委託先において個人データが漏えいしてしまった場合の対応はどのようにすればよいでしょうか。

「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」【各論】

＜安全管理措置、従業者の監督及び委託先の監督＞

Ｑ３－８

委託先において個人データが漏えいしてしまった場合の対応はどのようにすればよいでしょうか。

Ａ３－８

個人データの取扱いを委託している場合において、委託先で漏えい等事案が発生した場合には、委託先から速やかに報告を受け、医療・介護関係事業者としても、事業者内における漏えい等事案発生時の対応と同様に、迅速かつ適切に対応することが必要です。このためには、業務を委託する際に、委託先において漏えい等事案が発生した場合における委託先と医療・介護関係事業者との間の報告連絡体制を整備しておくことが必要です。

個人情報保護委員会への報告については、原則として委託元と委託先の双方が報告する義務を負います。この場合、委託元及び委託先の連名で報告することができます。なお、委託先は、個人情報保護法第２６条第１項ただし書及び個人情報保護法施行規則第９条に従って、報告義務を負っている委託元に当該事態が発生したことを通知した場合には、報告義務を免除されます。

なお、医療・介護関係事業者としては、当該漏えい等事案が発生した原因を調査した上で、必要に応じて委託先に対して改善を求める等の適切な措置を講ずることも必要です。