2019年7月14日
今回はPマーク(プライバシーマーク)における委託と提供の違いについてお話しさせていただきます。
規格要求事項
3.4.3.4 委託先の監督
事業者は,個人情報の取扱いの全部又は一部を委託する場合は,十分な個人情報の保護水準を満たしている者を選定しなければならない。このため,事業者は,委託を受ける者を選定する基準を確立しなければならない。
事業者は,個人情報の取扱いの全部又は一部を委託する場合は,委託する個人情報の安全管理が図られるよう,委託を受けた者に対する必要,かつ,適切な監督を行わなければならない。
事業者は,次に示す事項を契約によって規定し,十分な個人情報の保護水準を担保しなければならない。
a)委託者及び受託者の責任の明確化
b)個人情報の安全管理に関する事項
c)再委託に関する事項
d)個人情報の取扱状況に関する委託者への報告の内容及び頻度
e) 契約内容が遵守されていることを委託者が確認できる事項
f) 契約内容が遵守されなかった場合の措置
g) 事件・事故が発生した場合の報告・連絡に関する事項
”委託”と”提供”の意味の違い
プライバシーマークの規格に登場する”委託”と”提供”の意味の違い、なんとなくでも理解してますでしょうか?
”委託”や”提供”に関する打合せをしている中で話が何か噛み合わないなと感じることがあります。
おそらく何かと一緒にされているか、混同しているか、または少し意味を勘違いされているのだと思います。
確かに規格本文中にそれほど説明があるわけでもなく、普段の仕事上でこの言葉を使うなどする業界の方、役職の方もそれほど多くないのかもしれません。
ですが、普段気にする要素でない分、簡単でもよいので理解しておいた方が何かと便利です。
HPなどに公開しているプライバシーポリシーなどにもこのあたりの内容を含めることが定められています。
審査中の審査員からの質問や社内の従業員からの質問に限らず、HPを見た方からの問い合わせがあるかもしれません。それらにシンプルに回答ができるようになるといいですね。
委託という要素ですが、これは言葉の意味通り、どこかに委ねるという意味です。
そして提供とはどこかに差し出すといった意味です。第三者提供といった方が丁寧かもしれませんしわかりやすいかもしれません。
少し極端ですが、”委託”と”提供”は、だれかに”預ける”と”あげる”と言い換えると少しわかりやすいでしょうか。
何かを預けたりあげたり、表面的な行為自体は変わらないですが、その目的や意味、内容はかわってきますよね。
”委託”と”提供”、例えると…
例えば、自分の持っているDVD。これを友人に貸すのとあげるのでは意味が違います。
本来自分のものを他人に預けているわけですから、当然返してもらいたいので重要なものであればあるほど、いつ返してくれるのか、いまどうしてるのか気になるものだと思います。
ただ、あげてしまったものに関してはもうどうしてくれようが構いませんよね。
プライバシーマークの規格に書かれている内容は、この預けた先(委託先)をきちんと見ておいてね(監督)ということになります。(規格本文3.4.3.4 委託先の監督)
このケースでいえば、この友人に本当にDVDを貸してもいいのか冷静に考え、貸した後も本人が消息不明にならないかたまに連絡を入れ、貸している期間を延ばしてくれと言われたらそのお願いにこたえるか考える。
このようなことでしょうか。
もちろん信用できない相手、例えば貸してもかえってこないだろうなぁとか、貸したDVDを転売されそうだなぁとか、なんやかんやで借りパクされそうだなぁといった相手には鹿島線。いや、貸しません。
個人に関する情報の移動
プライバシーマークで決まっていることですので、当然個人情報などの個人に関する情報の移動に関するものになります。
まれに個人情報などを預けることもない業者に関しても委託先として管理をしている企業様がありますが、プライバシーマークという範囲でいえば必要がありません。
ただ、委託というのは、本来自分たちが行うはずのものを外部にお願いしているという観点からいえば、外部の人が見る可能性がある、ものに触れる可能性があるといったところも範囲として扱うケースがありますので注意が必要です。
例えばビルの清掃業者や複合機等のメンテナンス会社などは業界問わず委託先として管理をするケースが多いです。
掃除中に机の上の書類を見る可能性もあるということですね。メンテ会社も同様です。
また、データのやり取りを多くする業界に多いかもしれませんが、クラウド系のサービスを利用されている場合も委託先として扱う必要があります。
メールは当然ですが、他にもICTの普及にともない、様々なクラウドサービスがありますのでそれらは一度見直しをすることをお勧めします。
責任の所在
委託するという行為と提供するという行為。用途も意味も異なります。
プライバシーマークでいう委託するというのは、本文3.4.3.4の”委託先の監督”という言葉の通りです。
責任の所在が移りません。委託先に、後はお願いします!といった具合に丸投げ、放置できません。
預けたから安心ということでなく、自分たちで責任もって管理してくださいと言われています。
委託自体が悪いことではなく、リスク管理の側面から考えても、自分たちで管理できないものを外部に頼るというのは一つの手段であり、有効な方法です。
これは個人情報の管理だけに言えることではありませんが、自分たちで管理するよりもノウハウのある外部の専門家集団にお願いしたほうがリスクとしては下がるかもしれませんし、自分たちで管理しようとして設備投資や知識や情報を集めたりする手間を考えたら、むしろ積極的に考えていくべきものです。
ですが、それで安心せずに、預ける前も、預けているときも、きちんと責任をもって預けた先(委託先)を管理する必要性があるとういことです。
まとめ
個人情報を管理する上で、手を離れてしまっている情報な分、一度手続きが終われば時期が来ない限りあまり気にすることのない要素かもしれません。
ですがその分勘違いや忘れてしまうことが多くなりがちなところでもあります。一度頭の中や書類関係を確認されてみてはいかがでしょうか。
今回のテーマの部分は、自社内で完結できない分、何かと手間のかかる部分ではあります。
何かお困りのことがあればご相談いただければと思います。
\ お問い合わせフォームはこちら /
WEBお問い合わせ
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ