西山

委託先の監督が不十分とされる4つの例【Pマーク取得の基礎知識】


 

委託先」とは個人情報にかかわる業務を委託している会社などのことを指します。プライバシーマーク(Pマーク)取得会社として個人情報保護を維持するためには自社における個人情報の取り扱いだけでなく委託先における取り扱いについても監督の目を行き届かせなければなりません。

委託先を監督しているつもりでも場合によっては監督が不十分と判断されるケースもあります。プライバシーマーク(Pマーク)取得会社が特に気を付けるべき事例を4つほどご紹介します。

 

委託先の安全管理の状況を把握していなかった場合

プライバシーマーク(Pマーク)では個人情報の安全管理措置が求められていますが、プライバシーマーク(Pマーク)を取得している会社は自社に加え委託先においても安全管理措置が徹底されるように見届けなければなりません。

委託先と委託契約を締結した時点または更新するタイミングで契約書面上では相手方の安全管理内容を確認するかもしれませんが、現実にどのような管理がなされているかという点も把握しておく必要があります。

仮に委託先の安全管理措置の状況を把握しておらず、その結果個人情報の漏えいなどが生じた場合は委託元としても監督不十分の責めを負うことになります。

 

委託先に必要な指示を与えなかった場合

安全管理措置についていうと、プライバシーマーク(Pマーク)取得会社は委託先の管理状況を把握するだけなく、必要とあらば指示を与える必要があります。もしデータのアクセス制限が緩ければその部分を指摘すべきですし、入退室管理が不十分であれば必要な安全管理方法をプライバシーマーク(Pマーク)の規格に準じて指示すべきなのです。

委託先で個人情報事故が発生した場合に委託元が十分な指示を与えていなかったことが明らかになれば、委託元も責任の一端を負うことになります。

 

再委託先を管理していなかった場合

「再委託」とは委託を受けた業者がさらに別の業者に委託をすることです。プライバシーマーク(Pマーク)取得会社は自社の個人情報の安全な取り扱いを確実にするために再委託についても必要な管理策を講じるべきです。

たとえば委託先に再委託に関する指示や条件を提示するなどのアクションは最低限必要でしょう。これを十分に行っていなかったことが原因で再委託先で個人情報が漏えいしたときは委託元にも責任があるといわざるをえません。

 

再委託の状況を把握していなかった場合

委託先との業務委託契約や業務委託更新契約の中に“委託元は委託先が実施する再委託の状況を監督する”という規定があるにもかかわらず再委託があるかどうかを把握していないプライバシーマーク(Pマーク)取得会社がある場合、このような場合でも委託先の監督が不十分と見なされます。

そうならないためにも再委託に関する報告を定期的に委託先に求めるなどの措置などが求められます。

 

まとめ

委託先の監督は、プライバシーマーク(Pマーク)や個人情報保護法の主旨に沿って、また業務委託契約書の中で合意した事項の通りに行うようにしましょう。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山