委託先の規程で運用する業務でも、個人情報の特定や内部監査は必要ですか?
プライバシーマークにおいて、受託契約に基づき、委託先にて委託先の規程に従ってシステム運用業務を行っている場合の取り扱いが、よくわかりません。
上記のような場合、個人情報を特定する事や内部監査を行う事は必要なのでしょうか。
ご質問ありがとうございます。受託契約に基づき、外部(再委託先や客先など)で業務を行う際のPMSの取り扱いについて回答申し上げます。
この問題の整理には、「個人情報の管理権限(コントロール)」がどこにあるかという視点が不可欠です。ご質問の内容から想定される2つのケースに分けて解説します。
ケース1:自社が「受託者」として、客先常駐等で業務を行う場合
(貴社の社員が、委託元である客先のオフィスで、客先のルール・設備を使って作業する場合)
- 個人情報の特定:
原則として、貴社側での「個人情報の特定(台帳記載)」は不要です。なぜなら、その個人情報の管理責任は委託元にあり、貴社はあくまで「客先の管理下にある情報を操作している」に過ぎないからです。 - 内部監査の必要性:
「情報の特定」は不要ですが、「契約(約束事)の遵守状況」に対する監査は必要です。- – 受託契約(または機密保持契約)で定められた「客先の規程を守る」「作業エリアにスマホを持ち込まない」といったルールを自社社員が守っているかを、現場確認やヒアリング等で監査する必要があります。
ケース2:自社が「委託者」として、再委託先に業務を任せている場合
(貴社が受けた仕事を、さらに別の会社へ「その会社のルールでやっていいよ」と再委託している場合)
- 個人情報の特定:
貴社が委託元から預かっている情報である以上、貴社側で「個人情報の特定」が必須です。たとえ実物が再委託先にある状態でも、貴社にはその情報を適切に管理させる責任(監督責任)があるためです。 - 内部監査の必要性:
通常の内部監査に加え、「委託先の監督」が適切に行われているかの監査が必要です。以下のような点が監査の対象となります。- – 委託先の選定基準は満たしているか?
- – 「委託先の規程に従う」ことで、貴社が委託元から求められている安全管理水準が維持できているか?
- – 定期的に委託先の状況を確認しているか?
実務上の重要ポイント
- 「委託先の規程に従う」ことのリスクと対策
Pマーク上、委託先(再委託先)に業務を任せる際、「相手の規程で良い」とするには、その規程が貴社の求める安全管理水準(JIS Q 15001レベル)を満たしていることを事前に確認しておく必要があります。もし不足がある場合は、契約書(覚書)等で個別にルールを追加しなければなりません。
- 内部監査の独自性
「作業を外に出しているから、うちの監査対象外」とするのは、審査において最も指摘を受けやすい箇所です。「預けている情報の責任を、どうやって果たしているか(モニタリングしているか)」というプロセスの監査を、弊社のサンプル文書にある「内部監査チェックリスト」を活用して確実に実施してください。
- 最新情報の反映
最新のJIPDECの審査基準では、委託先の管理状態だけでなく「委託先の再委託先(孫請け)」の把握状況についても厳しく問われるようになっています。受託業務のフローを今一度整理されることをお勧めします。
