠っていると、孫受けでの事故に関するリスクを負うことになる。

委託先管理で求められる手順
リスクを少なくするには、業務を委託する際の手順を確立することが必要である。
まず、その業務委託が本当に必要かどうか十分に検討する。次に、委託先を慎重に選定することである。委託先が個人情報保護法の適用を受けない規模の会社だったとしても、個人情報取扱事業者と同等か、それ以上の安全管理を実行できる委託先を選ばなければならない。通常の外注先選定基準に加えて、少なくとも次の基準をクリアしていることが望ましいであろう。
・個人情報保護に関する責任者がいる
・秘密保持誓約書の提出や、教育の実施、従業者に対する適切な管理が行なわれている
・委託先の管理が適切に行なわれており、委託先からの再委託の状況について把握している
・建物や情報システムのセキュリティなどの安全対策が十分になされている
・個人データの管理体制や管理上のルールがある
・個人データが漏洩した場合など、緊急時の対応体制が十分に整備されている

契約締結時に明文化すべき事項
また、業務委託を行なうときは、委託先と適切な契約を結ばなければならない（単なる秘密保持契約では不十分である）。経済産業分野ガイドラインでも、必要かつ適切な監督に含まれることとして、「委託契約において委託者である個人情報取扱事業者が定める内容を盛り込む」ことを求めている。不十分な契約だと、委託先が事件・事故を起こした場合、委託元の責任が問われる可能性が極めて高くなる。
契約書には少なくとも、次のような項目について記載すべきである。
・委託先と委託元の責任範囲に関する事項
・個人データの安全管理に関する事項（個人データの漏洩防止や盗用禁止、契約範囲外での利用・加工・複写・複製の禁止、従業者への教育、さらに契約終了時の個人データの返却・消去・廃棄に関する事項等）
・再委託に関する事項（再委託の禁止や再委託を行なうにあたっての文書での報告義務等）
・業務委託先での個人データの取扱状況に関する委託元への報告の内容および頻度、契約内容が遵守されていることの確認、契約内容が遵守されていなかった場合の措置
・事件・事故が発生した場合の報告・連絡に関する事項
当然のことながら、業務委託先選定や契約にあたっては、発注元としての優位な立場を利用して、不当に委託先に責任を負わせたり、対策を求めたりしてはいけない。
また、契約後も定期的に委託先を確認することも重要である。

著者
當摩　祐子（株式会社シーピーデザインコンサルティング　コンサルタント、ISMS審査員、情報セキュリティアドミニストレーター）
２００６年９月末現在の法令等に基づいています。