月刊コールセンタージャパン

2024年2月号＜リスクの芽を摘む！　個人情報管理のイロハ＞

横井秀和

基礎編

第2回

委託先と委託元の「責任」
組織的安全管理と業務フローの組み方

個人情報を共有する受委託関係において、契約書、プライバシーポリシーから実際の業務フローまで、情報の安全をどのように押さえるべきかを解説する。情報が「いつ、どこで、誰によって」作成され、「誰から誰へ、どのような方法で」渡されたのか。漏れなく正確に把握できるようにするには、業務フローの変化に応じて、手順書の修正確認および担当者教育を行うことが肝要だ。

PROFILE

日本個人情報安全協会
代表理事
横井秀和

個人情報安全管理に関する社内教育・啓蒙、企業の情報リスクマネジメントおよびリスクファイナンスのコンサルティングを行う。

　コールセンター業務を委託、あるいは受託する場合、２種類の契約書の確認が必要となる。１つは委託業務を受ける委託元との契約書。もう１つは社員の他に派遣社員や外部業者などに業務を再委託する委託先との契約書だ。契約書の中には、業務遂行における個人情報の守秘条項が不可欠となる。これは委託や再委託の関係のほか、取り扱う個人情報の相手先や個人も含む契約対象者全員に適用される。

　これら契約書の個人情報守秘規定に加え、委託業務における個人情報取り扱い方法の詳細を記した契約書・手順書を用意しなければならない。コールセンターにおける会話対応フローは、十分に注意が払われ日々磨かれていくが、個人情報の取り扱い手順についてはどうだろうか。単なる注意事項でなく、安全管理を確認する体制を作り、受委託関係にある両社で情報安全対応も磨きながら修正更新するサイクルを回してほしい。これは漏えい事象が起きた場合、運用ルールをたどりトレーサビリティにより問題はどこにあるのか洗い出すためだ。情報が「いつ、どこで、誰によって」作成され、「誰から、誰へ、どの方法で」渡されたのか、預かりから廃棄・削除までの流れを漏れなく把握すべきだ。

　具体的には、最初の預かりから最終の廃棄までの流れで起こり得る作業のすべての手順が確立・表現されているか、すべての業務フローの中で個人情報管理責任者が誰なのかをまでを明示しよう（図）。

図　業務手順書に必要な項目