ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

プライバシーマークの委託先の監督、審査について

04.14.2020

プライバシーマークの委託先の監督、審査について質問があります。

海外の関連会社(資本関係があります)に、個人情報の扱いを伴なわない画像データのプログラム作成支援の業務を個人情報管理台帳に登録しています。
登録の理由は、日本と現地でプロジェクトに係る両社員間と委託元担当者の連絡先氏名、電話番号、Eメールアドレスのみです。

先日JIPDECの実施審査で、上記の評価選定、契約書の締結の実施を指摘として受けました。

このようなケースも委託先監督の必要があるのでしょうか。
尚この委託業務は今月で完了します。

JIS規格(A.3.4.3.4 委託先の監督)では、”個人データの取扱いの全部又は一部を委託する場合”と記載されていますので、通常、個人情報を取り扱わない業務(委託先など)は、台帳には登録しないかと思います。

審査員の方が、個人情報の扱いを伴なわない画像データの委託業務を、JIS規格(A.3.4.3.4 委託先の監督)で指摘された理由は分かり兼ねますが、ご質問から察すると「個人データの取扱いの全部又は一部を委託するしている」と判断されたのではないかと思われます。

よって、ご質問の登録した業務の個人情報(プロジェクトにかかる社員情報)に関して、「個人情報管理台帳」に登録し管理すべきとされたのであれば、業務委託されているとのことなので、委託先の監督が必要となります。

他の委託先と同様の管理および監督を行った方が良いかと思います。

なお「この委託業務は今月で完了します。」とのことですが、委託契約終了後における個人情報の取扱いにもご留意ください。