委託先選定基準の見直しって「いつ」するの?
>書類審査を受けました。
指摘結果を受けて、規程の修正をしましたのですが…
下記の指摘について疑問があります。
3.4.3.4 委託先の監督
委託先選定基準を定める手順及び見直しの手順が定められていること。
選定基準の見直しの記述がない。
変更は、見直すと書いただけで具体的なことを書いておりませんでした。
つまり、どのような変化が認められたら修正するのかが、分かりません。
審査員に質問されたら、絶句です。
質問されたら困ります。
そこで私は考えました。
「ガイドライン、法令の改定時ではどうだろうか !!」
実際に起きた事件・事故を参考にします。
例えば、次のサイトなどから入手?
http://www.security-next.com/
どう答えればよいでしょうか?
考えられた内容でOKだと思います。
以下は回答の例です。
(審査員)
「委託先選定基準及び手順を年1回見直しをされると記述されていますが、具体的には、どのような情報や事象を基に、また、契機として見直しを行われるのですか?」
(被監査者)
「はい、年1回見直しをするようにしており、その際には、他社などで発生した事件・事故(個人情報の漏洩)の内容や個人情報保護法、経産省のガイドライン、JISQ15001などの法規制類の改訂(改版)時の改訂内容を確認して、現行の選定基準で新たに発生した事件・事故、また、改訂された法規制類への対応(個人情報保護、リスクの軽減)が可能であるか否かを検討し、見直しを実施するようにしています。」
<< 参考までに… >>
細かいことを確認される審査員の方が時折見かけられます。
その際、上記で記述した回答内容の旨を手順として、規程類に追記するように言われることもあるかもしれません。
ご用心を。
