プライバシーマークの再委託について
クラウドベースの教育・研修を委託契約した場合の再委託について質問です。
委託契約した企業が、クラウドベースの教育・研修のコンテンツ・版権を作成し、クラウド周辺の技術を他の協力会社に委託(利用登録者の個人データを全部または一部見れる・扱える業務環境と想定)している場合は、自社から見て再委託の扱いとなるのでしょうか。
契約前の個人情報委託先審査、継続契約時の個人情報委託先評価によって確認し、適正か判断となるのでしょうか。
結論から申し上げますと、ご質問のケースは「再委託」に該当します。
1. なぜ「再委託」になるのか
一次委託先が、貴社から受託した業務を「他社に再度委託」し、さらにその他社が個人データにアクセス可能な状態にある場合は、典型的な再委託に当てはまります。
特に以下の条件に該当すると、ほぼ確実に再委託と扱われます。
- 一次委託先が処理する個人データを別企業が取り扱う
- 別企業がクラウド環境の運用、開発、保守、サポート等を行い、利用者データへのアクセス権限を持ち得る
「貴社から委託された業務の一部を、他社が実質的に処理する」という構造があれば再委託と判断されます。
なお、以下の場合は再委託に当たらないケースもあります。
- クラウド事業者が純粋なインフラ提供のみで、データにアクセスしない(例:物理的・技術的にアクセス不可能な構造になっている)
- 利用者データを暗号化し、外部業者が復号できない
しかし、ご質問にある「利用登録者の個人データを全部または一部見れる・扱える業務環境」である場合、これは単なるクラウド提供ではなく、業務処理の実質的な受託 に該当します。
2. 補足:「再委託」に関するJIS規格の解説
再委託に関しては、JIS Q 15001:2023の附属書A(規定)「個人情報保護に関する管理策」のA.12において、委託契約にて規定することが要求されています。
A.12 委託先の監督
- e) 組織は,次に示す事項を契約によって規定し,十分な個人データの保護水準を担保しなければならない。
- 3) 再委託に関する事項
※「JIS Q 15001:2023」より
また、附属書C(参考)「附属書Aの管理策に関する補足」にて、以下のような補足解説がなされています。合わせてご参考ください。
C.12 委託先の監督等(A.12)
「A.12 委託先の監督」の e)の3)の再委託に関する事項には,次の事項が含まれる。
ー再委託を行うに当たっての委託者への文書による報告
- 個人データの取扱いを再委託する場合,契約に再委託を行うに当たっての委託元への文書による事前報告又は承認について盛り込むことが望ましい。
- 委託元が委託先について,必要かつ適切な監督を行っておらず,委託先が再委託をした際に,再委託先により何らかの問題が生じたときは,元の委託元がその責めを負うことがあり得る。
- 委託先が再委託を行う場合,委託元は,再委託先に対し,「A.10 安全管理措置」に基づき,自社と同等以上の個人情報保護の水準にあることを客観的に確認する。
- 確認の例としては,再委託する相手方,業務内容,個人データの取扱方法などについて,委託先から事前報告又は承認を求めること,委託先を通じて又は必要に応じて自らが,定期的に及び適宜に監査を実施することなど。再委託先が再々委託を行う場合以降も,再委託を行う場合と同様とすることが望ましい。
- 人材派遣事業者との人材派遣契約,清掃事業者との契約,オフィスの賃貸借契約などは,個人情報の取扱いを含まない限り,A.12の対象外として差し支えない。このような事業者とは, 守秘義務に関する事項を盛り込んだ契約を締結することが望ましい。
※「JIS Q 15001:2023」より抜粋
ご参考ください。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
