委託先管理としてのソーシャルネットワーキングについて
社として利用を認可したコミュニケーションツールでSlackやSkypeなど有料無用にかかわらず、委託先管理の一環として、管理者名・利用者数の把握とともにホームページで規約やプライバシーポリシーの定期印刷により審査管理しています。
一方でエンジニアが個人がgithubなどのソーシャルネットワークを利用している場合、委託先としての認証は必要でしょうか。
他の従業者との共有利用はしていないため、従業者の個人情報取り扱いはないものと認識しています。
ただそのソーシャルネットワークよりダウンロード利用を希望するソフトウエアは別途、資料申請強化とIT資産管理として利用者の紐づけは行うべきと考えています。
ご質問の内容から、ISMSに関することか、プライマシーマークに関することなのか判断しかねましたので、両方を踏まえ返信させて頂きます。
まず、ポイントは、ISMSとPMS(プライマシーマーク)の守備範囲の違いで、個人情報を取り扱っているか否かになります。
ISMSであれば、個人情報の取扱いに関係なく委託先としての認証は必要となりますし、PMSであれば、個人情報の取扱が無ければ委託先としての認証は必要ないと思います。
なお、既にご存知かと思いますが、GitHub利用で情報漏洩した事例も過去に起こっております。
インターネットで検索されると関連記事を閲覧できますので、そちらもご参考下さい。
ソーシャルネットワーキングサービス等の外部サービスを利用(委託先とする)場合に関しては、以下のサポートブログ(URL)にある過去の質問も、ご参考ください。
(参考)
ちなみに、ISMSであれば、①取引先の審査→②取引時の審査(申請)→③取引したモノ(資産)の管理といった流れを考えた場合、ご質問者の考えであれば、先の①(委託先管理)が省略されることになるため、「ダウンロード利用を希望する」際に、委託先(先の①)管理を行うといった手順を追加する等の対応が必要になる場合もあるかと思います。
以上、ご参考ください。
