個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン
(平成20(2008)年2月29日告示)
に関するQ&Aに追加された内容があります。
【Q】
「委託先において実施される個人データの安全管理措置が、委託する当該業務内容に応じて、
少なくとも法第20条で求められる安全管理措置と同等であることを、合理的に確認する」
ための方法として、どのような方法がありますか。
【A】
例えば、当省ガイドラインの2-2-3-2.中【組織的安全管理措置として講じなければならない事
項】、【人的安全管理措置として講じなければならない事項】、【物理的安全管理措置として講じ
なければならない事項】、【技術的安全管理措置として講じなければならない事項】の各々に掲げ
られる【各項目を実践するために講じることが望まれる手法の例示】を参考にして、委託元は、委
託先における個人データの安全管理措置の実施状況を確認するためのチェックリストをあらかじめ
用意し、委託先の選定時や既存の委託契約の更新時に確認する方法が考えられます。
その他、チェックリストを用いない場合における委託先を評価する目安の一つとして、
合理的・客観的な基準により公正な第三者認証を得ていること等が考えられます。
合理的・客観的な基準により公正な第三者認証を得ている
プライバシーマークを意味しています
個人情報を含む業務を受託している場合、プライバシーマーク取得を求めるられるケースが増えそうです
個人情報保護法 第22条
個人情報取扱事業者は、個人データの取扱に全部又は一部を委託する場合は、その取扱を委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
JIS Q15001 規格No.3.4.3.4 委託先の監督
事業者は、個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定しなければならない。(後略)
得意先がPマークを取得している場合、上記の法や規格を順守するために発注先に対して何らかの基準を策定しいます。
例えば「委託先選定規程」の基準に「当社の発注先となる外注委託業者は、Pマーク認証取得以上の水準にある者に限る」などと規程していた場合、Pマーク取得を求められます。
しかし、Pマーク取得企業を限定して外注業者にする規程を策定していることは極稀で、個人情報を保護する仕組みを構築している企業であればOKとしているケースがほとんどです。
Case1
結婚式などの案内状の宛名を毛筆する業務では、住所、氏名の個人情報を取扱いますが、これをシルバー人材センター的な組織に委託する場合を想定して次のような規程にするケースがあります。
「委託先の個人情報保護水準が当社規程に満たない場合、当社内で作業することでリスクを回避できるものに限り個人情報保護管理者の承認を得て選定することができる。」
この場合、個人情報を社外に持ち出さないことでリスクを回避し、業務を円滑に進めるための規程とする一例です。
Case2
当社の委託先において、個人情報保護体制を確立して運用していることを個人情報保護管理者が認めた場合は、外注委託業者として選定することができる。
などと規程するケースもあります。
得意先からPマーク取得を求められた場合、一度その理由を聞いてみましょう
・個人情報および機密情報を管理する社内規程を策定して運用していますが、不十分ですか? などと
その為にPMS構築セットで社内規程を策定しておきましょう