事務対応ガイド4-8-9(3)において「少なくとも年1 回以上、原則として 実地検査により確認する」とあるが、当該実地検査はどのように行えば良いか。

個人情報の保護に関する法律についてのQ&A(行政機関等編)

3 個人情報等の取扱い
【3-1 安全管理措置】
Q3-1-4

事務対応ガイド4-8-9(3)において「少なくとも年1 回以上、原則として実地検査により確認する」とあるが、当該実地検査はどのように行えば良いか。

A3-1-4

委託先に対する適切な実地検査の方法や項目は、委託する業務や個人情報の内容等によって異なると考えられるところ、事務対応ガイド等の記載を参照の上、個別の事案ごとに法の規定に照らした委託に係る個人情報の安全管理のために必要かつ適切な措置を講ずる必要があります。

その上で、事務対応ガイド4-8「(別添)行政機関等の保有する個人情報の適切な管理のための措置に関する指針」は、行政機関等の保有する個人情報の安全管理のために必要かつ適切な措置として最小限のものを示すものであり、委託先に対する実地検査については、個人情報の管理の状況等について少なくとも年1 回以上の確認をすることとしています。当該実地検査は、1 つの委託業務につき年1 回以上行うことが必要です。

指針において実地検査を求めているのは、契約等により定められた管理が実際に行われているかを目視等により確認する必要があるとの趣旨であることから、委託先が遠隔地にある等の理由により、ある年において、現に委託先に赴くことが難しいような事情が生じた場合には、例えばテレビ通話や写真等で管理の現況を確認する方法によることも可能です。
(令和6 年3 月追加)

検索キーワード