fbpx

情報セキュリティにまつわる
お役立ち情報を発信

委託先を選ぶ基準はどうなっていますか? その1【Pマーク取得の基礎知識】

 

個人情報の取り扱いにかかわる業務を外部に委託するケースもあるでしょう。プライバシーマーク(Pマーク)ではこのような委託が発生する場合に委託先を適切に監督することを要求しています。

しかしながら委託先の管理というのは委託業務が開始してから始まるものではありません。もっと前の段階、すなわち“どこを委託先として選ぶか?”ということを検討する段階から始まっているのです。

プライバシーマーク(Pマーク)取得会社であれば委託先を適切に選ぶようルールを定めているはずですが、今回と次回の記事ではこの問題を少し掘り下げてみたいと思います。

 

委託先選定基準について

プライバシーマーク(Pマーク)の規格ガイドラインには「委託先選定基準」という言葉が出てきます。「委託先選定基準」とは個人情報を委託する会社や個人を選定する基準のことで、プライバシーマーク(Pマーク)取得会社はこの基準をあらかじめ社内で確立していなければなりません。

委託先選定基準を定めるにあたって注意すべき点が5つほどありますので、順に見ていきましょう。

 

基準は委託する業務ごとに作成する

個人情報の委託が生じうる業務といったらどのようなものが思い浮かびますか? たとえば社労士などに委託する従業員の労務管理があります。レンタルサーバ利用など情報の保管業務を委託する場合もあるでしょう。ほかにもダイレクトメールの発送でお客様の住所などの個人情報を委託したりすることもあります。

個人情報を委託するという点が共通しているのは確かですが、委託する個人情報の内容や量や利用目的は委託する業務ごとに異なります。

ですからプライバシーマーク(Pマーク)が作成するよう求めている委託先選定基準も委託業務ごとに作る必要があるのです。

基本的な個人情報の取り扱いを問うような選定基準項目は共通していてよいかもしれませんが、細かい部分では各委託業務に合わせた項目を設けるようにするのが適切です。

 

個人に委託する場合も選定基準を設ける

委託業務の大部分は会社などの法人に対して委託するものですが、中には個人に対して委託を行うこともあるでしょう。たとえばフリーランスの講師に従業員研修を依頼し、その際に従業員の基本的な個人情報を提供したりするというような場合があります。

個人に委託するような場合でもやはり委託先選定基準は適用すべきです。個人だから個人情報保護のレベルはあまり問わないというようなことがあってはなりません。

確かに個人と会社では個人情報保護やセキュリティにおいて実行可能なことに差があります。ですから個人への委託が一度ならず生じるようなプライバシーマーク(Pマーク)取得会社であれば、個人への委託用の選定基準を作成するのも一つの方法かもしれません。

 

まとめ

業務ごとに委託先選定基準を確立する場合でも、また個人への委託のための選定基準を別途用意するとしても、大切なのはその基準が妥当なものであることです。プライバシーマーク(Pマーク)を取得・更新している会社は自社の委託先選定基準がどのような観点で作成されたものなのかを説明できるようでなければなりません。

・こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る