委託先、どうやって選んでいますか?【Pマーク取得の基礎知識】
皆さんの会社では業務の一部を別の会社や個人に委託していますか?
自社にノウハウがないとか人員が足りないなど、業務委託をするほうが好都合な場合は確かにあります。
委託先を選ぶときは慎重に
プライバシーマーク(Pマーク)の観点から言うと、とりわけ個人情報の取り扱いがかかわる仕事を社外に委託する場合、委託先の監督は厳重に行わなければなりません。
なぜでしょうか。委託先の個人情報管理について最終的な責任を持つのが自社だからです。委託先で情報漏えいが起きた場合に「うちの会社じゃないから関係ない」などと主張することは許されません。
委託先で起きる事故によって痛い目に合わないためにも、委託を始める段階で委託先を慎重に選ぶことは重要となってきます。
どのように委託先の選定を進めればよいでしょうか。
委託先の選定基準
まずは“選定基準”を設けなければなりません。
例えば以下のような選定基準を挙げることができます。
- プライバシーマーク(Pマーク)を取得しているか
- 個人情報保護責任者が置かれているか
- 個人情報保護の規程が定められているか
- すべての従業員に秘密保持誓約書を書かせているか
- 事務所来訪者の入退館記録を取っているか
- 個人情報は施錠できる場所に保管しているか
- 業務で使用するコンピュータにウイルス対策がなされているか
- 個人情報の送受信をする際にパスワードをかけているか
次に、選定基準をチェックリスト化するなどして、委託先として候補に挙げている会社や個人を実際に選定できるような仕組みを作ります。
このとき、選定基準に対してどのように評価を行うかも決めなければなりません。
選定基準に対しての評価
「実行されている」
「実行されているが問題あり」
「実行されていない」
といった3段階評価で採点する方法もありです。
ただし評価の区分があいまいで、評価を実施する社員によって結果が変わるというようなことがないよう注意すべきです。
また採点した結果について、一律「80点以上だったから委託先として合格」といった感じで判定するのは必ずしも適切ではありません。
選定基準の中には、その一点が欠けているだけでセキュリティ上重大な問題があると判断しなければならないものもあるからです。
逆に一部分が不足していても、他の部分で基準をおおむね満たしていれば委託先として適格と判断できる場合もあります。
たとえば「プライバシーマークを取得しているか」などの選定基準がそれに当たるかもしれません。
Pマークを持っていなくても個人情報の保護水準を満たしている会社や個人は存在します。
まとめ
重要なのは業務委託を開始する“前に”委託先を慎重に選ぶことです。
信頼できる委託先を選ぶことができれば、業務の効率化と個人情報保護を両立させることができます。
★こちらの記事もおすすめです!
→【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
