ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

受託業務の個人情報管理台帳はどう登録する?委託元ごとの管理や項目の書き方は?

公開日:2019/05/22
プライバシーマーク全般.  4,566 views
※本記事は、ISM Web store が作成・検証したものです。

Pマークにおけるシステム受託開発案件の個人情報管理台帳についての質問です。

複数の委託元の個人情報を扱うシステム開発案件を委託元のクラウドサーバーを利用して自社内からアクセスして受託業務作業を行うことになりました。
「受託システム開発案件」として個人情報管理台帳に登録すべきと思いますが、以下どのように登録するか判断に迷っています。

(1) 複数の委託元より個人情報の項目が重複するものとと異なるものが存在するためので、個人情報名を複数にして管理すべきか。
(2) 管理する個人情報の項目は、個人情報に該当する全てを記入すべきか?
(3) 受託業務において協力会社社員が自社内で作業しているため、管理台帳に委託として扱うべきか?

どこまでを管理台帳に記載すべきか苦慮しています。

プライバシーマーク(Pマーク)運用における管理台帳の作成について、受託開発特有の課題にご苦労されていることお察しいたします。

受託業務であっても「個人情報を預かっている」という事実に変わりはなく、自社取得のデータと同様、あるいはそれ以上に厳格な管理が求められます。ご質問の3点について、実務に適した方法を解説します。

1. 委託元が複数ある場合の管理単位

(1)に関してですが、委託元ごとの契約があれば、それに従い管理する必要があります。また個人情報は、複数(委託元毎)で管理した方が良いかと思います。

「委託元(プロジェクト)ごと」に別行で管理することを強くお勧めします。

  • 理由:
    複数の委託元で項目が重複していても、委託元によって「保管期間」「返却・廃棄の方法」「事故時の連絡先」などの契約条件が異なるためです。
  • 実務上のメリット:
    台帳を分けておくことで、特定の委託元との契約が終了した際の「廃棄記録」との紐付けが容易になります。一括管理してしまうと、一部のみを廃棄した際の証明が複雑になり、審査時に指摘を受けるリスクが高まります。

2. 記載すべき個人情報の項目

(2)に関してですが、こちらは委託元との契約が優先されますが、他の個人情報と同等の取扱いの必要があります。「氏名、住所、TEL、等」との記述方法もありますが、代表的な項目だけでなく、リスク分析が可能なレベルまで具体的に記載すべきです。

Pマークの台帳は「リスクアセスメント(安全管理措置の検討)」の基礎資料です。例えば「メールアドレス」があれば標的型攻撃のリスクを検討する必要がありますし、「ID/パスワード」があれば不正アクセスのリスクを評価しなければなりません。項目を詳細に書くことは、自社の身を守るための「リスクの見える化」に直結します。

  • 記載の考え方:
    単に「個人情報一式」とするのではなく、「氏名、住所、電話番号、メールアドレス、ログインID、アクセスログ」など、主要な項目は網羅してください。

3. 協力会社社員が関与する場合の扱い

(3)に関しては、委託として扱うべきだと思います。取得方法は、当サンプル文書様式(個人情報取扱申請書)でいうところの「受託」となり、他と同様に個人情報を管理が必要です。

台帳上の「委託の有無」を「あり(再委託)」とし、適切に管理する必要があります。

  • 整理のポイント:
    自社内で作業していても、協力会社社員は「別法人」の人間です。これはPマーク制度上、「再委託(委託元から見れば)」にあたります。
  • 台帳への反映:
    取得方法が「受託」であるのと同時に、自社の工程に他社が関与している場合は、台帳の委託項目を明確に記載してください。

様式(個人情報取扱申請書等)で「受託」として整理すると同時に、協力会社との「機密保持契約」や「再委託承認」のステータスが台帳から辿れる状態が理想的です。

4. まとめ

どこまで記述し、管理するかは難しいかと思いますが、審査員対応や台帳の位置付け(PMSの基本となるもの)を考えた場合、できる限り正確かつ詳細に記述し、管理されることをお勧めします。

管理台帳は、作成すること自体が目的ではなく、「どこに、誰の、どんな情報が、どのような経路で存在し、誰に再委託されているか」という社内の情報地図を作る作業です。

特にシステム開発では、委託元のクラウドへアクセスする「経路」のセキュリティも重要になります。台帳にこれらの情報を正確かつ詳細に記述しておくことは、万が一の紛失・漏洩事故が起きた際の迅速な初動対応、ひいては審査員に対する「誠実な運用姿勢」の証明となります。

💡 受託開発における「独自性」のポイント

システム受託開発の場合、「データの所在」に注目してください。自社サーバーにデータを持たず、委託元のクラウドにアクセスするだけであっても、「アクセス権を持っている」=「取り扱っている」とみなされます。台帳の「保管場所」欄には「委託元指定クラウド(自社端末よりアクセス)」と明記し、端末側にデータが残らない運用(キャッシュ消去やダウンロード禁止)をセットで検討することが、実務満足度の高いPMS構築の秘訣です。

プライバシーマーク取得支援パッケージ

Pマーク認定を支援する『プライバシーマーク取得支援パッケージ』

「プライバシーマークサンプル文書集」および「プライバシーマーク社員教育用テキスト」に加え、プライバシーマークの取得手順書及び文書構築方法や取得活用方法を解説したテキスト「プライバシーマーク取得支援ガイド」がセットとして収録。「無料サポート」にて質問も可能。

詳しくはこちら

ISM Web store

執筆・監修: カスタマーサポート

ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。


特定個人情報事務担当者研修は必須ですか、また審査項目として指摘されますか。
2020/09/15 プライバシーマーク全般 4,754 views
前任者が変わり、Pマーク内部監査の実施方法に迷っています。
2019/08/28 プライバシーマーク全般 5,012 views
ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら