直接個人情報に触れない「倉庫保管」でも、Pマークの委託先評価は必要ですか?
PMS関連での質問です。
経理関連書類の過去分(伝票等)に関してですが、現在、契約倉庫に保管しています。
そこで質問ですが、直接個人情報に触れる業務でなくても、「秘密情報等取扱い確認書」を提出してもらったり、「委託先評価チェックリスト」をおこしたりしないといけないのでしょうか。
また、この場合、チェックリストの確認内容は全てOKでないと委託できないことになっているのですが、倉庫業の場合も同じでしょうか。
回答しようのない項目も、チェックリストには含まれているように思ったので。
ご教示いただきたく、お願いいたします。
ご質問ありがとうございます。経理伝票などの保管を外部倉庫へ委託する場合のPMS上の取り扱いについて回答申し上げます。
結論から申し上げますと、倉庫業者が「個人情報の中身(データ)」を扱う予定がない場合でも、個人情報が記載された媒体(紙・記録媒体)を預ける以上、PMS上の「委託」に該当し、適切な監督が必要です。
ただし、チェックリストの内容は、委託先の業務実態に合わせて柔軟に使い分けることが認められています。
1. 「直接触れない業務」でも監督が必要な理由
Pマークの基準では、委託先が「個人情報を取り扱う(中身を見る)」かどうかではなく、「個人情報の機密性・完全性が維持される状態を管理しているか」が重視されます。
- 媒体の管理責任:
倉庫業者は中身を見ませんが、その箱を「紛失させない」「盗難に遭わせない」という安全管理措置を担っています。 - 物理的リスクへの監督:
伝票が個人情報に該当する以上、それを預ける行為は「委託」となります。たとえ過去分であっても、漏洩リスクがある限り、JIS Q 15001に基づいた委託先の評価・契約・監督は省略できません。
2. チェックリストの「回答不能な項目」への対応
「すべての項目がOKでないと委託できない」という運用は非常に健全ですが、チェック項目自体が「委託内容に適合していること」が前提です。
- 業務に合わせた項目設定:
審査において「一律同じチェックリストを使っている」ことは、逆に「業務実態を把握していない」と指摘される要因になります。倉庫業者のように「中身には触れず、物理的保管のみを行う」先に対しては、物理的セキュリティ(入退室管理、防火、耐震等)に特化した専用のチェックリストを用意するのが正解です。 - 回答不要項目の扱い:
ITツールやデータ処理に関する質問など、明らかに業務に関係ない項目については「N/A(非該当)」として除外するか、倉庫業者専用の「簡易版チェックリスト」を作成して運用することをお勧めします。
3. 「秘密情報等取扱い確認書」と契約の重要性
倉庫業者に対しても、個人情報の漏洩防止に関する合意は必須です。
覚書や確認書の活用:
倉庫業者が独自の標準約款を持っており、個別の契約変更が難しい場合でも、「個人情報の取り扱いに関する覚書」や「確認書」を別途取り交わすことで、PMSの要求事項を満たすことが一般的です。
4. 補足:クラウドサービス(Box等)との考え方の違い
最近では「事業者がデータにアクセスできないクラウドストレージ」については、委託ではなく「インフラ(環境)利用」とみなして監督を簡略化できるケースもありますが、「物理的な紙の保管」については、伝統的に厳格な委託管理が求められる傾向にあります。
まずは、倉庫業者向けの「物理管理に特化した評価シート」を作成し、現在のチェックリストから「回答不能な項目」を整理することから始めてみてください。
弊社のサンプル文書集に含まれる「PMS-B01-D11 委託先評価記録(台帳)」も、こうした業務形態の違いに合わせてカスタマイズしてご利用いただくことを想定しております。
