Pマークの「システム管理者」を、外部の業務請負が担当しても規格上問題ありませんか?
PMS体制の中の「システム管理者」について、社員ではなく業務請負が担当しても、規格上は問題ないでしょうか。
注意すべき点などありましたら、ご教示ください。
結論から申し上げますと、外部リソースを活用してシステム管理を行うこと自体は、規格上も実務上も問題ありません。
システム要員がいないなどは、中小企業であれば考えられることなので、「業務請負」という形態でも問題はありません。
ただ、「システム管理者」には役割が与えられているため、組織としては、十分な注意が必要となってくると思います。
1. 組織内部の「責任者」を明確にする
外部の請負者にシステム実務を任せる場合でも、その業務を管理・監督する責任者(正社員等)を組織内部に設置する必要があります。
外部の方を体制図上の「システム管理者」に任命する場合でも、「その外部担当者を誰が監督し、指示を出すのか」という内部の管理責任を明確にしておくことが、審査における「丸投げ」指摘を防ぐポイントです。
2. 契約形態に応じた安全管理措置
「業務請負」が、委託なのか、契約社員なのか、どのような形態なのかによりますが、委託であれば委託先の監督に従うこと、契約社員なら守秘義務契約などの契約が必要です。
担当者の契約形態によって、以下の手続きを適切に実施してください。
- 業務委託(請負・準委任)の場合:
委託先に対する「委託先の監督」が適用されます。機密保持を含む契約の締結と、定期的な安全管理状況の点検(モニタリング)が必要です。 - 個人との直接契約(契約社員等)の場合:
組織の直接的な指揮命令系統に入るため、従業者としての教育や誓約書の取得など、正社員と同等の管理が求められます。
3. サンプル文書の見直しについて
弊社のサンプル文書集は「社内スタッフ」が担当する前提で構成されています。外部に依頼する場合は、以下の点を規定等で調整することを推奨します。
- 権限の範囲:
どこまでのシステム操作や決定権限を委ねるかを定義する。 - 報告フロー:
インシデント発生時、内部の個人情報保護管理者へ迅速に報告が上がるルートを確立する。
「実務は外部、責任(監督)は内部」という線引きを明確にすることが、適切なPMS運用の鍵となります。
今後ともよろしくお願い申し上げます。
