|
|
日本情報処理開発協会(JIPDEC)の指定団体として、個人情報の取扱いが適切な事業への「プライバシーマーク」付与の認定作業を行なっている情報サービス産業協会(JISA)は、名古屋市の情報処理サービス業者「メイケイ」のプライバシーマークの認定を取り消した。認定事業者の取り消しは1998年4月の制度発足以来初めて。
JISAや厚生省によると、メイケイは厚生省が3年に1回行なう患者調査の調査票の入力業務を今年1月に請け負ったが、3月の納期に間に合わないことなどから、厚生省の「再委託禁止」の申し入れに反し下請け業者に業務を発注していた。その際、責任分担や守秘に係る契約書の交付は行なっていなかった。また、その下請け業者はさらに2次下請けに業務を委託、結果的に4次下請け業者にまで委託が行なわれていた。4月になって厚生省へ調査票の返却をする際、一部紛失していたことからこの問題が発覚したもの。メイケイは4次下請け業者にまで業務委託が行なわれていることを知らず、1次下請け業者までしか把握していなかったという。JISAでは、「企業外部への個人情報の提供、取扱いの委託を行なう際には、責任分担や守秘に係る契約を結ぶなど、個人情報について適切な保護をしなければならないうえに下請けの把握も行なわれていないなど外注管理が徹底していない」として6月28日付けで認定を取り消した。
メイケイは1998年9月にプライバシーマークを取得。JIPDECの認定事業者は155社、そのうちJISAは79社を認定している。プライバシーマークの認定は原則として書類審査を経た後、情報システムのアクセス制御機構など設備の整備状況を確認する現地調査で行なわれる。更新は2年ごと。取り消しを受けた事業者は2年間再申請することができない。
(2000/7/11)
[Reported by moriyama@impress.co.jp]