個人情報の保護に関する法律についてのQ&A(行政機関等編)
- 3 個人情報等の取扱い
【3-1 安全管理措置】 - Q3-1-1
行政機関等から個人情報取扱事業者に対して、保有個人情報の取扱いの委託に伴う提供を行う場合に、委託先での個人情報の取扱いに関して行政機関等として留意すべき点は何か。
- A3-1-1
保有個人情報の取扱いの委託に伴う提供を受けた委託先は、委託された業務の範囲内でのみ当該個人情報を取り扱わなければなりません。そのため、提供を受けた個人情報について、委託の内容と関係のない自社の営業活動等のために利用する、委託の内容と関係のない匿名加工情報の作成を行った上で第三者に提供する、委託された業務の範囲外で統計情報に加工した上で作成された統計情報を自社のために用いる等の利用・提供は、委託された業務の範囲外での個人情報の取扱いであり、許容されません。
委託元の行政機関等としては、委託先において、委託された業務の範囲外での個人情報の取扱いが行われないよう、行政機関等における安全管理措置の内容を踏まえた委託先選定基準の整備及び当該基準に従った適切な委託先の選定を行い、委託先における個人情報の取扱いの内容を契約条項等で確認の上、適切な監督を行う必要があります(法第66条第1 項、事務対応ガイド4-3-1-1(3)及び4-8-9 参照)。
(令和6 年3 月追加)