委託先を選ぶ基準はどうなっていますか? その1【Pマーク取得の基礎知識】

個人情報の取り扱いにかかわる業務を外部に委託するケースもあるでしょう。プライバシーマーク(Pマーク)(Pマーク)ではこのような委託が発生する場合に委託先を適切に監督することを要求しています。
しかしながら委託先の管理というのは委託業務が開始してから始まるものではありません。もっと前の段階、すなわち“どこを委託先として選ぶか?”ということを検討する段階から始まっているのです。
プライバシーマーク(Pマーク)取得会社であれば委託先を適切に選ぶようルールを定めているはずですが、今回と次回の記事ではこの問題を少し掘り下げてみたいと思います。
委託先選定基準について
プライバシーマーク(Pマーク)の規格ガイドラインには「委託先選定基準」という言葉が出てきます。「委託先選定基準」とは個人情報を委託する会社や個人を選定する基準のことで、プライバシーマーク(Pマーク)取得会社はこの基準をあらかじめ社内で確立していなければなりません。
委託先選定基準を定めるにあたって注意すべき点が5つほどありますので、順に見ていきましょう。
基準は委託する業務ごとに作成する
個人情報の委託が生じうる業務といったらどのようなものが思い浮かびますか? たとえば社労士などに委託する従業員の労務管理があります。レンタルサーバ利用など情報の保管業務を委託する場合もあるでしょう。ほかにもダイレクトメールの発送でお客様の住所などの個人情報を委託したりすることもあります。
個人情報を委託するという点が共通しているのは確かですが、委託する個人情報の内容や量や利用目的は委託する業務ごとに異なります。
ですからプライバシーマーク(Pマーク)が作成するよう求めている委託先選定基準も委託業務ごとに作る必要があるのです。
基本的な個人情報の取り扱いを問うような選定基準項目は共通していてよいかもしれませんが、細かい部分では各委託業務に合わせた項目を設けるようにするのが適切です。
個人に委託する場合も選定基準を設ける
委託業務の大部分は会社などの法人に対して委託するものですが、中には個人に対して委託を行うこともあるでしょう。たとえばフリーランスの講師に従業員研修を依頼し、その際に従業員の基本的な個人情報を提供したりするというような場合があります。
個人に委託するような場合でもやはり委託先選定基準は適用すべきです。個人だから個人情報保護のレベルはあまり問わないというようなことがあってはなりません。
確かに個人と会社では個人情報保護やセキュリティにおいて実行可能なことに差があります。ですから個人への委託が一度ならず生じるようなプライバシーマーク(Pマーク)取得会社であれば、個人への委託用の選定基準を作成するのも一つの方法かもしれません。
まとめ
業務ごとに委託先選定基準を確立する場合でも、また個人への委託のための選定基準を別途用意するとしても、大切なのはその基準が妥当なものであることです。プライバシーマーク(Pマーク)を取得・更新している会社は自社の委託先選定基準がどのような観点で作成されたものなのかを説明できるようでなければなりません。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]