岡本

【Pマーク取得後の運用について(個人情報業務の委託先)】


無事にPマークを取得した後でも、運用として行なうべきことをお伝えさせて頂きます。

今回は、「個人情報業務の委託先」についての内容です。

 

個人情報業務の委託する場合

個人情報業務を委託する場合、委託先が当該企業と同等以上の安全対策が実施されている委託先を選定することが条件となっております。

委託先の選定というと一度、選定をしてしまえば、そのままでOKと考えておられる方も多いかもしれません。

しかし、委託先に関しても、PMSの年に一度の見直し事項に含まれております。

毎年、同じ企業様でも評価を続けなければならないのです。

ちなみに、委託先は「一般の委託先」と「ASPやクラウドの委託先」、及び「個人事業主の委託先」の3種類にわかれており、個人事業主でもきちんと評価しなければなりません。

 

Pマークを保持している委託先は評価を行わずに委託先として合格となります

もちろん、Pマークを持っていない企業様でも取引可能です。

合わせて、評価の基準点に到達していない委託先でも、特殊な技術を保持しているとか、長年の付き合いで信用できる委託先で評価は未達であるがはずせない委託先については「特記事項」として、その旨記載し個人情報保護管理者の承認を得れば委託することも可能です。

 

新しい、委託先が増えた場合

評価表での確認と合わせて、「個人情報の委託に関する覚書」などで委託先と契約書を締結することが必要となります。

ただし、委託先のサービス商品となっている委託先(※1)については個別の覚書の締結などは拒否されるので、委託先がホームページに掲載している「利用規約」や「サービス約款」等をコピーして覚書の代替とすることが出来ます。

※1)サービスを提供している顧客数が大きな企業です。例)サーバー提供会社、顧客管理システム提供会社等

 

まとめ

いかがでしたでしょうか?

今回は個人情報業務の委託先についてまとめてみました。

参考して頂けると幸いです。

★こちらの記事もおすすめ

→【仮想通貨を支えるブロックチェーン技術の仕組みと取引所のセキュリティってどうなっている?(ISMS取得事業者からよくある質問)】

この記事を書いた人

upf_pmark
upf_pmark
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。

プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 岡本