Pマーク事業者 委託先の監督とは
Pマーク取得事業者は、「委託先の監督」をおこなうことが明確に求められています。では委託先の監督とは何をすればいいのでしょうか。
Pマークの準拠規格であるJIS Q15001では以下の通りに記載されています。
事業者は,個人情報の取扱いの全部又は一部を委託する場合は, 十分な個人情報の保護水準を満たしている者を選定しなければならない。このため,事業者は,委託を受ける者を選定する基準を確立しなければならない。 事業者は,個人情報の取扱いの全部又は一部を委託する場合は,委託する個人情報の安全管理が図られるよう, 委託を受けた者に対する必要,かつ,適切な監督を行わなければならない。事業者は,次に示す事項を契約によって規定し, 十分な個人情報の保護水準を担保しなければならない。 |
これだけでは何をやっていいのか非常にわかりづらいですが、要点のみまとめるとPマークで求められる委託先の監督とは以下3点となります。
委託先を認識していること 委託先を評価していること 委託先と適切な契約を取り交わしていること |
それぞれについて考えてみましょう。
Pマークの条件1 委託先を認識していること
個人情報の取り扱いを含む業務を委託している委託先を全て洗い出す必要があります。どこまでが個人情報の取り扱いを委託しているのかは非常にわかりづらいかと思います。イメージだけですとDM発送やメルマガ配信など重要な個人情報を取り扱うような業務を委託している場合のみのように考えてしまいますが、Pマークの審査では下記のような委託業者も個人情報の委託先と捉えられます。
・レンタルサーバやメールサーバなどを提供している会社
・廃棄・溶解などをおこなう会社
・名刺などの印刷の会社
・警備会社
・社労士など
・スケジューラやグループウェアなどを提供している会社
従業員の個人情報も個人情報であるから、従業員情報を取り扱う会社も個人情報の委託先としてとらえなさいというのが基本的な考え方のようです。これにどこまで意味があるのかというのは別として、委託先としては認識しなければいけません。
Pマークの条件2 委託先として評価していること
個人情報の委託先として洗い出した会社を評価するとはどのようなことでしょうか。一般的にはアンケートなどを送付して調査をおこない、個人情報の取り扱いをきちんとおこなっている会社を委託先として選びましたという記録が必要となります。基準は自社で決めて構いませんが、「個人情報を適切に管理していること」を何らかの形で評価しなければいけません。PマークやISMSを取得している委託先であれば、それだけでも問題なしとするという形でも構いません。
Pマークの条件3 委託先と適切な契約を取り交わしていること
委託先とは通常委託契約を結んでおり、委託契約書にある程度は個人情報に関する取り決めも入っているでしょう。
ただし、Pマークでは明確に下記の項目が契約に含むことを要求しています。
a) 委託者及び受託者の責任の明確化 b) 個人情報の安全管理に関する事項 c) 再委託に関する事項 d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度 e) 契約内容が遵守されていることを委託者が確認できる事項 f) 契約内容が遵守されなかった場合の措置 g) 事件・事故が発生した場合の報告・連絡に関する事項 |
それぞれ契約書に盛り込む項目を考えていきましょう。
委託者及び受託者の責任の明確化
個人情報の取り扱いに関しての責任に関しての記載です。個人情報の守秘義務などが含まれるのが一般的です。
個人情報の安全管理に関する事項
個人情報の取り扱いについての安全対策についての項目となります。ここでは更に明確に下記事項が求められています。
・個人情報の漏えい防止、盗用禁止に関する事項
・委託範囲外の加工、利用の禁止
・委託契約範囲外の複写、複製の禁止
・委託契約期間
・委託契約終了後の個人情報の返還・消去・廃棄に関する事項
こちらの内容を含む契約書の項目が必要となります。
再委託に関する事項
再委託を禁止あるいは再委託する際に報告するなどの内容とし、受託者が勝手に個人情報を含む業務を再委託しないよう取り決めることが必要です。
個人情報の取扱状況に関する委託者への報告の内容及び頻度
委託先から個人情報の取り扱いの状況を報告することについての項目となります。報告書などを提出するのは大変ですから、一般的には委託元が定期的にアンケートなどを送付して回答をもらうのが一般的です。
契約内容が遵守されていることを委託者が確認できる事項
上記と関連して、本当に適切に個人情報が管理できているのかを委託元が確認可能な事項についての記載となります。
例えば立入検査やセキュリティ監査の報告を受けるなどが考えられます。
契約内容が遵守されなかった場合の措置
契約内容が遵守されない場合の損害賠償や契約破棄についての項目となります。
事件・事故が発生した場合の報告・連絡に関する事項
個人情報に関する事故が発生した際の連絡方法についてどのようにおこなうかについての項目となります。
Pマーク上での委託先の監督の重要性
これまで説明してきたように、Pマークで求められる委託先の監督は非常に大変です。これは委託先から個人情報が漏洩するケースも多く、委託先から個人情報が漏洩した際は自社の責任なので監督しましょうという考えのためです。Pマーク審査でも委託先についての確認は非常に細かくおこなわれるようですので、きちんと運用をおこなっていくことが重要です。