amazon Web Serviceやgoogle Apsを利用しようかと考えておりますが、この場合も委託先として認識しないといけないのでしょうか?
弊社のサーバーはデータセンターのハウジングを利用しており、個人情報は弊社にて管理しているので、委託先との認識ではなかったのですが、7月の更新現地審査で個人情報の委託先として管理してくださいと言われました。
データセンター側はPマークを取得していますので、これから指摘に対して対応しようかと思いますが、ほんとに委託先になるのか疑問です。
他社の事例ではどうなのでしょうか?
また、今後会社のサーバーはamazon Web Service(クラウドサービス)を、メールはgoogle Apsを利用しようかと考えておりますが、この場合も委託先として認識しないといけないのでしょうか?
到底アマゾンやグーグルとは「個人情報の取扱に関する覚書」は締結できないと考えられます。
どうぞよろしくお願い申し上げます。
委託先の管理に関してですが、弊社がご支援させていただいたお客様でも、レンタルサーバやハウジング、プロバイダ、宅配業者(佐川急便など)に関しても、同様の指摘を受けた経験がございます。
amazonやgoogleといったところにおいては、ご指摘のとおり、「覚書」などは締結してもらえません。
よって、弊社がご支援させていただいたお客様においては、以下のような対応をさせていただきました。
(1) 大手企業(amazonやgoogleなど)から「覚書」などは締結できないと言われた旨の記録(メールなど)を残す。
(2) 弊社サンプル文書の「P431-3.4.3.4-C 委託先評価記録(台帳) (記入例).xlsのシート」の委託先評価記録(台帳) 未契約締結用で委託先を評価し記録として残す。
弊社サポートブログに同じような記事もございますので、ご参考までにどうぞ。
▽データ保存等にレンタルサーバーを使う場合などのデータ管理方法
https://www.ismwebstore.com/support/index.php/archives/189
▽Evernoteで名刺管理している場合
https://www.ismwebstore.com/support/index.php/archives/1051
現在、クラウドサービスを利用したデータ管理が企業や学校などでも多く見受けられるようになりました。
それにともない、弊社メールマガジンでも度々掲載しておりますが、以下のような事故も多くなっております。
ご承知は存じますが、クラウドサービスをご利用の際は、社員教育や使用上の注意などもお忘れなく。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
