オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得／更新のお手伝いをしています。担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

個人情報を含む業務の一部や全てを外注していませんか？

Pマーク（プライバシーマーク）を取得するためには「（個人情報の取扱いの）委託先の監督」を行うことが重要なキーポイントとなります。

この記事では

について詳しく解説します。

個人情報の取扱いの委託先とは

監督が必要となる個人情報の委託先には、以下のようなものがあります。

委託先の監督とは

個人情報はさまざまな業務で取り扱いがなされます。それらをすべて自社で完結させている企業は多くないでしょう。多くの企業は、個人情報を含む業務の一部もしくは全てを外注化しています。しかし、その外注先で個人情報の問題がおきれば委託側も大きな損害に繋がりかねません。そこで、Pマーク取得企業には、外注先の企業が不測の事態をおこさないために監督責任の義務が生じるのです。

Pマークの運用指針「委託先の監督」に以下の記載がされています。

※プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針（J.9.4 委託先の監督（A.3.4.3.4） ）より

委託先の管理方法

「委託先の監督」の重要性をお分かりいただけたでしょうか。委託先にとっても自社にとっても、個人情報保護の観点でとても重要になります。では、委託先を監督していくにはどのようなことをしていけば良いのでしょうか？

この章では、委託先の管理方法について詳しく書いていきます。

委託先の管理方法は？

委託とは、業務を円滑にすすめるために、自社ではできない業務や事務処理などを外注することです。多くの企業では、さまざまな業務においてさまざまな企業に委託をしています。その中で、個人情報を一部でも取り扱うことがあれば、その業務のすべての委託先を監督しなければなりません。委託先の監督責任が生じるのは、以下の場合です。

まず、Pマーク取得にあたっては委託業者の選定が必要となります。また、すでに委託している業者がいる場合は、すべての委託先で、監督責任が生じないかの洗い出しが重要となります。委託している業務内容や、これから説明する「評価」などをExcelなどで一覧にして保管しておくと管理しやすくなるでしょう。

委託先の評価

委託先の監督には、「委託先の評価」の実施が必要不可欠となります。客観的に委託先を評価することによって、個人情報の取り扱いの観点において委託先として問題がないかを審査することができます。評価基準に満たない場合は、別の業者を検討や改善要求を提示、契約の見直しが必要となってくるでしょう。

委託先を評価する方法は、以下のものがあります。

訪問実地監査

委託先の評価方法として、訪問実地監査があります。委託先に実際に出向いて評価することで、どのような情報セキュリティーに関する体制や運営がなされているのかを目で見て評価をつけることができるので安心できるでしょう。

また、直接指導やその場での見直しなどを行うことができ、チェック体制の厳しさも伝えることができるでしょう。ただ、大規模な委託業者であると実地監査だけで大幅な時間がかかってしまうことも少なくありません。

評価アンケート

評価アンケートを実施して、委託先の評価をすることも方法のひとつです。実際に目で見ることはできないので、しっかりとした回答をもらえるような信頼関係が大切です。多くの委託先を抱えている場合、委託先に訪問するための調整が必要不可欠なため、調整が大変になるでしょう。

アンケートを作成することで、毎年改訂は加えつつも使いまわすことが可能となり、多くの委託先にも対応できます。また、委託先においては、アンケートを回答することによって基準が見える化し、意識の改善にも繋がることでしょう。

委託先の情報セキュリティポリシー

委託先の情報セキュリティポリシーを確認することも、委託先を評価する上で大切です。プライバシーポリシーは、プライバシーマークが付与されている業者は必ず公表しています。付与がされていない場合でも、多くの企業で個人情報の取り扱いに対しての体制や運用を確認することができるでしょう。

プライバシーポリシーに記載されているものの、委託先でしっかりと運用されていなければ意味がないので、実地監査や評価アンケートも合わせて行うとよいでしょう。

評価基準の策定

委託先を評価するには、評価基準を設ける必要があります。社内で取り組むpマークの運用と同じように、具体的にわかりやすい基準を設けるようにしましょう。

大きくわけた評価項目として、以下のようなものがあります。

組織的安全管理措置

組織的安全管理措置とは、従業者の情報の取り扱いに対してどのような整備や運用がなされているかを問う項目です。

下記の内容などを評価します。

人的安全管理措置

人的安全管理措置とは、情報の取り扱いに対して従業者への周知や教育がしっかりとなされているかを問う項目です。

下記の内容などを評価します。

物理的安全管理措置

物理的安全管理措置とは、個人情報の所在や管理方法など情報そのものに対する管理を問う項目です。

下記の内容などを評価します。

技術的安全管理措置

技術的安全管理措置とは、情報システムなどの技術面での安全管理を問う項目です。

下記の内容などを評価します。

委託先と契約を締結

委託先の評価を実施した結果、業務を委託しても問題ないと判断された時には以下の契約を締結し、書面で残しておくことが重要となります。

これらの契約をする際には、個人情報の取り扱いに関する安全管理措置を明記するようにしましょう。また、再委託に関しての責任の所在も明記することも大切です。

契約書に記載すべき項目は、以下のものなどがあります。

定期的な評価が大切

委託先の評価をし、委託に問題がないことを確認し契約を締結しました。しかし、Pマークの運用に関しての「委託先の監督」は、取得時のみではありません。個人情報保護に関する法律は日々変化していきます。

また、委託先においても体制の変化は起こり続けるでしょう。そのため、締結後の定期的な委託先の評価も「委託先の監督」で必要な業務になります。年に1.2度の評価を行うことで、より適切な管理を行うことができるでしょう。評価によっては、基準に満たなくなってしまう可能性もあります。

改善要求を行ったり、それでも改善が認められない場合には、契約の見直しも検討するべきでしょう。

まとめ

本記事では、「委託先の監督」について詳しく解説しました。委託先の監督は、pマークの適正な管理を行っていく上でとても大切な項目となっています。取得時のみならず、長く運用できる規則作りや体制を整える必要があるでしょう。Pマークを取得しようとした時に、自社でルール作成から運用までをすべて行うことは、相当な時間を要することになります。

Pマークのルール策定や運用を外注化することでこれらの問題は解決できます。

オプティマ・ソリューションズは、3000件を超える実績件数を誇るpマーク取得のコンサルティングサービスを提供しています。何もわからない状態での、新規コンサルティングからPマーク取得後の運用や更新までしっかりとサポートいたします。最短4ヶ月の早期取得の対応も行っているので、お気軽にご相談ください。

Pマーク取得のご相談ならオプティマ・ソリューションズへ！

弊社は創業後の19年間で3,000件を超える支援を行ってきました。

さらに、弊社には次の強みがあります。

弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。

お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。

これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談ください。