「健康保険組合等における個人情報の適切 な取扱いのためのガイダンス」を補完する事例集(Q&A)【総論(「用語の定義」等関係)】
- <データ内容の正確性の確保 第 22 条、漏えい等の報告等 第26 条関係>
- 問203
委託先において漏えい等が発生した場合の対応はどのようにすればよいでしょうか。
- (回答)
健保組合が個人データの取扱いを委託している場合において、委託先において漏えい等が発生した場合には、委託先から速やかに報告を受け、健保組合としても、事業者内における漏えい等事案の発生時の対応と同様に、迅速かつ適切に対応する必要があります。(「問202」参照)このため、個人データの取扱いを委託する際には、委託先において漏えい等事案が発生した場合における委託先と健保組合との間の報告連絡体制を整備しておくことが必要です。
また、健保組合としては、当該事故が発生した原因を調査した上で、必要に応じて委託先に対して、改善を求める等の適切な措置を講ずることも必要です。
なお、委託先において、規則第7条各号に該当する漏えい等事案が発生した場合、原則として、健保組合(委託元)と委託先の双方が、漏えい等報告及び本人への通知義務を負います。ただし、規則第9条に基づき、委託先が委託元に通知したときは、委託先におけるこれらの義務は免除されます(委託元である健保組合は義務を免除されないため、ご留意ください。)。