外部委託しているデータのガバナンスをどう確保するか

外部委託データのリスク

データ処理・分析・システム運用を外部ベンダーに委託している場合、そのデータのガバナンスが自社の管理外になるリスクがあります。ベンダーのデータ取り扱いが不適切であっても、その責任は委託元の企業が負うケースがあります。

委託契約に盛り込むべき要件

①データ処理の目的制限：委託した目的以外にデータを使用してはならないことを明記します。②セキュリティ要件：データの暗号化・アクセス管理・インシデント対応の基準を定めます。③監査権：委託先のデータ取り扱いを監査する権利を契約に含めます。④再委託の制限：委託先が第三者にデータ処理を再委託する場合の承認プロセスを定めます。⑤データの返還・削除：契約終了時のデータ返還または安全な削除を義務付けます。

定期的な確認の仕組み

契約で要件を定めるだけでなく、定期的（年1〜2回）に委託先のデータ取り扱い状況を確認します。アンケートによる自己評価・現地監査・第三者審査機関の認証確認などの方法があります。