西山

委託先、どうやって選んでいますか?【Pマーク取得の基礎知識】


 

皆さんの会社では業務の一部を別の会社や個人に委託していますか?

自社にノウハウがないとか人員が足りないなど、業務委託をするほうが好都合な場合は確かにあります。

 

委託先を選ぶときは慎重に

プライバシーマーク(Pマーク)の観点から言うと、とりわけ個人情報の取り扱いがかかわる仕事を社外に委託する場合、委託先の監督は厳重に行わなければなりません。

なぜでしょうか。委託先の個人情報管理について最終的な責任を持つのが自社だからです。委託先で情報漏えいが起きた場合に「うちの会社じゃないから関係ない」などと主張することは許されません。

委託先で起きる事故によって痛い目に合わないためにも、委託を始める段階で委託先を慎重に選ぶことは重要となってきます。

どのように委託先の選定を進めればよいでしょうか。

 

委託先の選定基準

まずは“選定基準”を設けなければなりません。

例えば以下のような選定基準を挙げることができます。

  • プライバシーマーク(Pマーク)を取得しているか
  • 個人情報保護責任者が置かれているか
  • 個人情報保護の規程が定められているか
  • すべての従業員に秘密保持誓約書を書かせているか
  • 事務所来訪者の入退館記録を取っているか
  • 個人情報は施錠できる場所に保管しているか
  • 業務で使用するコンピュータにウイルス対策がなされているか
  • 個人情報の送受信をする際にパスワードをかけているか

次に、選定基準をチェックリスト化するなどして、委託先として候補に挙げている会社や個人を実際に選定できるような仕組みを作ります。

このとき、選定基準に対してどのように評価を行うかも決めなければなりません。

 

選定基準に対しての評価

「実行されている」

「実行されているが問題あり」

「実行されていない」

といった3段階評価で採点する方法もありです。

ただし評価の区分があいまいで、評価を実施する社員によって結果が変わるというようなことがないよう注意すべきです。

また採点した結果について、一律「80点以上だったから委託先として合格」といった感じで判定するのは必ずしも適切ではありません。

選定基準の中には、その一点が欠けているだけでセキュリティ上重大な問題があると判断しなければならないものもあるからです。

逆に一部分が不足していても、他の部分で基準をおおむね満たしていれば委託先として適格と判断できる場合もあります。

たとえば「プライバシーマークを取得しているか」などの選定基準がそれに当たるかもしれません。

Pマークを持っていなくても個人情報の保護水準を満たしている会社や個人は存在します。

 

まとめ

重要なのは業務委託を開始する“前に”委託先を慎重に選ぶことです。

信頼できる委託先を選ぶことができれば、業務の効率化と個人情報保護を両立させることができます。

★こちらの記事もおすすめです!
【シャレにならない新ルール(EUの個人情報保護)【GDPRでISMS取得も有効な対策】】

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山