2024年4月2日
Pマーク(プライバシーマーク)における委託先管理とは、個人情報を取り扱う委託先企業や団体の適切な管理・監督・指導を行うことです。最低でも年に1回は委託先の管理を行う必要があります。
また、個人情報の取り扱いにおいて、「委託」と「提供」を誤解しやすいため、注意が必要です。
目次
- 1.Pマークにおける「委託先管理」とは
- 2.委託先管理の大きな流れ
- (1)委託先を洗い出す
- (2)『委託先評価表』の作成
- (3)委託先の評価方法を決める
- (4)委託先評価実施
- (5)NDA(機密保持契約書)の締結
- 3.そもそも「委託」とは
- (1)個人情報の「委託」について
- (2)「委託」と「提供」の違い
- 4.委託先管理を簡単にする3つの方法
- (1)チェック項目を増やしすぎない
- (2)評価表に回答してもらえない企業に対して無理にチェックをしない
- (3)基準に達しないときは特例を設ける
- 5.Pマーク取得の審査で見られるポイント
- 6.委託先を見直すタイミング
- 7.委託先が「再委託」する場合
- (1)「再委託」とは
- (2)「再委託」の状況を把握する
- 8.委託先選定を適当に行ってしまうと…
- 9.正しくPマーク取得の委託先を選ぼう
- まとめ
1.Pマークにおける「委託先管理」とは
Pマークにおける「委託先管理」とは、個人情報を取り扱う委託先企業や団体の適切な管理・監督・指導を行うことを指します。
委託先が個人情報を適切に取り扱っているかを定期的に監査することが求められます。
また、委託先に対して必要な指導を行い、個人情報を適切に管理しているかが大切です。
2.委託先管理の大きな流れ
(1)委託先を洗い出す
- 『委託先一覧』を作成する
委託している企業や個人事業主をリストアップします。選んだ委託先企業や個人事業主で委託先一覧を作成します。 - 委託先の情報をすべて記載する
一覧には、企業名や担当者名、連絡先、担当業務を記載します。また、Word、Excelのツールを利用すると便利です。
(2)『委託先評価表』の作成
委託先一覧を作成した後は委託先を評価する為の評価表を作成します。
評価票を作成するにあたってまず評価基準を決定します。
評価基準を決めることで、委託先を客観的に比較することができます。
(3)委託先の評価方法を決める
評価方法を、費用や納期、技術や信頼性などの面から設定します。
評価方法に決まったルールはなく、企業ごとに自由に決めることができます。
- 訪問し評価する
委託先へは訪問し評価してもいいですが、最近ではビデオ会議で評価される企業様も増えてきております。 - 評価表を先方へ送付
評価した後は評価結果を委託先へお送りしましょう。 - 委託先が公開する規約やポリシーの確認
委託先のHPなどに掲載されている規約やポリシーを確認し、情報リテラシーが守られているかなどを把握しましょう。
(4)委託先評価実施
委託先評価の基準・方法ができれば実際に評価を行います。
基準を基に特定した委託先の評価を行い、取引をしても大丈夫なのか判断していただきます。
その際、注意してもらいたいのが、過去に行われた業務の成果や顧客からの評価、その業界での評判なども考慮することが必要になる点です。
(5)NDA(機密保持契約書)の締結
NDAで保護する秘密情報を明確に定義する必要があります。
秘密情報には、製品や技術、営業戦略、財務情報などが含まれます。
NDAで保護する範囲を限定することで、不要な情報の共有を防ぐことができます。
NDAを締結するためには、情報提供側と情報受信側の双方が合意する必要があります。
秘密情報の取り扱い方法や期間、根拠時の罰則など、具体的な条件を取り決め、保証や免責事項などを記載する場合もあります。
3.そもそも「委託」とは
(1)個人情報の「委託」について
個人情報の委託とは、事業者が、個人情報を外部の第三者に提供することなく、個人情報を適切に管理するために、専門的な知識や技能を持つ企業に個人情報の取扱いを委託することを指します。
例えば、マーケティング調査やアンケート調査のために、アウトソーシング業者に個人情報を提供する場合、そのアウトソーシング業者に個人情報の適切な管理を委託することがあります。
(2)「委託」と「提供」の違い
「委託」とは、ある人や企業が、特定の業務やプロジェクトを外部の専門家や企業に依頼し、その専門家や企業に報酬を支払ってその業務やプロジェクトを処理してもらうことを指します。
この場合、委託元が外部の専門家や企業に対して、業務の処理に必要な情報や資料を企業に提供する場合がありますが、委託元企業が管理する情報や資料を外部に提供するわけではありません。
一方、「提供する」とは、ある人や企業が、他の人や企業に情報や商品、サービスなどを提供することを指します。
また、個人情報の提供とは、ある企業が別の企業に対して、顧客の個人情報を提供することを指します。
つまり、委託とは業務やプロジェクトの委託を外部に依頼することであり、提供とは情報や商品、サービスを外部に提供することであると断言します。
4.委託先管理を簡単にする3つの方法
(1)チェック項目を増やしすぎない
委託先管理のチェック項目は、Pマークの認証基準や個人情報保護法の規定を参考に、必要最低限の項目に絞り、適切に管理することが重要です。
また、チェック項目には、委託先企業のセキュリティ対策や情報流出防止制度、委託先企業の社員教育の実施状況などが含まれることが一般的です。
最終的には、Pマークの取得を目指す企業や組織は、委託先企業の正当性を十分に評価し、必要なチェック項目についてはきちんと確認することが大切です。
(2)評価表に回答してもらえない企業に対して無理にチェックをしない
全ての委託先から評価結果が返ってくるわけではありません。
そのため、関係性が悪化し、仕事が進行できなくなるような事態を避けるために、無理に評価結果を回収する必要はありません。
(3)基準に達しないときは特例を設ける
委託先企業が基準に達しない場合でも、その企業が個人情報を適切に取り扱っていることが明らかであれば、特例を設けることができます。
例えば、委託先企業が適切なセキュリティ対策を講じている場合や、個人情報漏洩事故が過去にない場合など、その企業が信頼できると判断される場合は、特例として認めることができます。
ただし、特例を設ける場合でも、個人情報保護法やPマークの認証基準に違反しないように注意が必要です。
また、特例を設ける場合は、その理由や判断基準を明確にすることが望ましいでしょう。
最終的には、委託先企業がPマークの基準を達成することが最も望ましいため、委託先企業との適切なコミュニケーションを図り、適正な委託先管理を実現することが重要です。
5.Pマーク取得の審査で見られるポイント
プライバシーマーク審査では、委託先管理の正当性を確認するために、以下のようなポイントがチェックされるでしょう。
- 委託先の選定プロセスが適切に実施されているか
- 契約書において、個人保護情報に関する適切な同意が盛り込まれているか
- 委託先企業が、情報セキュリティに関する適切な対策を行っているかどうか(具体的にはアクセスの制御やログ管理などのセキュリティ対策が実施されているか)
6.委託先を見直すタイミング
Pマークの委託先を定期的に見直すことは、個人情報保護を維持するために非常に重要です。
一般的には、以下のようなタイミングでの見直しが推奨されています。
契約更新時期:委託先企業が個人情報を適切に押さえているかを再確認することが重要です。対策や運用管理についての詳細な確認を行うことが推奨されます。
セキュリティ事故の発生時:委託先企業においてセキュリティ事故が発生した場合には、その原因や対応状況を確認することが重要です。
委託先企業の変更時:委託先が変更となる場合には、新しい委託先企業に対して個人情報保護に関する事項を盛り込み契約を進めることが必要です。
以上のようなタイミングで、Pマークの委託先を定期的に見直し、適切な対応を行うことが、個人情報保護において重要なポイントとなります。
7.委託先が「再委託」する場合
(1)「再委託」とは
再委託とは、企業が委託された業務の一部または全部を、委託元企業から許可を得て、別の企業に再度委託することを指します。
再委託は、業務を適切に行うために必要な場合があります。
例えば、委託先企業が、自社で行うことができない業務を再委託する場合があります。
また、委託先企業が人員不足で業務を完了できない場合、別の企業に再度委託することもあります。
ただし、再委託は、個人情報保護法に基づく規制があり、情報セキュリティ対策を行うことが求められます。
また、再委託先企業は、委託元と同じく個人情報保護法に基づく適切な個人情報の取り扱いを行うことが求められます。
委託元企業は再委託先に対して責任を負うことになります。
(2)「再委託」の状況を把握する
委託先が再委託を行っていないか把握しましょう。
再委託を行っていると再委託先の管理が問題ないのかを把握する必要がございます。
8.委託先選定を適当に行ってしまうと…
委託先選定を適当に行ってしまうと、品質に問題が発生しお客様からの信頼低下、最悪の場合、法令違反で会社自体の存続が危ぶまれる可能性もあるかもしれません。
「弊社は大丈夫」と思わずにしっかりと委託先を選定しましょう。
9.正しくPマーク取得の委託先を選ぼう
Pマークを取得するためには、委託先を選ぶ際に以下の点に注意する必要があります。
個人情報保護法に基づいた委託先選定を行い、委託先企業が個人情報を適切に取り扱うことが求められます。
そのため、委託先企業が個人情報保護法に準拠しているかを確認します。
委託先選定に反映させることが必要です。
まとめ
委託先企業の実績や信頼性 Pマーク取得のためには、委託先企業の実績や信頼性を確認することが重要です。
委託先企業が過去に個人情報漏えいなどのトラブルが起きたことがある場合には、委託先企業の選定を見直す必要があります。
委託先企業の情報セキュリティ対策 委託先企業が情報セキュリティ対策を適切に行っているかを確認することも大切です。
委託先企業との契約内容には、個人情報保護に関する同意書を明示的に盛り込むことが必要です。責任を負うことになるため、契約書の内容には十分に注意する必要があります。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ