Pマーク取得済みの委託先(銀行等)でも、個人情報保護の覚書締結は必要ですか?
弊社が利用している楽天銀行はすでにプライバシーマークを取得していますが、委託先の監督に関連し、個人情報保護に関する覚書の締結は必要でしょうか。
ご質問ありがとうございます。委託先がすでにPマークを取得している場合、信頼性は高いと言えますが、認定事業者としての「監督義務」は別問題として考える必要があります。
結論から申し上げますと、委託先がPマーク認定事業者であっても、個人情報保護に関する「契約」または「覚書」の締結は必須です。
その理由と、実務上の注意点を以下の3つのポイントで解説します。
1. JIS Q 15001(A.12)による厳格な要求
プライバシーマークの拠り所であるJIS Q 15001の「A.12 委託先の監督」では、委託先が認定事業者であるか否かを問わず、以下の事項を盛り込んだ「契約の締結」を義務付けています。
- 個人情報の漏えい、滅失または毀損の防止に関する事項
- 再委託に関する制限、または条件に関する事項
- 委託契約終了後の個人情報の返却または廃棄に関する事項
- 事故発生時の報告体制や責任の所在 など
これらは自社の個人情報を守るための具体的な「約束事」であり、相手が認定事業者であるからといって省略することは認められません。
2. 「認定」と「保証」の違いを理解する
以前の回答にもありました通り、プライバシーマークは「適切な保護体制を整備していること」を認定するものであり、「個別の委託業務において事故が起きないこと」を保証するものではありません。
たとえ相手が認定事業者であっても、貴社の情報を具体的にどう扱うか(返却方法や事故時の連絡ルートなど)を定めた合意がない限り、万が一の際の責任追及や指示が困難になります。審査においても、「相手が認定事業者だから契約していない」という理由は「不適合(指摘事項)」の対象となります。
3. 実務的な「落とし所」と独自の対応策
とはいえ、銀行などの大手企業に対して、自社指定の覚書に押印を求めるのが難しいケースも現実には存在します。その場合は以下の対応を検討してください。
- 約款の確認:
楽天銀行等のサービス利用規約や約款の中に、JISが求める「個人情報の取扱いに関する条項」が含まれているかを確認してください。その規約に合意して利用していれば、「契約締結」とみなすことができます。 - 基本契約書の確認:
すでに締結済みの「基本契約書」の中に、機密保持や個人情報保護に関する条項が含まれていれば、別途「覚書」を交わす必要はありません。
弊社サンプル文書集(覚書)の有用性
弊社の「個人情報の取扱いに関する覚書(見本)」は、JISの要求事項を網羅しつつ、審査でチェックされるポイント(再委託の事前承認ルールなど)を明確に記載しています。
もし既存の規約や契約書にこれらの要素が不足している場合は、弊社サンプルの「覚書」をベースに、不足している項目のみを補完する形で再契約を行うことをお勧めいたします。
