ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

プライバシーマークの再委託について

11.19.2019

クラウドベースの教育・研修を委託契約した場合の再委託について質問です。

委託契約した企業が、クラウドベースの教育・研修のコンテンツ・版権を作成し、クラウド周辺の技術を他の協力会社に委託(利用登録者の個人データを全部または一部見れる・扱える業務環境と想定)している場合は、自社から見て再委託の扱いとなるのでしょうか。

契約前の個人情報委託先審査、継続契約時の個人情報委託先評価によって確認し、適正か判断となるのでしょうか。

再委託に関しては、JIS Q 1500:2017の「附属書B(参考)管理策に関する補足」に解説が記載されています。
以下に、一部抜粋して記載しますので、ご参考ください。

  • 個人データの取扱いを再委託する場合は、契約に再委託を行うにあたっての委託元への文書による事前報告又は承認について盛り込むことが望ましい。
  • 委託元が委託先について、必要かつ適切な監督を行っておらず、委託先が再委託をした際に、再委託先により何らかの問題が生じた場合は、元の委託元がその責めを負うことがあり得る。
  • 委託先が再委託を行う場合、委託元は再委託先に対し、A.3.4.3.2に基づき自社と同等以上の個人情報保護の水準にあることを客観的に確認することが望ましい。
  • 確認の例としては、再委託する相手方及び業務内容、個人データの取扱方法などについて、委託先から事前報告又は承認を求めること、委託先を通じて又は必要に応じて自らが、定期的に、及び適宜に監査を実施することなど。