Pマーク(プライバシーマーク:JIS Q 15001) 3.4.3.4項「委託先の監督」規格解釈


こんにちは!
もう6月もおわってしまいますね。

6月といえば私は先日、福生市のホタル祭りに行って蛍を見てきました。
ちびっこたちにかこまれながらホタルを見ました。

人生初ほたるです。すごくきれいでした!!!!!!
都会にもホタルっているんですね!感激!!!!!

と思っていたら、あれは養殖だよ、と夢のない一言をもらいました。
世知辛い世の中です。

話が脱線してしまいましたね。
こんにちは。こんばんは。ISO総合研究所コンサルタントの野村です。

今日はPマーク(プライバシーマーク)の規格3.4.3.4の委託先の監督についてお話しいたします。
いっぱい噛み砕いておいたので初心者さんにもわかりやすいかと思います!!!もぐもぐ。

委託先について

まず初めに。

「委託先ってなーーーにーーーー????」

ここから始めましょう。「委託先」でググってみました。

委託先とは、業務を委託した相手。作業を委ねた相手。(日本語表現辞典Weblioより引用)らしいです。

税理士さんや労務士さんがあてはまりますね。そのほかにも、レンタルサーバ、クラウド、採用支援業者や名刺印刷業者なども委託先に当たります。
なんかとりあえず大体ほかの会社さんにお仕事お願いしてたら、それはだいたい委託先なんだと思ってもらっていいと思います。

委託先の監督

委託先の意味がわかったところで、委託先の監督のお話しにもどりましょう。

委託先の監督とは、個人情報を渡している委託先に対して評価する、ということです。
委託先の監督は、大きく分けて2つです。実は簡単なんです

①個人情報をちゃんと取り扱っているか
②契約書は締結しているか

①個人情報をちゃんと取り扱っているか

まずは①の「個人情報をちゃんと取り扱っているか」から学んでいきましょう!

「個人情報をちゃんと取り扱っているか」これは主に4つの措置について見られます。

物理的安全管理措置
人的安全管理措置
組織的安全管理措置
技術的安全管理措置

漢字がいっぱいですね。難しそうですね。読む気が失せますね。
これをもう少しわかりやすく解説していきます。

物理的安全管理措置

これは物理的に個人情報を守っているかです
具体例は、紙媒体の個人情報ならちゃんと鍵付きのキャビネットや金庫に保管しているか。
そのほかに、従業員の入退室管理なんかもあてはまっちゃいます!

人的安全管理措置

これは人ですね。人。
つまりは「個人情報ってこんなに大切なんだよ~、ちゃんと大切に扱ってね~」という教育がなされているか等ですね。
説明がかなり雑ですが、まあ、なんか、そんな感じです。

組織的安全管理措置

組織的?!なんかかっこいい!黒の組織を思い出す!!!!なんて思っちゃいますね。
思いませんか?私が最近コナンの映画を見たからかもしれませんね。

今年のコナンの映画は素敵でした。
すごい毎年見ているかのように書いてますが、劇場版なんてみたの何年振りかわかりません。
ちなみに私は安室さんがタイプです。たれ目の二重、金髪長髪なんて最高以外のなにものでもないです。

話がそれました。
組織的安全管理措置ですね。

これは委託先がPマーク(プライバシーマーク)を取得しているかや、委託先と契約書を結んでいるか、個人情報を触る管理者をきめているか等です。
なんだか一番ピンとこない感じはしますがそんなとこです。なんとなくご理解いただけると幸いです。

技術的安全管理措置

これはなんとなくわかる気がしますね。
技術的。
たとえばアクセスログをとっているか、ウイルス対策は実施されているか、IDやPASSをつけているか等です。

途中脱線しかけましたがこれが「個人情報をちゃんととりあつかっているか」の四項目でした!!!!

②契約書は締結しているか

次に「契約書は締結しているか」
これはJISの規格で7つの項目を記載することが義務付けられています。

JISの規格通り書くと難しいです。きっとみなさんも読む気が失せると思います。
なので噛み砕いてお伝えしますね。

こちらが7つの項目です!!!!!!!!!!!!

a)責任はどっちにある????
b)もらった個人情報を安全に管理します宣言!
c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)
d)業務報告してくれるか(あんま気にしなくていいやつ)
e)この契約を守ります宣言!
f)破っちゃったらどうする?そんなときの対応を記載しているか
g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

ニュアンスで伝わってくださるとうれしいです。

a)はなにかあったとき、責任は委託元か委託先、どちらにあるかですね。

b)は委託元に対して委託先がちゃんともらった個人情報は悪用せずに厳重に扱いますというもの

c)は再委託をする際の決めごとですね。これは会社様によって違ったりします。
再委託は禁止のところもあれば、再委託をする際には一言くださいってところもあります。

d)はうまく説明できませんがちゃんと業務遂行してますっていう報告ですね。
難しくとらえなくて大丈夫です。データの受け渡しをしただけでも業務報告に値します。

e)はこの契約書にかかれている内容をちゃんとまもりますよーってことですね。
だいたいどんな同意書や誓約書にもかかれているやつです。

f)はこの契約書にかかれている内容を破った時の処罰などに関してです。

g)はもし何か漏えいや事故があった際にどうするかです。
裁判沙汰~…とか大きい感じのことではなく「この部署に連絡ください」とかそんな感じです多分。

ちなみに、これ、契約書でよく抜けている項目があるんです。それが、

c)再委託について書いているか(再委託ダメゼッタイ、やるときは言ってね、ご自由にどぞーetc…)
g)事件があった時に報告してください!「うちの部署の○○に連絡してね☆」

ここですね。
契約書を作る際には気を付けましょう!!!!

先述した、

①個人情報をちゃんと取り扱っているか
②契約書は締結しているか

この2つがを確認するのが3.4.3.4委託先の監督です。

これでもうあなたも委託先マスター★
また来月もよろしくお願いします★★★

ご観覧いただきありがとうございました!!!!!!!!!!!!

\ お問い合わせフォームはこちら /

WEBお問い合わせ


【ISO総研】メールマガジン登録

ISO・Pマークに関する情報をお届けします!

メールアドレスをご入力後、
「次へ」ボタンをクリックして下さい。

メールアドレス