派遣先職場のルールに則った個人情報管理でよいのか?
SEの派遣先を考慮しなくてよいのかという疑問が再び湧いております。
派遣契約の場合は指揮命令権が派遣先責任者にあるため、派遣先職場のルールに則った個人情報管理でよいと認識しておりますが、その認識であっていますでしょうか?
また、受託・請負契約かつ作業場が客先である場合、指揮命令権が(契約上は)当社にありますが、派遣先職場のルールに則った個人情報管理で良いのでしょうか?
当社の個人情報保護規程に特別な規定を設ける必要があるでしょうか?
個人情報保護規程では「業務の責任者」を組織上の責任者としているため、SEにとっては彼らが所属する「技術部の責任者」となるわけですが、上記のような場合、日常的には「客先の作業責任者」ということになります。
規程の中に「客先の作業責任者」を定義し、「緊急時の対応」等で指示命令を受ける者という位置づけにしておいた方が、やはりよいでしょうか?
ご質問ありがとうございます。ITエンジニアが社外で稼働する際の管理体制について、実務に即した重要な視点です。
結論から申し上げますと、「現場のセキュリティルールに従う」のは大前提ですが、Pマーク上の「従業者監督責任」は依然として自社(貴社)にあるという切り分けが重要になります。
1. 派遣・受託(請負)契約における管理責任の考え方
契約形態によって、指揮命令権の所在が異なるため、以下の通り整理します。
- 派遣契約の場合:
指揮命令権が派遣先にあるため、エンジニアは派遣先の管理体制(職場ルール、設備、セキュリティ環境)に完全に従うことになります。貴社の規程に派遣先ごとの詳細なルールを設ける必要はありません。 - 受託・請負契約(客先作業)の場合:
指揮命令権は貴社にあります。しかし、作業場が客先である以上、物理的・環境的なセキュリティ(PCの持ち出し制限、フロア入退室等)は客先のルールに従わざるを得ません。
【ポイント】
いずれの契約形態であっても、貴社は自社の従業者(エンジニア)に対し、「客先のルールを遵守すること」を自社ルールとして義務付け、監督する必要があります。
2. 規程への「客先の作業責任者」の定義について
規程内で「客先の作業責任者」を詳細に定義する必要はありませんが、「緊急時の報告ルート」については整理しておくことを強く推奨します。
- 「客先の責任者」の位置づけ:
規程に役職名などを細かく定義するのではなく、「客先常駐業務においては、常駐先の指揮命令者またはセキュリティ責任者の指示に従うものとする」といった包括的な一文を共通ルールとして設けるのが効率的です。 - 緊急事態の対応:
インシデント発生時、現場では「客先の責任者」へ即時報告し指示を仰ぐ必要がありますが、Pマーク上は「自社(貴社)への報告」も必須です。報告フロー図に「客先責任者」と「自社窓口」の両方を組み込んでおくことが、審査における「独自性」と「実効性」の評価に繋がります。
3. 具体的な対策案:規程を重くしない「軽量化」の工夫
規程本体を複雑にする代わりに、以下の運用でカバーするのが「有用性」を高めるコツです。
- 誓約書の活用:
入社時や常駐開始時の誓約書に「派遣先・客先のセキュリティ規程を遵守する」旨の条項を明記します。 - 就業規則または社外勤務規定:
日常的な指示命令については、個人情報保護規程ではなく「就業規則」や「外勤管理規定」の枠組みで、「現場責任者の指示に従う」旨を定めておくのがスマートです。 - 教育の実施:
「自社のルール」と「客先のルール」が異なる場合の優先順位や、客先情報の持ち出し禁止について、エンジニアに定期的な教育を行います。
4. 補足
Pマークの審査では、自社の管理が及ばない「社外」で働く従業者をどうコントロールしているかが厳しくチェックされます。
規程を細かくすることよりも、「エンジニアが実際に客先のルールを理解し、事故時に貴社へも報告が上がる体制になっているか」という実態を、教育記録等で証明できるように準備してください。
まずは、規程の中に「社外勤務時は現場のルールに従うこと、ただし重大な事案は直ちに自社へも報告すること」という基本方針を一段落加えることから着手されるのが最適です。
