ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

「通信・運用管理規程」の「2.6 外部委託による施設管理」について

2009/07/06 (2019/09/19)

「通信・運用管理規程」の「2.6 外部委託による施設管理」において

外部のサービスを受けている対象会社として、インターネットを預けている会社や、弊社のグループウェアを運用している会社があります。
そこで「個人情報の取り扱いに関する覚書」の締結が可能か、確認しましたところ、以下のような回答をもらいました。

A社)一部上場、ホスティングサービス会社(社員の名前、メールアドレス、ホームページ等)
 > ドメイン、サーバーサービスのみの提供となっておりますため、
 > お客様の管理する顧客情報については、弊社管理外となります。
 > つきましては、ホームページデータ、メールデータにつきまして
 > も、弊社では内容を把握することができないため、この度の回答
 > とさせていただいております。

B社)グループウェアサービス会社(社員の名前、メールアドレス等)
> ○○社ではプライバシーマークを取得しており、
> 個別に情報保護契約を結ばなくてもユーザー様が
> プライバシーマークを取得する事は可能となっております。
> そのため、弊社では各会員様と個別に個人情報保護の
> 契約締結は一切行っておらず、過去の事例もございません。

このようなケースでは、どのように対応すればよいでしょうか?

ケース1) これらの会社との関係を打ち切る (これは非現実的です。)
ケース2) 各サービス会社の「個人情報保護方針」などを、「覚書」の締結と同等内容との扱いとできるよう規程を見直す
ケース3) 規程から「2.6 外部委託による施設管理」をはずす (NG?)

結論から言いますと最近、審査員(JIPDEC)からは、以下に示す「ケース4)」が求められる事が多いようです。

JIPDECでの現地審査では、「個人情報の取り扱いに関する覚書」の締結が無理な場合、「そうですか。 しかたないですね」とはなりません。

ケース4) ※”ケース2)”にある意味、類似しています。

相手方のHPなどを調べて
 ①Pマークの取得の有無
 ②個人情報保護方針の有無
 ③”約款”での個人情報保護やセキュリティ対策の記述の有無
を確認し①、②、③&各サービス会社からの返信メールを審査時に審査員に提示し説明する。

注)①、②、③を確認・評価した結果、全てが”無し”又は”有り(①は除く)”
の場合でも、記述内容があまりにも”あいまい”、”不足”している場合は、非現実的ですが”ケース1)”を採用するようにJIPDECから言われる可能性があるかと思われます。