2019年7月14日
今日はPマーク(プライバシーマーク)の規格3.4.3.4の委託先の監督についてお話しいたします。
委託先について
委託先とは、業務を委託した相手。作業を委ねた相手です。
税理士さんや労務士さんがあてはまりますね。そのほかにも、レンタルサーバ、クラウド、採用支援業者や名刺印刷業者なども委託先に当たります。
なんかとりあえず大体ほかの会社さんにお仕事お願いしてたら、それはだいたい委託先なんだと思ってもらっていいと思います。
委託先の監督
委託先の意味がわかったところで、委託先の監督のお話しにもどりましょう。
委託先の監督とは、個人情報を渡している委託先に対して評価する、ということです。
委託先の監督は、大きく分けて2つです。実は簡単なんです
①個人情報をちゃんと取り扱っているか
②契約書は締結しているか
①個人情報をちゃんと取り扱っているか
まずは①の「個人情報をちゃんと取り扱っているか」から学んでいきましょう!
「個人情報をちゃんと取り扱っているか」これは主に4つの措置について見られます。
物理的安全管理措置
人的安全管理措置
組織的安全管理措置
技術的安全管理措置
漢字がいっぱいですね。難しそうですね。読む気が失せますね。
これをもう少しわかりやすく解説していきます。
物理的安全管理措置
これは物理的に個人情報を守っているかです
具体例は、紙媒体の個人情報ならちゃんと鍵付きのキャビネットや金庫に保管しているか。
そのほかに、従業員の入退室管理なんかもあてはまっちゃいます!
人的安全管理措置
これは人ですね。人。
つまりは「個人情報ってこんなに大切なんだよ~、ちゃんと大切に扱ってね~」という教育がなされているか等ですね。
説明がかなり雑ですが、まあ、なんか、そんな感じです。
組織的安全管理措置
組織的?!なんかかっこいい!黒の組織を思い出す!!!!なんて思っちゃいますね。
思いませんか?私が最近コナンの映画を見たからかもしれませんね。
今年のコナンの映画は素敵でした。
すごい毎年見ているかのように書いてますが、劇場版なんてみたの何年振りかわかりません。
ちなみに私は安室さんがタイプです。たれ目の二重、金髪長髪なんて最高以外のなにものでもないです。
話がそれました。
組織的安全管理措置ですね。
これは委託先がPマーク(プライバシーマーク)を取得しているかや、委託先と契約書を結んでいるか、個人情報を触る管理者をきめているか等です。
なんだか一番ピンとこない感じはしますがそんなとこです。なんとなくご理解いただけると幸いです。
技術的安全管理措置
これはなんとなくわかる気がしますね。
技術的。
たとえばアクセスログをとっているか、ウイルス対策は実施されているか、IDやPASSをつけているか等です。
途中脱線しかけましたがこれが「個人情報をちゃんととりあつかっているか」の四項目でした!!!!
②契約書は締結しているか
次に「契約書は締結しているか」
これはJISの規格で7つの項目を記載することが義務付けられています。
JISの規格通り書くと難しいです。きっとみなさんも読む気が失せると思います。
なので噛み砕いてお伝えしますね。
こちらが7つの項目です!!!!!!!!!!!!
a)責任はどっちにある????
b)もらった個人情報を安全に管理します宣言!
c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)
d)業務報告してくれるか(あんま気にしなくていいやつ)
e)この契約を守ります宣言!
f)破っちゃったらどうする?そんなときの対応を記載しているか
g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」
ニュアンスで伝わってくださるとうれしいです。
a)はなにかあったとき、責任は委託元か委託先、どちらにあるかですね。
b)は委託元に対して委託先がちゃんともらった個人情報は悪用せずに厳重に扱いますというもの
c)は再委託をする際の決めごとですね。これは会社様によって違ったりします。
再委託は禁止のところもあれば、再委託をする際には一言くださいってところもあります。
d)はうまく説明できませんがちゃんと業務遂行してますっていう報告ですね。
難しくとらえなくて大丈夫です。データの受け渡しをしただけでも業務報告に値します。
e)はこの契約書にかかれている内容をちゃんとまもりますよーってことですね。
だいたいどんな同意書や誓約書にもかかれているやつです。
f)はこの契約書にかかれている内容を破った時の処罰などに関してです。
g)はもし何か漏えいや事故があった際にどうするかです。
裁判沙汰~…とか大きい感じのことではなく「この部署に連絡ください」とかそんな感じです多分。
ちなみに、これ、契約書でよく抜けている項目があるんです。それが、
c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)
g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」
ここですね。
契約書を作る際には気を付けましょう!!!!
先述した、
①個人情報をちゃんと取り扱っているか
②契約書は締結しているか
この2つがを確認するのが3.4.3.4委託先の監督です。
\ お問い合わせフォームはこちら /
WEBお問い合わせ
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ