西山

委託先を選ぶ基準はどうなっていますか? その2【Pマーク取得の基礎知識】


 

前回の記事では委託先選定基準を作成するにあたって注意すべき点として、基準は委託する業務ごとに作成すること、また個人に委託する場合も選定基準を設けることを説明いたしました。

今回の記事でも委託先選定基準を設けるにあたりプライバシーマーク(Pマーク)取得会社として留意することを3点ほどご説明します。なお「委託先選定基準」とは個人情報を委託する会社や個人を選定する基準のことをいいます。

 

具体性のある選定基準を定める

委託先を選定する基準があること自体はプライバシーマーク(Pマーク)においても適切なことですが、問題は基準が存在するかどうかだけでなくその基準が具体的なものかどうかでもあります。

確かに「基準はあるけど評価する人によって判定も変わってしまう」というような基準では具体性があるといえません。あいまいで主観的な委託先選定基準はプライバシーマーク(Pマーク)上あってもないようなものです。

選定基準を作成するときは必ずその選定基準によって委託先が自社と同じレベル以上のセキュリティを持つ会社であることが客観的に確認できるものであるようにしてください。単に「プライバシーマーク(Pマーク)を取得・更新している」とか「プライバシーマーク(Pマーク)に準じた体制を整備している」などの漠然とした基準で委託先を選定することのないようにしましょう。

 

選定基準は委託先との優劣関係に左右されてはならない

多くの場合業務委託というのは会社間の信頼関係やその他のさまざまな関係性の中で実施されるものです。時には力関係において委託を受ける側が強く、要求を課しやすいという場合もあるでしょう。もちろん逆の場合もありえます。

このような場合に委託を検討しているプライバシーマーク(Pマーク)取得会社が特定の委託先の言いなりになって委託先の個人情報保護の状態が十分に担保できていないにもかかわらず個人情報を委託してしまうということが生じえます。

しかし個人情報保護のレベルがそのような事情によって左右されるべきでないのは言うまでもありません。たとえ委託先が優越的地位にあっても、必ず自社で定めた委託先選定基準によって評価をした後で委託するかどうかを決定するようにしてください。

 

選定基準は定期的に見直す

委託先選定基準はほかのプライバシーマーク(Pマーク)運用上の手順と同様定期的に見直す必要があります。見直しのタイミングとしては委託契約の更新時やリスク分析を見直し・更新した時などが考えられます。

委託先選定基準を見直す手順と時期を定め、それに沿って見直しを行うようにしましょう。

 

まとめ

委託は個人情報保護においてとても大切な事項です。自社がどんなに個人情報保護に努めていても委託先で事故が発生すれば結局のところ自社が責任を取ることになります。

委託によってそのような問題が生じないよう委託先の監督はプライバシーマーク(Pマーク)取得会社として責任を持って行うようにしましょう。そのための手順として委託先選定基準を正しく確立することが肝要なのです。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山