個人へ委託する場合、委託先の選定・評価にどの程度の基準を用いるべきか。
弊社海外のお客様に対して、国内のホテルやバスの手配をしております。
その中で、ガイド業務を個人の方に委託している部分がございます。
そしてその際には、海外から来られる方の氏名等のリストをお送りしている現状です。
こちらは当然に個人情報の委託にあたる認識です。
今後そのリストはツアー終了後返却してもらい、メール削除をしてもらう運用にしていく予定です。
ただ委託先の監査は個人的に信用するしないしか判断できませんし、サンプル文書にあるテンプレートの委託先評価記録も使用できません。
この場合、委託先の選定・評価にどの程度の基準を用いるべきか判断に困っています。
JIPDECガイドラインでは、「個人に委託する場合も委託先選定基準が必要である。」と委託先の選定基準に関して記載されています。
委託先が個人であっても、プライバシーマーク取得するためには、明確な委託先選定基準が必要となります。
また、選定基準に関しては、「委託先を選定する基準として、該当する業務については少なくとも自社と同等以上の個人情報保護の水準にあることを客観的に確認できること。」(JIPDECガイドライン)とあります。
組織であれば、「自社と同等以上」とあるので、理解しやすいかと思います。
個人の場合だと、業務を行うために国が定めた資格が必要で、かつ法律により守秘義務を課せられた者(弁護士、社会保険労務士、公認会計士、医師等)などのより厳しい国の監督(守秘義務)を受けている者以外は、どのような基準で「自社と同等以上」なのかを検討しなければならないということです。
「委託先選定基準は、委託する業務との関連でどのような観点から作成したか、説明できる必要がある。」(JIPDECガイドライン)とあるように、自社の業務上の観点から選定基準を作る必要があります。
弊社提供のサンプル文書に書かれた委託先選定基準は、審査に耐え得る必要最小限の基準となっております。
これをご参考に、自社なりの要素を追加したり、変更するなどして、検討していただければと思います。
