ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

受託業務作業時における個人情報管理台帳への登録に関して

2019/05/22

Pマークにおけるシステム受託開発案件の個人情報管理台帳についての質問です。

複数の委託元の個人情報を扱うシステム開発案件を委託元のクラウドサーバーを利用して自社内からアクセスして受託業務作業を行うことになりました。
「受託システム開発案件」として個人情報管理台帳に登録すべきと思いますが、以下どのように登録するか判断に迷っています。

(1) 複数の委託元より個人情報の項目が重複するものとと異なるものが存在するためので、個人情報名を複数にして管理すべきか。
(2) 管理する個人情報の項目は、個人情報に該当する全てを記入すべきか?
(3) 受託業務において協力会社社員が自社内で作業しているため、管理台帳に委託として扱うべきか?

どこまでを管理台帳に記載すべきか苦慮しています。

この質問の前提としましては、個人情報の取得が「受託」であっても、個人情報の取扱い等に関しては、他の取得時と同様に何ら変わらないということです。
これを踏まえ、ご質問の(1)~(3)にお答えさせていただきます。

(1)に関してですが、委託元ごとの契約があれば、それに従い管理する必要があります。また個人情報は、複数(委託元毎)で管理した方が良いかと思います。

次に(2)に関してですが、こちらは委託元との契約が優先されますが、他の個人情報と同等の取扱いの必要があります。「指名、住所、TEL、等」との記述方法もありますが、全てを記載した方が良いかと思います。

(3)に関しては、委託として扱うべきだと思います。取得方法は、当サンプル文書様式(個人情報取扱申請書)でいうところの「受託」となり、他と同様に個人情報を管理が必要です。

どこまで記述し、管理するかは難しいかと思いますが、審査員対応や台帳の位置付け(PMSの基本となるもの)を考えた場合、できる限り正確かつ詳細に記述し、管理されることをお勧めします。