個人情報の扱いがない業務でも、管理台帳に登録したら委託先監督は必要ですか?
プライバシーマークの委託先の監督、審査について質問があります。
海外の関連会社(資本関係があります)に、個人情報の扱いを伴なわない画像データのプログラム作成支援の業務を個人情報管理台帳に登録しています。
登録の理由は、日本と現地でプロジェクトに係る両社員間と委託元担当者の連絡先氏名、電話番号、Eメールアドレスのみです。
先日JIPDECの実施審査で、上記の評価選定、契約書の締結の実施を指摘として受けました。
このようなケースも委託先監督の必要があるのでしょうか。
尚この委託業務は今月で完了します。
海外関連会社への業務委託に伴う審査指摘への対応について、実務的な観点から回答申し上げます。
結論から申し上げますと、「業務上の連絡先(個人データ)」を委託先と共有している実態がある以上、Pマーク上は監督対象(選定・契約等が必要)とみなされます。
社内での理解を深め、今後の再発防止に活かすためのポイントを3点に整理いたしました。
1. なぜ監督が必要なのか
JIS Q 15001の要求事項「委託先の監督」は、委託する業務の主目的が個人情報であるか否かを問いません。
- 判断のポイント:
業務の過程で、委託元(貴社)が管理責任を持つ「担当者の氏名・メールアドレス等の個人データ」を委託先に提供し、委託先がそれを取り扱うのであれば、それは「個人データの取扱いの委託」に該当します。 - 台帳との整合性:
個人情報管理台帳に登録されていたことで、審査員は「保護すべき対象がある業務」と判断しました。その結果、規格が求める「評価・選定・契約」のプロセスが実施されていないことが指摘の対象となりました。
2. Pマークにおける「委託先の監督」の基本知識
Pマーク制度では、委託先からの情報漏えいリスクを非常に重く見ています。以下のステップは「必須のセット」として理解しておく必要があります。
- 選定・評価:
相手先が十分なセキュリティ水準(例:ISMSやPマークの取得、GDPR対応、または独自のチェックリスト回答)を満たしているかを確認。 - 契約締結:
安全管理措置、再委託の制限、漏えい時の報告、委託終了後の返却・消去などを明文化した契約を結ぶ。 - 継続的な監督:
定期的なアンケートや監査により、契約通り運用されているか確認する。
3. 有用性を高める実務として
今回の業務は今月で終了とのことですが、今後の運用に向けて以下の対応ある対策をご検討ください。
- 終了時の証跡回収:
業務が完了する際、委託先に提供していた「担当者連絡先リスト」などの個人データを、確実に消去または返却させたことを証明する「書面(消去証明書など)」等の書面で残してください。審査では「終わった後の始末」も重要な確認項目です。 - 台帳登録のルール化:
連絡先情報の共有程度であれば「委託」ではなく、社内の「連絡網の共有」として整理し、委託先管理の対象外とする考え方もあります(※ただし、外部へのデータ提供がある場合は慎重な判断が必要です)。 - 海外移転の留意点:
海外拠点(例えグループ会社でも)への提供は、個人情報保護法で求められる「外国にある第三者への提供」に関する制限も関わってきます。資本関係があるグループ会社であっても、別法人であれば原則として同様の契約(SCCの締結など)が必要であると認識しておくことが、今後のリスク回避に繋がります。
4. まとめ
JIS規格(A.12 委託先の監督)では、「個人データの取扱いの全部又は一部を委託する場合」とされていますので、通常、個人情報を取り扱わない業務(委託先など)は、台帳には登録しないかと思います。
今回、審査員の方が、個人情報の扱いを伴なわない画像データの委託業務を、JIS規格(A.12 委託先の監督)で指摘された理由は、個人情報管理台帳に登録された業務だったためだと思われます。
よって、ご質問の登録した業務の個人情報(プロジェクトにかかる社員情報)に関して、「個人情報管理台帳」に登録し管理すべきとされたのであれば、業務委託されているとのことなので、委託先の監督が必要となります。
他の委託先と同様の管理および監督を行った方が良いかと思います。
なお「この委託業務は今月で完了します。」とのことですが、委託契約終了後における個人情報の取扱いにもご留意ください。
サンプル文書では、委託先の監督に関わる規定及び様式(「委託先評価記録(台帳)」など)もご用意しております。そちらをご参考に、委託先の監督に関するルールを見直してみて下さい。
