ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

間接取得の個人情報は、「管理すべき」個人情報か?

2007/09/21 (2019/09/19)

間接的に個人情報が入ったレポート等を取得した場合、「管理すべき」個人情報になるのでしょうか?
なお、通常、当社が直接レポートを取得するのではなく、もともとの依頼主経由、または間にもう一社か二社入ってもらうケースが多いです。
こういったものでも「管理すべき」個人情報扱いになるのしょうか。

例えば、依頼主が既に個人情報の取扱について了解を得ていれば問題ない、ということはないのでしょうか。

「管理すべき」個人情報扱いになります。
『(1)依頼主が既に個人情報の取扱について了解を得ている』ことと、『(2)「管理すべき」個人情報』とは別として考えてください。

(1)で了解が取れているのであれば、本人への了解(同意?)を再度、御社で得る必要はありません。
また、御社が御社の名前で直接、本人から取得していませんので、了解については御社の責任範囲ではありません。
発注者の責任範囲です。

しかし、『(2)「管理すべき」個人情報』の観点からは、取得先や間に入っている会社には関係なく、御社がその個人情報を保有している間は、御社の責任の下で個人情報を管理する義務があります。
また、御社から業務を他社に委託した場合は、委託先の監督義務も発生しますので注意して下さい。