ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

外部とのコミュニケーションは、最低どんな内容なら良いのでしょうか?

12.24.2019

外部とのコミュニケーションについて定例会議的なものは特にないのですが、最低どんな内容にいたせばよろしいのでしょうか?

当社の場合、顧客=取引先企業及び協力会社、委託業者=会計事務所となります。

まず前提としまして「7.2 コミュニケーション」についてですが、この箇条を広く解釈すると、3.3.7に限らず、全ての要求事項は、例えば3.4.2.4(本人から直接書面によって取得した場合の処置)や3.4.4(個人情報に関する本人の権利)、3.6(苦情及び相談への対応)などのように、内外のコミュニケーションと関連することになります。

しかし、『「7.4 コミュニケーション」は対面でないといけないのか?そのやり方について』でも記載しましたが、この箇条で、全てのコミュニケーションについて規定するということは意味なく、またやりすぎは適切ではありません。

よって、どのようなコミュニケーションを実施するのかを、現状のコミュニケーションの状況を確認して、規定するのが適切でしょう。

そこで、「最低どんな内容」が必要かを考えると、旧規格の“3.3.7 緊急事態への準備”に対応することが附属書Dの対応表に記載されているように、緊急事態が生じた場合にあらかじめ備えるという観点から、特に“A.3.3.7 緊急事態への準備”を意識することが必要です。

プライバシーマークにおいては、審査基準(現時点における)においても“7.4 コミュニケーション”ではなく、“A.3.3.7 緊急事態への準備”が確認項目となっています。

顧客(取引先企業及び協力会社)及び委託業者(会計事務所)との具体的な関係が分かり兼ねますので、一般的な回答とはなりますが、最低限、緊急事態への対応における、顧客(取引先企業及び協力会社)及び委託業者(会計事務所)をも含んだ、コミュニケーションに関する規定は必要かと考えられます。

それに加え、特に定例会議的なものがないのであれば、漏洩などの事件・事故を”予防”するためにできる、顧客(取引先企業及び協力会社)及び委託業者(会計事務所)を含む内外のコミュニケーションを特定し、規定(誰が、誰と、どのような内容を、いつ、どのような方法で実施するのか)することをお勧めします。