個人情報を収集する業務委託契約は、契約元がGDPR(EU一般データ保護規則)違反になる可能性がある-ダイヤモンド・オンライン (2018年7月10日)

個人情報を収集する業務委託契約は、契約元がGDPR(EU一般データ保護規則)違反になる可能性がある-ダイヤモンド・オンライン (2018-07-10)
個人情報を収集する業務委託サービスで情報管理で不備があった場合、契約元(買い手側)もGDPR(EU一般データ保護規則)違反で責任を問われることがあるとの事例が、ダイヤモンド・オンラインに掲載されました。問題の事態は、プリンスホテル、藤田観光、ホテルモントレなどの日本のホテル会社が契約しているフランスの予約サイト「ファストブッキング社」から計32万5717件の個人情報が流出したことによります。この場合、ホテルは個人情報の「管理者」、ファストブッキング社は個人情報の処理を外部委託された「処理者」という立場として位置付けになり、ホテル側のGDPR違反が問われると説明されています。GDPR違反は、最低で26億円の罰金が課される可能性があります。 IT部門が外部業者に自社収集の個人情報の処理を委託している場合だけでなく、購買部門が扱う業務委託契約全般で「個人情報を収集させていないか」、「収集させている場合、セキュリティ対策は大丈夫か」というチェックを、サプライヤー選定時の必須確認項目として考える必要がありそうです(今回の件を契機に尋ねたところ、既にそのようなチェックは実施していると教えていただけた日本企業もありました)。