ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

BOX等のクラウド利用時、事業者がデータにアクセスできなくても「委託先」として監督が必要ですか?

公開日:2024/04/16
Pマークサンプル文書集.  1,535 views
※本記事は、ISM Web store が作成・検証したものです。

J9.4 委託先の管理に関連して、ご教示ください。

  • BOXなどのクラウドを利用する場合、BOX側が当社のデータにアクセスできなかったとしても委託先として監督を行う必要があるか
  • もし必要なら、委託先評価をどのように実施したらよいか(「委託先評価記録(台帳)未契約締結」を使用すればよい?)

クラウドサービスの利用が「委託(提供)」に該当するか、それとも「自社の安全管理措置」の一環となるかという点は、現在のPマーク運用において非常に重要なポイントです。

結論から申し上げますと、「Box側がデータにアクセスできない設定」であれば、最新の2023年版規格(JIS Q 15001:2023)において、法的な「委託先の監督義務(A.12)」は課されなくなりました。

ただし、「安全管理措置(A.10)」としての評価は依然として必須です。その詳細と実務的な対応方法を以下に整理いたします。

1. 2017年版から2023年版への解釈の変化

以前の規格(2017年版)では、「事業者がデータの中身を知らなくても、預ける側が個人データだと知っていれば監督対象」という厳しい解釈でした。しかし、最新の2023年版では個人情報保護委員会のガイドラインに沿って以下のように整理されています。

  • 「提供(委託)」に該当しないケース(PPCガイドライン Q7-53):
    クラウドサービス提供事業者が、保存された個人データを取り扱わないこと(アクセス権を持たない、適切に暗号化されている等)が契約等で明文化されている場合、それは「提供」にあたりません。
  • 求められる対応:
    「委託先の監督(A.12)」としての契約締結や定期的な監査は不要になりますが、自社の「安全管理措置(A.10)」の一環として、そのサービスが安全かどうかを評価・選択する責任が生じます。

【参考】「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A |個人情報保護委員会

2. なぜ「監督」に準じた評価が望ましいのか

規格上は「監督義務」はなくなりますが、実務としては従来の委託先評価の手法を転用して「サービス選定評価」を行うことを強く推奨します。
理由は以下の通りです。

  1. 説明責任(アカウンタビリティ):
    審査の際、「なぜこのクラウドを選んだのか」「安全だとどう判断したのか」という根拠を求められた際、評価記録があることで即座に証明できます。
  2. 管理の統一化:
    「委託先」と「クラウドサービス」で全く別の管理体系を作ると運用が煩雑になります。

3. 具体的な評価方法と様式の使い分け

ご質問いただいた「委託先評価記録(台帳)」の活用について、以下のように実施するのがスムーズです。

  • 使用する様式:
    基本的には「委託先評価記録(台帳)」をそのまま活用して差し支えありません。
  • 評価のポイント:
    「契約締結」の有無にこだわるのではなく、Boxなどの大手プラットフォームの場合は、彼らが公開している「利用規約」や「セキュリティホワイトペーパー」、あるいは「ISO 27017(クラウドセキュリティ認証)」の取得状況をエビデンス(証拠)として確認します。
  • 「未契約締結」の扱いについて:
    個別契約(印鑑を押す契約書)を交わさないクラウドサービスの場合は、評価記録の備考欄等に「Web上の利用規約およびISMS認証取得状況により確認」と記載し、規約のコピーや認証情報のスクリーンショットを保管することで、Pマーク上の評価として有効に機能します。

まとめ

以前の規格(2017年版)では、以下のように記載されていたため、委託先がデータにアクセスできないとしても、委託元が「委託するものが個人データであることを知っている」場合は、監督の対象となると考えられていました。(JIS Q 15001:2017 B.3.4.3.4 委託先の監督)

しかし、最新の2023年版では、以下のような記載に変更され、「提供に該当しない場合は、委託先の監督義務が課されないが、適切な安全管理措置を講じる必要」となりました。

  • C.12 委託先の監督等(A.12):
    クラウドサービスなどのサービスの利用がA.14の“提供”に該当しない場合は,組織に委託先の監督義務は課されないが,A.10において安全管理措置が図られるよう対応する必要が生じることとなる。
  • C.10 安全管理措置(A.10):
    クラウドサービスなどのサービスを利用する際は,サービス提供事業者が当該個人データを取り扱わないことになっている場合,組織が自ら果たすべき安全管理措置の一環として,適切な安全管理措置を講じる必要が生じることとなる。

2023年版では「クラウドサービス事業者にて個人データを取り扱わない場合、委託に該当しない」ため監督の義務はありませんが、「安全管理措置」を実施する必要があります。

クラウド利用は「委託」か「安全管理措置」か?最新規格の判断基準

最新のJIS Q 15001:2023(2023年版)において、Box等のクラウドサービス利用に関する解釈が明確化されました。

1. 監督義務が課されない条件

クラウド事業者が「個人データを取り扱わない(アクセス権を持たない)」ことが契約や規約で明らかな場合、法的な「委託先の監督(A.12)」の対象外となります。これは2017年版からの大きな変更点です。

2. それでも「評価」が必要な理由

「監督(A.12)」は不要でも、「安全管理措置(A.10)」としての対応は求められます。組織は自らの責任で、安全なサービスを選択しなければなりません。審査対策としても、以下の項目を確認し、記録を残すことが重要です。

  • 事業者がアクセス権を持たない設定・運用になっているか(設定状況)
  • 外部認証(ISO 27001、ISO 27017、SOC2等)を取得しているか(信頼性)
  • 利用規約にセキュリティやバックアップに関する条項があるか(規約確認)

3. 実務的な対応策

個別の契約締結が難しい大手クラウドの場合、弊社サンプルの「委託先評価記録(台帳)」を活用し、評価根拠として「利用規約の確認」や「ISMS認証取得状況」を記載する方法が最も効率的です。これにより、規格変更に柔軟に対応しつつ、強固なガバナンスを証明できます。

プライバシーマーク サンプル文書集

文書づくりにお困りなら『プライバシーマークサンプル文書集』

プライバシーマークサンプル文書集は、プライバシーマーク取得に必要なマニュアルおよび規程書、様式を具体的に示したサンプル文書集です。プライバシーマーク制度の審査基準への対応はもちろん、JISQ15001要求事項へ対応した作りとなっています。

詳しくはこちら

ISM Web store

執筆・監修: カスタマーサポート

ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。


プライバシーマーク サンプル文書集
税理士や社労士などの「士業」も、Pマークの委託先再審査の対象になりますか?
2019/11/12 Pマークサンプル文書集 2,798 views
プライバシーマーク サンプル文書集
「個人情報管理台帳(記入例)」の全社と部門パターンの違いと、リスク分析対策計画表との関連について
2020/03/31 Pマークサンプル文書集 8,295 views
プライバシーマーク サンプル文書集
Pマークの安全管理措置に関する規定を簡素化できませんか?
2025/12/08 Pマークサンプル文書集 176 views
プライバシーマーク サンプル文書集
記入例の中の「府庁」についての記述や条例やガイドラインなどは、小規模であっても引用可能でしょうか。
2020/06/23 Pマークサンプル文書集 847 views
ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら