個人情報保護委員会が、11月２日に医療機関の委託を受ける側であるIT企業における株式会社エヌ・ティ・ティ・データに対して行政指導を行いました。今回の行政指導では、受託者たるIT事業者に対して、委託業務の遂行に当たって、適切な安全管理措置の徹底実施を求めています。

?チェック！

①プロジェクトで確実に実施できる個人情報保護規定を設定したか。

②プロジェクトの特性に細部まで合わせて手順整備と教育を実施したか。

③プロジェクトで、組織的、人的、物理的、技術的安全管理措置の実行確認をしたか。

④プロジェクト単位で外部からの不正アクセス把握を実施したか

この事案の注目点は、委託先IT企業が指導を受けた点です。委託元の事業者には、すでに委託先の監督義務を適切に果たすよう指導がなされていますが、今回は初めて、システム構築や運用業務の受託事業者であるIT事業者に対して、組織的、技術的安全管理措置の実施を含む多岐にわたる指導が行われました。受託側にも相応の責任がある、ということを突き付けた事例になりました。

詳細は、次のURLをご参照ください。

①BIPROGY株式会社に対する個人情報の保護に関する法律に基づく行政上の対応について
https://www.ppc.go.jp/news/press/2021/220921kouhou/

②医療分野の研究開発に資するための匿名加工医療情報に関する法律の医療情報取扱事業者等である個人情報取扱事業者に対する個人情報の保護に関する法律に基づく行政上の対応について
https://www.ppc.go.jp/news/press/20221102-3/

受託時の契約内容点検や受託体制調整とコミットが求めらます。