Pマーク審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

Pマーク 認証・更新

Pマーク(プライバシーマーク)認証お役立ちコラム

プライバシーマーク(Pマーク:JIS Q 15001) 3.4.3.4項「委託先の監督」規格解釈

スタッフ写真
スタッフ写真

2019年7月14日

今日はPマーク(プライバシーマーク)の規格3.4.3.4の委託先の監督についてお話しいたします。

委託先について

委託先とは、業務を委託した相手。作業を委ねた相手です。

税理士さんや労務士さんがあてはまりますね。そのほかにも、レンタルサーバ、クラウド、採用支援業者や名刺印刷業者なども委託先に当たります。
なんかとりあえず大体ほかの会社さんにお仕事お願いしてたら、それはだいたい委託先なんだと思ってもらっていいと思います。

委託先の監督

委託先の意味がわかったところで、委託先の監督のお話しにもどりましょう。

委託先の監督とは、個人情報を渡している委託先に対して評価する、ということです。
委託先の監督は、大きく分けて2つです。実は簡単なんです

①個人情報をちゃんと取り扱っているか
②契約書は締結しているか

①個人情報をちゃんと取り扱っているか

まずは①の「個人情報をちゃんと取り扱っているか」から学んでいきましょう!

「個人情報をちゃんと取り扱っているか」これは主に4つの措置について見られます。

物理的安全管理措置
人的安全管理措置
組織的安全管理措置
技術的安全管理措置

漢字がいっぱいですね。難しそうですね。読む気が失せますね。
これをもう少しわかりやすく解説していきます。

物理的安全管理措置

これは物理的に個人情報を守っているかです
具体例は、紙媒体の個人情報ならちゃんと鍵付きのキャビネットや金庫に保管しているか。
そのほかに、従業員の入退室管理なんかもあてはまっちゃいます!

人的安全管理措置

これは人ですね。人。
つまりは「個人情報ってこんなに大切なんだよ~、ちゃんと大切に扱ってね~」という教育がなされているか等ですね。
説明がかなり雑ですが、まあ、なんか、そんな感じです。

組織的安全管理措置

組織的?!なんかかっこいい!黒の組織を思い出す!!!!なんて思っちゃいますね。
思いませんか?私が最近コナンの映画を見たからかもしれませんね。

今年のコナンの映画は素敵でした。
すごい毎年見ているかのように書いてますが、劇場版なんてみたの何年振りかわかりません。
ちなみに私は安室さんがタイプです。たれ目の二重、金髪長髪なんて最高以外のなにものでもないです。

話がそれました。
組織的安全管理措置ですね。

これは委託先がPマーク(プライバシーマーク)を取得しているかや、委託先と契約書を結んでいるか、個人情報を触る管理者をきめているか等です。
なんだか一番ピンとこない感じはしますがそんなとこです。なんとなくご理解いただけると幸いです。

技術的安全管理措置

これはなんとなくわかる気がしますね。
技術的。
たとえばアクセスログをとっているか、ウイルス対策は実施されているか、IDやPASSをつけているか等です。

途中脱線しかけましたがこれが「個人情報をちゃんととりあつかっているか」の四項目でした!!!!

②契約書は締結しているか

次に「契約書は締結しているか」
これはJISの規格で7つの項目を記載することが義務付けられています。

JISの規格通り書くと難しいです。きっとみなさんも読む気が失せると思います。
なので噛み砕いてお伝えしますね。

こちらが7つの項目です!!!!!!!!!!!!

a)責任はどっちにある????
b)もらった個人情報を安全に管理します宣言!
c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)
d)業務報告してくれるか(あんま気にしなくていいやつ)
e)この契約を守ります宣言!
f)破っちゃったらどうする?そんなときの対応を記載しているか
g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

ニュアンスで伝わってくださるとうれしいです。

a)はなにかあったとき、責任は委託元か委託先、どちらにあるかですね。

b)は委託元に対して委託先がちゃんともらった個人情報は悪用せずに厳重に扱いますというもの

c)は再委託をする際の決めごとですね。これは会社様によって違ったりします。
再委託は禁止のところもあれば、再委託をする際には一言くださいってところもあります。

d)はうまく説明できませんがちゃんと業務遂行してますっていう報告ですね。
難しくとらえなくて大丈夫です。データの受け渡しをしただけでも業務報告に値します。

e)はこの契約書にかかれている内容をちゃんとまもりますよーってことですね。
だいたいどんな同意書や誓約書にもかかれているやつです。

f)はこの契約書にかかれている内容を破った時の処罰などに関してです。

g)はもし何か漏えいや事故があった際にどうするかです。
裁判沙汰~…とか大きい感じのことではなく「この部署に連絡ください」とかそんな感じです多分。

ちなみに、これ、契約書でよく抜けている項目があるんです。それが、

c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)
g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

ここですね。
契約書を作る際には気を付けましょう!!!!

先述した、

①個人情報をちゃんと取り扱っているか
②契約書は締結しているか

この2つがを確認するのが3.4.3.4委託先の監督です。

\ お問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

\関連コラム/

  • 2022年9月1日

    プライバシーマーク(Pマーク)における3省2ガイドラインって何?初心者にもわかりやすく解説

    プライバシーマーク(Pマーク)における3省2ガイドラインとは、医療情報に関わるシステム等の安全管理に関するガイドラインで、情報の取扱いについて考える基準となります。
    3省2ガイドラインに含まれる第三者認証として、プライバシーマークの他にISMS(ISO27001)も選択に入れることができます。

  • 2022年12月28日

    Pマークリスク分析表の作り方(サンプル事例付き)

    Pマークのリスク分析表では、個人情報の取扱フローに従ってリスクを特定・分析していきます。
    具体的な取得方法をイメージして、どんな事故・事件が起こりうるのかを分析していく工程です。 
    Pマーク リスク分析表には7つの必須項目があります。

  • 2022年12月15日

    【必見】Pマーク更新申請、審査の流れ、やるべきことを徹底解説

    プライバシーマーク(Pマーク)更新申請では必要書類を審査機関に提出する必要があります。提出した書類をもとにした審査が行われ、その後実際に審査員が企業訪問を行う現地審査となります。現地審査時に出た指示内容を期日までに改善、確認されるとプライバシーマーク(Pマーク)更新付与完了となります。

一覧へ戻る

Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け
資料請求する

Pマーク(プライバシーマーク)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。