プライバシーを守る委託先管理の流れ・方法を徹底解説【Pマーク】 | オプティマ・ソリューションズ株式会社 オプティマ・ソリューションズ株式会社
助太刀記事の背景画像 雲の装飾
の画像

助太刀記事

プライバシーを守る委託先管理の流れ・方法を徹底解説【Pマーク】

2024.5.15

オプティマ・ソリューションズ編集部のアバター
オプティマ・ソリューションズ編集部

プライバシーマークとISMSの認証取得/更新のお手伝いをしています。担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています。しっかりと皆様のお話をお聞きして、親身に寄り添いながらサポートするのが当社のコンサルティングです。

個人情報を含む業務の一部や全てを外注していませんか?

Pマーク(プライバシーマーク)を取得するためには「(個人情報の取扱いの)委託先の監督」を行うことが重要なキーポイントとなります。

この記事では

  • 個人情報の取扱いの委託先にはどのようなものがあるか
  • どのように委託先を評価すれば良いのか
  • どのように委託先を監督すれば良いのか
  • 委託先と結ぶべき「覚書」とは何か

について詳しく解説します。

個人情報の取扱いの委託先とは

監督が必要となる個人情報の委託先には、以下のようなものがあります。

  • 顧問弁護士、税理士、社会保険労務士など
  • 名刺印刷業者
  • 電話秘書サービス
  • Webサイト制作会社
  • 旅行代理店

委託先の監督とは

個人情報はさまざまな業務で取り扱いがなされます。それらをすべて自社で完結させている企業は多くないでしょう。多くの企業は、個人情報を含む業務の一部もしくは全てを外注化しています。しかし、その外注先で個人情報の問題がおきれば委託側も大きな損害に繋がりかねません。そこで、Pマーク取得企業には、外注先の企業が不測の事態をおこさないために監督責任の義務が生じるのです。

Pマークの運用指針「委託先の監督」に以下の記載がされています。

  • 個人データの取扱いの全部又は一部を委託する場合、十分な個人データの保護水準を満たしている者を選定するための委託先選定基準を確立し、委託先を選定すること。 
  • 個人データの取扱いの全部又は一部を委託する場合、特定した利用目的の範囲内で委託契約を締結すること。
  • 次に示す事項が盛り込まれた契約を締結すること。
    • a)委託者及び受託者の責任の明確化
    • b)個人データの安全管理に関する事項
    • c)再委託に関する事項
    • d)個人データの取扱状況に関する委託者への報告の内容及び頻度
    • e)契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる事項
    • f)契約内容が遵守されなかった場合の措置
    • g)事件・事故が発生した場合の報告・連絡に関する事項
    • h)契約終了後の措置
  • 全ての委託先を漏れなく特定すること。
  • 委託契約書は当該個人データの保有期間にわたって保存すること。
  • 委託契約に基づき、委託先を適切に監督すること。

※プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(J.9.4 委託先の監督(A.3.4.3.4) )より

委託先の管理方法

「委託先の監督」の重要性をお分かりいただけたでしょうか。委託先にとっても自社にとっても、個人情報保護の観点でとても重要になります。では、委託先を監督していくにはどのようなことをしていけば良いのでしょうか?

この章では、委託先の管理方法について詳しく書いていきます。

委託先の管理方法は?

委託とは、業務を円滑にすすめるために、自社ではできない業務や事務処理などを外注することです。多くの企業では、さまざまな業務においてさまざまな企業に委託をしています。その中で、個人情報を一部でも取り扱うことがあれば、その業務のすべての委託先を監督しなければなりません。委託先の監督責任が生じるのは、以下の場合です。

  • 自社の顧客の個人情報を取り扱う業務の委託
  • 従業員の個人情報を取り扱う業務の委託
  • 自社の顧客情報や従業員の個人情報を取り扱うサービスの利用

まず、Pマーク取得にあたっては委託業者の選定が必要となります。また、すでに委託している業者がいる場合は、すべての委託先で、監督責任が生じないかの洗い出しが重要となります。委託している業務内容や、これから説明する「評価」などをExcelなどで一覧にして保管しておくと管理しやすくなるでしょう

委託先の評価

委託先の監督には、「委託先の評価」の実施が必要不可欠となります。客観的に委託先を評価することによって、個人情報の取り扱いの観点において委託先として問題がないかを審査することができます。評価基準に満たない場合は、別の業者を検討や改善要求を提示、契約の見直しが必要となってくるでしょう。

委託先を評価する方法は、以下のものがあります。

  • 訪問実地監査
  • 評価アンケート集計
  • 委託先の情報セキュリティポリシーの確認

訪問実地監査

委託先の評価方法として、訪問実地監査があります。委託先に実際に出向いて評価することで、どのような情報セキュリティーに関する体制や運営がなされているのかを目で見て評価をつけることができるので安心できるでしょう。

また、直接指導やその場での見直しなどを行うことができ、チェック体制の厳しさも伝えることができるでしょう。ただ、大規模な委託業者であると実地監査だけで大幅な時間がかかってしまうことも少なくありません

評価アンケート

評価アンケートを実施して、委託先の評価をすることも方法のひとつです。実際に目で見ることはできないので、しっかりとした回答をもらえるような信頼関係が大切です。多くの委託先を抱えている場合、委託先に訪問するための調整が必要不可欠なため、調整が大変になるでしょう。

アンケートを作成することで、毎年改訂は加えつつも使いまわすことが可能となり、多くの委託先にも対応できます。また、委託先においては、アンケートを回答することによって基準が見える化し、意識の改善にも繋がることでしょう。

委託先の情報セキュリティポリシー

委託先の情報セキュリティポリシーを確認することも、委託先を評価する上で大切です。プライバシーポリシーは、プライバシーマークが付与されている業者は必ず公表しています。付与がされていない場合でも、多くの企業で個人情報の取り扱いに対しての体制や運用を確認することができるでしょう。

プライバシーポリシーに記載されているものの、委託先でしっかりと運用されていなければ意味がないので、実地監査や評価アンケートも合わせて行うとよいでしょう。

評価基準の策定

委託先を評価するには、評価基準を設ける必要があります。社内で取り組むpマークの運用と同じように、具体的にわかりやすい基準を設けるようにしましょう。

大きくわけた評価項目として、以下のようなものがあります。

  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置

組織的安全管理措置

組織的安全管理措置とは、従業者の情報の取り扱いに対してどのような整備や運用がなされているかを問う項目です。

下記の内容などを評価します。

  • 従業者の責任と権限を定めているか
  • 規定を作り、整備や運用がなされているか
  • 事故対応時の対応状況
  • 再委託の際の管理状況

人的安全管理措置

人的安全管理措置とは、情報の取り扱いに対して従業者への周知や教育がしっかりとなされているかを問う項目です。

下記の内容などを評価します。

  • 機密保持に関する誓約書を取得しているか
  • 社内に運用が浸透しているか
  • 教育が計画され実施されているか

物理的安全管理措置

物理的安全管理措置とは、個人情報の所在や管理方法など情報そのものに対する管理を問う項目です。

下記の内容などを評価します。

  • 入退管理を行っているか
  • 施錠を行える場所で管理をしているか
  • 持ち出す際のルールが定めてあるか

技術的安全管理措置

技術的安全管理措置とは、情報システムなどの技術面での安全管理を問う項目です。

下記の内容などを評価します。

  • 従業者に応じたアクセス権限の設定がなされているか
  • パスワード管理のルールがあるか
  • コンピューターウイルスの対策がしっかりなされているか

委託先と契約を締結

委託先の評価を実施した結果、業務を委託しても問題ないと判断された時には以下の契約を締結し、書面で残しておくことが重要となります。

  • 業務委託契約
  • 秘密保持契約(NDA)

これらの契約をする際には、個人情報の取り扱いに関する安全管理措置を明記するようにしましょう。また、再委託に関しての責任の所在も明記することも大切です。

契約書に記載すべき項目は、以下のものなどがあります。

  • 責任の所在に関する項目
  • 再委託に関する項目
  • 事故が発生してしまった際の項目
  • 契約内容が遵守されなかった時の措置

定期的な評価が大切

委託先の評価をし、委託に問題がないことを確認し契約を締結しました。しかし、Pマークの運用に関しての「委託先の監督」は、取得時のみではありません。個人情報保護に関する法律は日々変化していきます。

また、委託先においても体制の変化は起こり続けるでしょう。そのため、締結後の定期的な委託先の評価も「委託先の監督」で必要な業務になります。年に1.2度の評価を行うことで、より適切な管理を行うことができるでしょう。評価によっては、基準に満たなくなってしまう可能性もあります。

改善要求を行ったり、それでも改善が認められない場合には、契約の見直しも検討するべきでしょう。

まとめ

本記事では、「委託先の監督」について詳しく解説しました。委託先の監督は、pマークの適正な管理を行っていく上でとても大切な項目となっています。取得時のみならず、長く運用できる規則作りや体制を整える必要があるでしょう。Pマークを取得しようとした時に、自社でルール作成から運用までをすべて行うことは、相当な時間を要することになります

Pマークのルール策定や運用を外注化することでこれらの問題は解決できます。

オプティマ・ソリューションズは、3000件を超える実績件数を誇るpマーク取得のコンサルティングサービスを提供しています。何もわからない状態での、新規コンサルティングからPマーク取得後の運用や更新までしっかりとサポートいたします。最短4ヶ月の早期取得の対応も行っているので、お気軽にご相談ください。

Pマーク取得のご相談ならオプティマ・ソリューションズへ!

弊社は創業後の19年間で3,000件を超える支援を行ってきました。

さらに、弊社には次の強みがあります。

  • メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
  • 月々定額の分割払いができる
  • 東京、大阪、名古屋に支社がある
  • オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
  • 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)

弊社ではPマーク認証の取得・更新をする以上に、貴社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。

お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。

これからPマーク認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談ください。