今回はPマーク(プライバシーマーク)における委託と提供の違いについてお話しさせていただきます。

規格要求事項

3.4.3.4 委託先の監督

事業者は，個人情報の取扱いの全部又は一部を委託する場合は，十分な個人情報の保護水準を満たしている者を選定しなければならない。このため，事業者は，委託を受ける者を選定する基準を確立しなければならない。
事業者は，個人情報の取扱いの全部又は一部を委託する場合は，委託する個人情報の安全管理が図られるよう，委託を受けた者に対する必要，かつ，適切な監督を行わなければならない。
事業者は，次に示す事項を契約によって規定し，十分な個人情報の保護水準を担保しなければならない。

a)委託者及び受託者の責任の明確化
b)個人情報の安全管理に関する事項
c)再委託に関する事項
d)個人情報の取扱状況に関する委託者への報告の内容及び頻度
e) 契約内容が遵守されていることを委託者が確認できる事項
f) 契約内容が遵守されなかった場合の措置
g) 事件・事故が発生した場合の報告・連絡に関する事項

”委託”と”提供”の意味の違い

プライバシーマークの規格に登場する”委託”と”提供”の意味の違い、なんとなくでも理解してますでしょうか？

”委託”や”提供”に関する打合せをしている中で話が何か噛み合わないなと感じることがあります。
おそらく何かと一緒にされているか、混同しているか、または少し意味を勘違いされているのだと思います。

確かに規格本文中にそれほど説明があるわけでもなく、普段の仕事上でこの言葉を使うなどする業界の方、役職の方もそれほど多くないのかもしれません。
ですが、普段気にする要素でない分、簡単でもよいので理解しておいた方が何かと便利です。

HPなどに公開しているプライバシーポリシーなどにもこのあたりの内容を含めることが定められています。
審査中の審査員からの質問や社内の従業員からの質問に限らず、HPを見た方からの問い合わせがあるかもしれません。それらにシンプルに回答ができるようになるといいですね。

委託という要素ですが、これは言葉の意味通り、どこかに委ねるという意味です。
そして提供とはどこかに差し出すといった意味です。第三者提供といった方が丁寧かもしれませんしわかりやすいかもしれません。

少し極端ですが、”委託”と”提供”は、だれかに”預ける”と”あげる”と言い換えると少しわかりやすいでしょうか。
何かを預けたりあげたり、表面的な行為自体は変わらないですが、その目的や意味、内容はかわってきますよね。

”委託”と”提供”、例えると…

例えば、自分の持っているDVD。これを友人に貸すのとあげるのでは意味が違います。
本来自分のものを他人に預けているわけですから、当然返してもらいたいので重要なものであればあるほど、いつ返してくれるのか、いまどうしてるのか気になるものだと思います。
ただ、あげてしまったものに関してはもうどうしてくれようが構いませんよね。

プライバシーマークの規格に書かれている内容は、この預けた先（委託先）をきちんと見ておいてね（監督）ということになります。（規格本文3.4.3.4 委託先の監督）

このケースでいえば、この友人に本当にDVDを貸してもいいのか冷静に考え、貸した後も本人が消息不明にならないかたまに連絡を入れ、貸している期間を延ばしてくれと言われたらそのお願いにこたえるか考える。
このようなことでしょうか。
もちろん信用できない相手、例えば貸してもかえってこないだろうなぁとか、貸したDVDを転売されそうだなぁとか、なんやかんやで借りパクされそうだなぁといった相手には鹿島線。いや、貸しません。

個人に関する情報の移動

プライバシーマークで決まっていることですので、当然個人情報などの個人に関する情報の移動に関するものになります。
まれに個人情報などを預けることもない業者に関しても委託先として管理をしている企業様がありますが、プライバシーマークという範囲でいえば必要がありません。

ただ、委託というのは、本来自分たちが行うはずのものを外部にお願いしているという観点からいえば、外部の人が見る可能性がある、ものに触れる可能性があるといったところも範囲として扱うケースがありますので注意が必要です。

例えばビルの清掃業者や複合機等のメンテナンス会社などは業界問わず委託先として管理をするケースが多いです。
掃除中に机の上の書類を見る可能性もあるということですね。メンテ会社も同様です。

また、データのやり取りを多くする業界に多いかもしれませんが、クラウド系のサービスを利用されている場合も委託先として扱う必要があります。
メールは当然ですが、他にもICTの普及にともない、様々なクラウドサービスがありますのでそれらは一度見直しをすることをお勧めします。

責任の所在

委託するという行為と提供するという行為。用途も意味も異なります。
プライバシーマークでいう委託するというのは、本文3.4.3.4の”委託先の監督”という言葉の通りです。

責任の所在が移りません。委託先に、後はお願いします！といった具合に丸投げ、放置できません。
預けたから安心ということでなく、自分たちで責任もって管理してくださいと言われています。

委託自体が悪いことではなく、リスク管理の側面から考えても、自分たちで管理できないものを外部に頼るというのは一つの手段であり、有効な方法です。
これは個人情報の管理だけに言えることではありませんが、自分たちで管理するよりもノウハウのある外部の専門家集団にお願いしたほうがリスクとしては下がるかもしれませんし、自分たちで管理しようとして設備投資や知識や情報を集めたりする手間を考えたら、むしろ積極的に考えていくべきものです。

ですが、それで安心せずに、預ける前も、預けているときも、きちんと責任をもって預けた先（委託先）を管理する必要性があるとういことです。

まとめ

個人情報を管理する上で、手を離れてしまっている情報な分、一度手続きが終われば時期が来ない限りあまり気にすることのない要素かもしれません。
ですがその分勘違いや忘れてしまうことが多くなりがちなところでもあります。一度頭の中や書類関係を確認されてみてはいかがでしょうか。

今回のテーマの部分は、自社内で完結できない分、何かと手間のかかる部分ではあります。
何かお困りのことがあればご相談いただければと思います。

＼ お問い合わせフォームはこちら ／
WEBお問い合わせ