ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

受託契約に基づき、委託先にて委託先の規程に従ってシステム運用業務を行っている場合の取り扱い

2015/12/14

この記事は、内容が古い可能性がありますのでご注意ください。

プライバシーマークにおいて、受託契約に基づき、委託先にて委託先の規程に従ってシステム運用業務を行っている場合の取り扱いが、よくわかりません。

上記のような場合、個人情報を特定する事や内部監査を行う事は必要なのでしょうか。

通常、「受託契約」は「委託を引き受ける契約」、「委託元」は「委託する側」、「委託先(または受託者)」は「委託される側(受託する側)」と使われています。

ご質問にある「受託契約」の文言より、御社が委託先(受託者)にあたるのかと思いますが、「委託先にて」とありますので、以下のように2通りの回答をさせていただきます。

A. ご質問のそのままの内容
委託先=自社とした場合
「自社にて自社の規定に従ってシステム運用業務を行っている」となります。

B. 「委託先」ではなく、「委託元」の間違えの場合
委託先=取引先になる
「取引先にて取引先の規定に従ってシステム運用業務を行っている」となります。

ご質問のポイントは、以下の2点になります。
「個人情報をどこで保有(取得も含む)しているのか?」
「どこで作業しているのか?」

A.の場合
① 個人情報の特定について
⇒自社で個人情報を保有していますので、個人情報の特定は必要です。
※上記に伴いリスク分析、安全管理処置(組織的、人的、物理的、技術的)や自社で取得しているのであれば同意書の取得などが必要になると思います。
② 内部監査の実施について
⇒自社で個人情報を保有していますので、通常の内部監査と同等の内部監査が必要だど思います。

B.の場合
個人情報を委託元(取引先)のみで保有している場合
① 個人情報の特定について
⇒自社では個人情報を保有していませんので個人情報の特定は必要ありません。
② 内部監査の実施について
⇒受託契約(NDAも含む)の内容(委託元からの個人情報保護に関する要求事項など)に関する内部監査が必要だと思います。
※委託元で作業する人員に対しての教育などが受託契約で要求されているケースもありますよね。