【個人情報】尼崎市のUSBメモリ紛失事件から学ぶ個人情報保護

先日、尼崎市の再々委託先業者が、尼崎市全市民の個人情報が保存されたUSBメモリを紛失したという事件がありました。
顧客情報や従業員情報を取り扱う中小企業にとっても他人ごとではありません。
個人情報保護法では、個人情報のデータベースを構成する「個人データ」に多くの規制が及びます。
企業は、個人データを第三者に提供する場合には、原則として、あらかじめ本人の同意を得る必要があります（個人情報保護法27条1項）。
他方で、企業が個人データの取り扱いを第三者に委託する場合には、本人の同意は不要ですが、委託先に対する「必要かつ適切な監督」を行う必要があります（個人情報保護法25条）。
「必要かつ適切な監督」の内容は、次の３つが必要と言われています（個人情報保護に関するガイドライン通則編）
　　　①適切な委託先の選定
　　　②委託契約の締結
　　　③委託先における個人データ取扱状況の把握
また、多くの委託契約の契約書においては、①適切な委託先の選定、③委託先における個人データ取扱状況の把握を実効的なものにするため、「再委託禁止」として、次のような条項を入れることが多いです。
「第●条（再委託禁止）：受託者は、委託者の事前の書面による承諾なく、個別業務の全部又は一部を第三者に委託してはならない。」
報道によれば、尼崎市も一次委託先に対する契約書には、上記の趣旨の再委託禁止の条項を入れていたと報じられています。
他方で、尼崎市は、再々委託されていることを知らなかったとも報じられており、承諾のない再々委託だった可能性もあります。
しかし、個人情報取扱事業者は、③委託先における個人データ取扱状況を把握する義務があるので、責任を免れる理由にはならないでしょう。
中小企業においても、個人情報を取り扱わずに、事業をすることは不可能です。
顧客情報、従業員情報を取り扱うことは必須ですし、それらを自社の内部だけでとどまらせることも不可能です。
尼崎市の事件を他山の石とするべく、いちど、契約書のひな形を点検したり、自社のプライバシーポリシーや個人情報取扱規程を見直してはいかがでしょうか。