コールセンター外注・委託・代行・アウトソーシング・派遣

2024年1月31日
株式会社かんでんCSフォーラム
代表取締役社長　藤友　英教

先般のコールセンターにおける個人情報の流出事例を受け、個人情報保護委員会よりコールセンター業務を運営又は受託している個人情報取扱事業者に向けて注意喚起がなされました。その中で取り上げられた留意点に対して、当社は以下の対応を実施しております。

１.安全管理措置（法第 23 条）に関する留意点

・留意事項1

個人データの取扱いに係る規律を整備し規律に従った個人データの取り扱い

・実施事項1

「個人情報保護規程」、「個人情報保護安全管理細則」を整備し社内に周知徹底を図っています。 また、遵守すべき法令等を特定した「法規等管理台帳」を少なくとも年一回、必要に応じて適宜に更新することにより改正等を把握し、必要に応じて随時改定しています。

・留意事項2

個人データの取扱状況を確認、把握するための手段の整備

・実施事項2

取り扱う全ての個人情報を特定した「個人情報管理台帳」を整備し少なくとも年一回、必要に応じて適宜に更新することにより最新の状態で把握しています。

・留意事項3

定期的な点検及び他部署や外部主体による監査の適切な実施

・実施事項3

監査については監査責任者を任命し少なくとも年一回、必要に応じて適宜に全ての部署に対して実施しています。 また、規律が守られていることについて、全ての部署に対して四半期毎に「点検項目一覧表」により確認を実施し個人情報保護管理者へ報告させています。

・留意事項4

把握した取扱状況に基づき、安全管理措置の評価、見直し及び改善への取り組み

・実施事項4

「個人情報管理台帳」に特定した個人情報について「リスク分析表」によりリスクを分析し想定されるリスクとリスクに対する対策を検討し実施しています。実施したリスク対策は「個人情報保護規程」あるいは、「個人情報保護安全管理細則」を改訂し周知徹底しています。

② 人的安全管理措置として、従業者に、個人データの適正な取扱いを周知徹底するとともに、適切な教育を行わなければなりません。加えて、２で後述するとおり、法第 24 条に基づき従業者に対する監督を行わなければなりません。

・留意事項5

従業者への個人データの適正な取扱いの周知徹底と適切な教育

・実施事項5

教育責任者を任命し年一回、必要に応じて適宜に全ての従業者（直接間接に当社の指揮監督を受けて業務に従事している者等）に対して教育を実施しています。

・留意事項6

法第 24 条に基づいた従業者に対する監督

・実施事項6

従業者より「誓約書」を取得し「就業規則」の罰則規定等により規律違反の抑止を図っています。 必要に応じて監視カメラ等によりモニタリングを実施しています。

③ 物理的安全管理措置として、個人データを取り扱う区域の管理、機器及び電子媒体等の盗難等の防止、電子媒体等を持ち運ぶ場合の漏えい等の防止等の措置を講じなければなりません。例えば、USB メモリ等の記録機能を有する機器の情報システム端末等への接続を制限する等の措置を講じることが考えられます。

・留意事項7

・実施事項7

④ 情報システムを使用して個人データを取り扱う場合、外部からの不正アクセスのみならず、内部からの不正な持出し等の防止も含めた情報システムの使用に伴う個人データの漏えい等を防止するため、技術的安全管理措置を適切に講じなければなりません。例えば、ユーザーID に付与するアクセス権により情報システムを使用できる従業者を限定する、ログ等の定期的な分析を行う等の措置を講じることが考えられます。

・留意事項8

外部からの不正アクセスの防止

・実施事項8

パソコンはＷＳＵＳ（WindowsServerUpdateService）により、Microsoft社のセキュリティ定期更新や臨時更新時に、更新プログラムの配信と、個々のパソコンの更新状態を統合管理しています。
また、ウイルス対策ソフトをインストールし、管理サーバーにて状態監視しています。インターネット接続についてはファイアーウォール経由のみの接続構成とし拠点間通信はVPNにより接続し外部からのアクセスを遮断しています。

・留意事項9

内部からの不正な持出し等の防止

・実施事項9

私物の外付け磁気ディスク、ＵＳＢメモリ等の外部記憶媒体は持ち込み禁止としパソコンへの外部記憶媒体の接続は禁止しています。また、外部記憶媒体の接続を監視しています。

２.従業者の監督（法第 24 条）に関する留意点

個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たり、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければなりません（法第 24 条）。
ここでいう従業者とは、個人情報取扱事業者の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員のみならず、派遣社員等も含まれます。
コールセンター業務においては、多数の個人データ等を取り扱うことが考えられることから、前述１の人的安全管理措置として研修を行うのみならず、日々の業務において、個人データの安全管理措置を定める規程等に従って業務が行われているか適切に指揮監督を行うことが必要です。

・留意事項10

日々の業務において、個人データの安全管理措置を定める規程等に従って業務が行われているか適切に指揮監督を行う。

・実施事項10

毎日の朝礼等により規律の周知徹底を行っています。

３.委託先の監督（法第 25 条）に関する留意点

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければなりません（法第 25 条）。
ここでいう個人データの取扱いの委託とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいいます。したがって、個人データを含む電子データを取り扱う情報システム（機器を含む。）の保守の全部又は一部に外部の事業者を活用している場合、当該保守サービスを提供する事業者（以下「保守サービス事業者」という。）がサービス内容の全部又は一部として情報システム内の個人データを取り扱うこととなっている場合には、本人の同意による個人データの提供である場合を除き、個人データの取扱いの委託に伴う提供に当たるため、委託先である保守サービス事業者を監督する必要があります。
個人データの取扱いを委託するに当たって、個人情報取扱事業者は、法第 23 条に基づき自らが講ずべき安全管理措置と同等の措置が委託先において講じられるよう監督を行う必要があることから、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に起因するリスクに応じて、ＧＬ（通則編）「3-4-4 委託先の監督（法第 25 条関係）」も参照の上、委託先の選定、委託契約の締結及び委託先における個人データの取扱状況の把握について、必要かつ適切な措置を講じてください。
特に、委託先における個人データの取扱状況の把握に当たっては、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましいです。

・留意事項11

・実施事項11

個人データの取扱いの全部又は一部を委託する場合、十分な個人データの保護水準を満たしている者を選定するための委託先選定基準を確立し、「個人情報委託先評価票」を作成し委託先を選定しています。また、委託契約を締結しています。 「個人情報委託先評価票」は、少なくとも年一回適宜に見直して、全ての委託先について「個人情報委託先評価票」により評価し基準に達しない委託先については是正勧告を行っています。是正できない場合は委託を終了しています。 委託元部門の個人情報保護実践責任者は、委託先が適正に個人データを扱っていることを確実にするために、必要に応じて契約開始時、およびそれ以降も定期的に現地訪問して、個人データの安全管理措置の状況を確認し、問題があれば指導しています。

以上