個人情報保護法の改正対応がラストスパートに入ってきました。

プラポリを共有するグループ会社もあるので、去年のうちに個人情報の棚卸しのお願いと社内規程やプラポリのたたき台を作っておいたところまではよかったのですが、残り時間が思いのほか少ないことに気づいて焦っています。もう「えいやー」です。

できれば3週間前に納品

当社は大概のことを他人に頼むことで成り立っていて、ウェブサイトもしかり。プラポリを新しいバージョンに差し替えるにも、委託先の協力がないとできません。そして、委託先はただでさえこの時期忙しいのに、今年は各社からプラポリ改定依頼等が殺到しているようで、「4月1日に反映させるなら、できれば3週間前に原稿がほしい」とおっしゃってきました。

まだ実態把握を不十分なのに、当社、大丈夫でしょうか。。本来は、重要会議承認→委託先提出→本番反映ですが、重要会議承認と委託先提出の順番は逆転することがほぼ確実です。さらに、4月1日はある程度見切り発車で行くしかないかと、やや諦めも*1。

当社のように、自社サイト更新や英訳を外部委託されている場合は、スケジュールに十分ご注意ください。他人のことを言えたものではありませんが。

安全管理措置をどのように書くか

今回の改正では、色々な「困った」があるのですが、中でも手を焼いているのが安全管理措置の把握です。部署が数十もあれば保有個人データもあちこちに点在しており、その種類も様々なので、講じている措置もバラバラ。たとえば、マイナンバーや顧客情報を扱う部署や委託先は、入退室が厳重に管理された環境下で業務を行う一方、ログインさえすればPWなしに閲覧できるものも多数あります。

会社（グループ会社）全体で講じている安全管理措置となると、共通部分を抜き出すことになりますが、それはどこなのか。すでに改正法対応を完了した企業のプラポリを見ていると、通則ガイドラインをそのまま引き写したかのような超シンプル記載のところもあるので、プラポリ上は何か書いておけばOKということですかね。

クラウドサーバの所在国も把握しなければならない

安全管理措置の中でもハードルが高いのが、外的環境の把握です。クラウドサービスのように、サービス提供者が保存される情報にタッチしない場合には、当該サービス提供者は委託先ではないとこれまで整理されており、今後もそれは変わりません。
しかし、その場合には、自社が当該サーバ内で個人情報を取り扱っているものとして対応する＝サーバ所在国が外国なら外的環境を把握した上で必要かつ適切な措置を講じる必要があることがパブコメ結果等で明らかになっています。

「普通の個人情報取扱事業者にここまでできるのか？」と心配される弁護士の声もありますが、個人情報保護委員会としてはやりなさいということなので、できる範囲でやるしかない。

プラポリを共用するグループ会社に個人情報を置いていそうなクラウドサービスを洗い出してもらい、法務で保有個人データを置いていそうなものをピックアップしながらシステム部門と協力して調査しています。みんな意識せずに使っているから、Microsoft365とか抜けてる・・・*2

委託先が使用するサーバの所在国まで把握しなければならない

自社分だけでもかなり手間取る作業ですが、ふと気になったのが、「これ、委託先分もやるの？」ということです。
外国にある第三者への委託ではなく、国内の第三者への委託で、当該委託先がクラウドサービスを使っている場合（＝再委託ではない）、委託元が当該サービス事業者やサーバ所在国まで把握しなければならないのか。

パブコメ結果やガイドライン、QAでは今ひとつよくわからず、弁護士にお尋ねしてみたところ、「委託先分も把握が必要というのが個人情報保護委員会の考え」とのことでした。

たしかに、自社で保有する場合にはどこにあるかを正確に把握しないといけないのに、委託先の場合は委託先自身を監督しておけば、どこに保存しているかまではみなくていいというのはバランスを欠くような気もします。ただ、監督には定期的なチェックを含むので、「どこに保存しているの？」と聞いてすぐに回答が返ってくる体制になっていればそこまでしなくていいようにも思えます。

委託先からの情報収集が必要というのが事実なら、広く取扱いの委託を受ける企業（運送事業者など）は、問い合わせが殺到して業務に支障をきたすのではと心配になる…*3