個人へ委託する場合、委託先の選定・評価にどの程度の基準を用いるべきか。
弊社海外のお客様に対して、国内のホテルやバスの手配をしております。
その中で、ガイド業務を個人の方に委託している部分がございます。
そしてその際には、海外から来られる方の氏名等のリストをお送りしている現状です。
こちらは当然に個人情報の委託にあたる認識です。
今後そのリストはツアー終了後返却してもらい、メール削除をしてもらう運用にしていく予定です。
ただ委託先の監査は個人的に信用するしないしか判断できませんし、サンプル文書にあるテンプレートの委託先評価記録も使用できません。
この場合、委託先の選定・評価にどの程度の基準を用いるべきか判断に困っています。
ご質問ありがとうございます。海外旅行客の氏名リストを個人ガイドの方へお渡しする場合、仰る通り「個人情報の委託」に該当します。
Pマークの規格(JIS Q 15001)では、委託先が法人か個人かを問わず、「自社と同等以上の個人情報保護水準」にあることを確認するよう求めています。個人の場合、組織のようなチェックリストが使いにくいのは当然ですので、以下の考え方で基準を整理してみてください。
1. 「選定基準」を業務内容に合わせて最適化する
JIPDECのガイドラインでは、選定基準は一律である必要はなく、「委託する業務の内容やリスクに応じて作成する」ことが認められています。
- 「自社と同等以上」の解釈:
組織であれば「PMSの構築」などが指標になりますが、個人の場合は「情報を安全に扱うための最低限の知識と環境があるか」が基準となります。 - 客観的な評価項目の例:
「個人的な信頼」を以下のような具体的な項目に置き換えてみてください。- – 過去のガイド実績において情報漏洩等のトラブルがないこと。
- – メール送信時のパスワード設定や、端末のセキュリティ対策(パスワードロック等)を理解し実施できること。
- – 貴社が指定する「情報の返却・削除ルール」に合意できること。
2. 「委託契約(合意)」を評価の一部として活用する
個人の方に対して詳細な監査を行うのは現実的ではありません。そこで重要になるのが、「委託契約書」や「誓約書」の締結です。
- 安全管理の誓約:
「ツアー終了後のデータ削除」「再委託の禁止」「漏洩時の報告義務」などを明記した書面に署名をもらうことで、その内容を遵守できる能力があると評価します。 - 実務的な運用案:
サンプル文書の「誓約書(見本)」や「個人情報の取扱いに関する覚書(見本)」が個人に合わない場合は、個人ガイド専用の「個人情報保護に関する同意書兼チェックリスト」を簡略化して作成し、選定時のエビデンス(証拠)とすることをお勧めします。
3. 法的資格による「評価の簡略化」
もしガイドの方が「通訳案内士」などの国家資格を保有している場合、その資格維持のための欠格事由や職業倫理を評価の一部に組み込むことも可能です。ただし、弁護士や医師のような法定の守秘義務(刑法等)とは性質が異なるため、基本的には貴社独自の選定基準が必要です。
4. 審査での説明ポイント(独自性の確保)
審査員から「なぜこの個人ガイドを信頼できると判断したのか?」と問われた際、以下のように答えられる状態を目指してください。
「委託する情報はツアー運営に必要な最小限(氏名等)に限定しており、かつ、弊社の定める『データ削除ルール』に同意した者のみを選定しています。個人のPC環境については、契約時のチェックリストでウイルス対策等の有無を確認し、安全性を担保しています。」
5. 最後に
弊社のサンプル文書集にある委託先評価記録は、必要最小限の項目を網羅しています。これをベースに、個人ガイド向けには「項目を絞った簡易版」としてカスタマイズしてご利用いただくのが、最も軽量かつ効果的な方法です。
