個人情報に関する覚書の「従業員」には、アルバイトや役員も含めるべきですか?
今度委託業者との間で個人情報に関する覚書を締結する予定ですが、頂きましたドラフトの覚書の中で「乙は、甲より預託された個人情報を、業務上知る必要のある従業員にのみ取り扱わせるものとする。」とあります。
ここで、先方の業務によっては従業員だけでなく、パート・アルバイト・契約社員または役員にも扱わせる場合もあるかと思います。
しかしながら、あまり広くしすぎてしまうと、流出の恐れが大きくなるという懸念も考えられます。
どれぐらいで締結しておいた方がよいなどのご意見はございますでしょうか?
(他社様はどれぐらいにしているなどありますか?)
結論から申し上げますと、「役職や雇用形態(正社員・アルバイト等)」で区別するのではなく、「業務上の必要性」で制限するという書き方が、Pマークの理念および実務リスク管理の両面で最適です。
以下に、他社事例や審査の傾向を踏まえた3つのポイントを解説します。
1. 「従業者」の定義を正しく理解する
Pマーク(JIS Q 15001)における「従業者」には、正社員だけでなく、役員、契約社員、パート・アルバイト、さらには派遣社員も含まれます。そのため、覚書に「従業員」と記載されている場合、一般的にはこれらすべてを指すと解釈して差し支えありません。
もし特定の雇用形態を除外したい、あるいは含めたいという意図がある場合は、「役員、正社員、契約社員、パート・アルバイト等、雇用形態を問わず」と補足することもありますが、「業務上知る必要のある者」という限定句があれば、範囲を適切に絞り込むことができます。
2. 「雇用形態」より「管理体制」を重視すべき理由
ご懸念の「流出の恐れ」は、雇用形態の広さよりも、「その人たちが機密保持の義務を負っているか」に依存します。
他社様の多くは、従業者の範囲を細かく指定する代わりに、以下のような条項を維持・追加することでリスクヘッジを行っています。
- 機密保持誓約書の徴求:
「乙(委託先)は、本業務に従事するすべての従業者に対し、機密保持に関する誓約書を提出させ、その義務を遵守させるものとする」といった一文を入れます。 - 教育の実施:
雇用形態に関わらず、個人情報を取り扱う者全員に教育を行わせることを義務付けます。
3. Pマーク審査と「実務の落とし所」
JIPDECの審査員は、「性悪説」に基づき、委託先で「誰が、いつ、どこで」触れる状態にあるかを厳格に確認します。単にBtoB(会社間)の契約があるだけでは不十分とされ、「従業者個人に対してもしっかりと縛りがかかっているか」を問われます。
【他社様でよく取られる対応事例】
- 基本路線:
文言は「業務上知る必要のある従業者」のまま変えず、別途、委託先に対して「従業者名簿(アクセス権限者リスト)」の提出を求める。 - 厳格なケース:
特に重要度が高い情報を預ける場合、従業者名簿に加えて、その従業者らがサインした「機密保持誓約書の写し」の提出まで求めることがあります。
結論としてのアドバイス
現在のドラフトにある「業務上知る必要のある従業員にのみ取り扱わせる」という表現は、非常に汎用性が高く、かつPマークの「アクセス制限」の考え方に合致したベストプラクティスと言えます。
もし先方から「パートや役員も含まれるか?」と問われた際は、「雇用形態は問わないが、本業務に直接関与し、かつ貴社との間で機密保持の誓約がなされている者に限る」と回答するのが最も合理的です。
無理に範囲を細かく定義して運用を硬直化させるよりも、「アクセスする者全員に義務を課す(誓約書をとる)」という管理体制を徹底させる方向で締結されることをお勧めいたします。
