コラム

■"パートナー"の選択に際して

"専門家"ないしは"パートナー"によってなされる提案が具体的かつ十分であるか、有効かつ有益なものであるか、スケジュールや作業項目が適切に示されて いるか等々を精査・吟味することは、事業者として当然でしょう。しかし、果たして"専門家"や"パートナー"としての"実"を備えている相手かを見極めることは、容易ではないのかもしれません。

しかし、「ガイドライン（事業者編）」（第3回〔上〕を参照）にも明示されている――前掲の特定個人情報保護委員会事務局の解説頁の引用中でも明記される――「必要かつ適切な措置」に基づく監督義務は、あくまで事業者自身にあります。漏えい等の場合の責任も、第一次的には事業者自らが負います。また何よりも、第3回〔下〕で触れましたが、故意の場合は無論、仮に不注意でもいったん漏えいが起これば （潜在的な可能性をも含めて）決して「本人」は救われません。このことは漏えいの主体が個人であろうが、事業者であろうが、委託先・再委託先・再々委託先で あろうが同じことです。

そうすると、事業者自らの「必要かつ適切な措置」を担保できる種々の項目およびその具体的な内容を、"専門家" "パートナー"との契約において明記しておくことが不可欠になります。しかしながら、日常的な監督義務の実践は、あくまで"アクション"であるはずです。事業者自らが継続的にこれを行うためには、何よりも"ルールづくりで満足しない"、そして"専門家"や"パートナー"への"お任せで、自らが対応した気にならない"ことが肝要です。文書（組織内での"ルール"や契約書など）も確かに大切なのですが、何よりも自らの継続的な実践こそが、リスクを回避する最大の防御になるはずです。

一心同体たり得る"専門家""パートナー"選びのひとつの目安としては、個人情報の場合にも同じことが言えますが、プライバシーマーク（※1）および ISMS認証（※2）の取得を当初からの選考要件としておくことが一案です。もっとも、これらを取得さえしていれば安心・安全な"専門家""パートナー"であるとも言えませんから、あくまでもひとつの目安として、です。それと同時に、事業者自らもまた、これらの取得に積極的に臨むことが望ましいでしょう。

• （※1）
  2006年に改定された日本工業規格JISQ15001「個人情報保護マネジメントシステム―要求事項」に適合する個人情報への適切な保護措置を講ずる体制を整備する事業者等に対して認定・付与されるもの。一般財団法人日本情報経済社会推進協会（旧財団法人日本情報処理開発協会）（JIPDEC）ならびにJIPDECが認定した指定機関が認定・付与の業務を担う。なお、Pマークの付与認定を受けた事業者は、2014年7月現在で13,000超。申請を経て認定を受けた事業者等は、その事業活動に関し、 プライバシーマーク（Ｐマーク）を使用することができるようになる。事業者等にとってみると、自らが個人情報の適正な利用ないし安全な取り扱いを行っていることを社会にアピールできることになり、他方、消費者等にとってみれば、事業者等が個人情報に対する意識をどの程度有しているか、信頼をはかるためのひとつの目安となる点で利点を有する。
  詳しくはJIPDECのプライバシーマーク（Pマーク）のウエブサイトを参照（2015年10月にアクセス可能）。
• （※2）
  ISMS（Information Security Management System）は「情報セキュリティマネジメントシステム」「情報セキュリティ管理システム」すなわち、国際標準規格であるISO/IEC27001およ びその国内規格としての日本工業規格であるJIS Q 27001を指す。ISMS認証は組織内での自己診断を第一段階とするが、さらに外部・第三者機関からの認証を受けなければならない。ここでISMS適合 性評価制度とは、「組織が構築したISMSがJIS Q 27001（ISO/IEC 27001）に適合しているか審査し登録する『認証機関』、審査員の資格を付与する『要員認証機関』、およびこれら各機関がその業務を行う能力を備えているかをみる「認定機関」からなる総合的な仕組みである」。
  引用および認証機関一覧も含め、詳しくは、JIPDECのISMS適合性評価制度のウェブサイトを参照（2015年10月にアクセス可能）。