ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

個人情報取扱い委託先の継続審査について

11.12.2019

個人情報取扱い委託先の定期的な継続審査について質問があります。

自社の個人情報を取扱う委託先管理台帳に登録している税理士、社労士、いわゆる国家資格を保有する「士業」の委託先企業は、再審査の対象とすべきなのでしょうか。

「委託先の定期的な継続審査」が、プライバシーマークの更新審査のことなのか、自社により委託先の監督のことなのか、どちらを意図されているのか判断しかねますが、どちらにせよ、委託先が国家資格者であろうと、委託先の監督責任があり、具体的な時期を定め定期的に再評価することが有効であるとされています。

ただ、再評価の時期や方法などは具体的には求められていないため、自社が委託契約書などで決めた内容で構わないと思います。

更新審査に関しても、JIPDECの審査基準で「委託先の監督に関する記録」が求められおり、”委託契約書に規定された事項に基づき、委託者が委託契約書に規定された事項に基づき契約内容が遵守されていることの確認する”とされています。

よって、一度、委託先を評価・選定したからと言って、そのまま何もしないのであれば「委託先の監督」の要求が満たされないかと思いますので、結果、何らかの再評価を行うことが必要になるかと思います。(再評価の結果が、更新審査におけるエビデンスとなります。)

契約内容の見直しを考慮し、委託先の税理士や社労士の状況(健康状態や就労状態など)の確認も、委託先が継続して契約を順守できるかを確認するという方法もあるかと思います。ご参考まで。