個人情報に関する覚書を締結する範囲
今度委託業者との間で個人情報に関する覚書を締結する予定ですが、頂きましたドラフトの覚書の中で「乙は、甲より預託された個人情報を、業務上知る必要のある従業員にのみ取り扱わせるものとする。」とあります。
ここで、先方の業務によっては従業員だけでなく、パート・アルバイト・契約社員または役員にも扱わせる場合もあるかと思います。
しかしながら、あまり広くしすぎてしまうと、流出の恐れが大きくなるという懸念も考えられます。
どれぐらいで締結しておいた方がよいなどのご意見はございますでしょうか?
(他社様はどれぐらいにしているなどありますか?)
結論から言いますとアクセスするのであれば従業者の範囲は関係ないと考えて下さい。
必要の無い人はアクセスしない、アクセスさせないが基本です。
また、アクセスするのであればその全ての人との機密保持契約や誓約書を委託先で結んでいただく必要があるかと思います。
ただし、BtoBで機密保持契約が結ばれているのであれば、”そこまでは必要無いのでは”との意見もあります。
なお、JIPDECの審査員は性悪説、ベストプラクティス(best practice)を前提に審査を行いますのでBtoBでの機密保持契約では不足だと指摘をする可能性がありますので注意して下さい。
ちなみに他社ですが、アクセスする人が多岐に渡るので覚書の内容は、このままで、委託先内での従業者との機密保持契約や誓約書を結んでもらっているところが多く、従業者の範囲は特に規定はしていません。
なお、顧客によっては、アクセスする可能性のある従業者の一覧や機密保持契約や誓約書の写しを提示させているところもありますね。
