新たに委託先と契約する際、こちらが提示した覚書(契約書)で対応できない場合は、公表文書を代替として用いることは可能でしょうか?
大変お世話になっております。
2回目の「更新現地審査」が、一応無事に終わり、数日後に4件ほどの指摘事項の連絡がありました。
その中で、新たな「委託契約」を結ぶべき会社について指示があり、これまで利用してきた「個人情報の取扱いに関する覚書」資料を、新たな委託先に送って事情を説明しているのですが、「この内容では承諾できないので、こちらの要望通りに修正して頂きたい」といった返信が送られてきています。
弊社としては、委託先の要望に細かく対応して、こちらの契約書を修正するのは大変ではないかと考えており、可能であれば、同じような委託先に対して「御社のウエブサイトで公表されている個人情報の取扱いについての文章を拝見して問題は無いと判断して、委託先として認定させて頂きます」という扱いにできないだろうかと考えております。
確か数年前に、このようなやり方でも問題ないとお聞きした記憶があるのですが、このような場合に、委託先会社に、何か一報する必要はあるのでしょうか。
あるいは、特に断ることもなく「委託先」としてしまって良いのでしょうか?
原則としては、覚え書きの締結は必須であり、締結できない企業には個人情報に関わる業務を発注しないことだと思います。
なお、ご質問内容には「こちらの要望通りに修正して頂きたい」となっているので、契約の締結は可能だと思われます。
それならば、ご質問者側として、最低限の項目(例:JISQ15001のA.12のe項など)は記載してください。
ご質問の中にある「似たような質問」としては、以下のURLが該当するかと思います。
なお、ご質問内容から察するに、今回のケースは、下記のような委託先が大手クラウドサービス事業者などの場合で、多数の顧客に共通のサービスを提供している企業で、個別の覚書の締結を拒否されるケースではないかと思われます。
【参考】amazon Web Serviceやgoogle Apsを利用しようかと考えておりますが、この場合も委託先として認識しないといけないのでしょうか? || ISM Web store サポートブログ
仮にウェブサイトの公表文書を、覚書の代替として用いる場合は、委託先が個人情報を保護するための対策を講じていることを確認及び評価し、その経緯を証跡として残すことがポイントになってくるかと思います。
しかしながら、先述したとおりに原則は契約することなので、契約が締結できない理由を審査員に説明し、最終的に審査員の方が納得するかだと思います。
以下に、その際のポイントをなるような点を、参考までに記します。
- その公表文書をもって覚書の代替とし、「当該文書をもって当社の要求事項を満たしていると評価し、委託先として認定した」という記録を残すこと。
- 記録には、公表文書のどの部分が、組織が必要とする安全管理措置に対応しているのかを明確にすること。
- 再委託に関する事項や事故発生時の委託先への報告・対応義務などが明確になっているかも確認すること。
- 「覚書を拒否されたため、公開文書で代替した」という経緯も記録に残しておくこと。
なお、ご質問者様はプライバシーマーク付与企業なので、委託先の修正要望が優先されるのではなく、「J.9.4 委託先の監督(A.12)」の要求を満たしているか否かの方を重視する必要があるかと思います。
以上、ご参考ください。
最新規格に対応したISMSやPマーク、ISO9001のマニュアル及び規程などの文書サンプル、社員教育用テキストを作成及び販売。取得及び構築支援として、無料にてメールサポートの実施。
経歴
- 提供年数:2000年から現在までの25年間
- 利用者数:5,000件以上
- 提供先業種:各種企業及び団体、ISOコンサルタント、審査員、審査員研修機関など
監修・協力
- 提携コンサルタント:ISO27001(ISMS)、プライバシーマーク(Pマーク)、ISO9001
