プライマシーマーク制度に認定している組織への委託先監督において、個人情報保護に関する覚書は必要ない?
弊社が利用している楽天銀行はすでにプライバシーマークを取得していますが、委託先の監督に関連し、個人情報保護に関する覚書の締結は必要でしょうか。
プライバシーマーク認定を受けた企業であろうと関係はなく、JIS Q 15001:2017の「A.3.4.3.4 委託先の監督」で、「委託契約を締結しなければならない」と要求されています。
ちなみに、プライバシーマーク制度は「JIS Q 15001に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定する制度」であり、保証する制度ではないので、ご注意ください。
サンプル文書集に収録されています「個人情報保護に関する覚書」は、JIS Q 15001や審査を意識し作成したもので、個人情報に特化した内容も記載されております。
それと同等な契約書などがあれば、それを使用しても問題はありません。
