「プライバシーマークにおける委託先管理とは何か」「委託先管理ではプライバシーマークの取得状況を確認する必要があるのか」など、疑問に感じている方もいらっしゃるのではないでしょうか?
本記事では、プライバシーマークにおける委託先管理の概要から導入する目的、ポイントについて解説します。
1. 委託先の監督義務
個人情報取扱事業者は、委託先に個人情報を預ける場合、委託先の監督が必須となります。
|
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 引用:個人情報保護法第25条 |
上記の「必要かつ適切な監督」については、個人情報保護委員会が定めるガイドラインにて、下記の3つを行う必要があると示されています。
| 適切な委託先の選定 | 委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第23条及び本ガイドラインで委託元に求められるものと同等であることを確認するため、「10((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。 |
| 委託契約の締結 | 委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。 |
| 委託先における個人データ取扱状況の把握 | 委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。 |
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
プライバシーマークの規格であるJIS Q 15001:2017の3.4.3.4「委託先の監督」においても、委託先の監督義務が明記されているため、Pマークの取得・更新をするにあたっても委託先の監督は必須となります。
2. プライバシーマークにおける委託先管理とは
プライバシーマークにおける委託先管理とは、委託先に預けた個人情報が漏洩しないように、委託先を管理することです。
個人情報保護委員会が公開しているガイドラインでは、委託先に対して必要かつ適切な監督を行っていない事例として、下記の4つが挙げられています。
|
事例1)個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合 事例2)個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合 事例3)再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合 事例4)契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合 |
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
■プライバシーマークとは
プライバシーマークとは、取得した個人情報に対して適切な保護措置を講じている事業者がプライバシーマークの使用を認められる、第三者認証制度です。
一般財団法人日本情報経済社会推進協会(JIPDEC)が、プライバシーマーク制度を運営しています。
日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づき、取得した個人情報に対して適切な保護措置を講じていると認証された事業者に対して、プライバシーマークが付与されます。
プライバシーマークと似た規格として、ISMSというもののもあります。
■ISMSとは
ISMSとは、自社が所有する情報の機密性・完全性・可用性を維持できるように、強固なセキュリティ体制を構築することです。
情報セキュリティマネジメントシステムを意味する「Information Security Management System」の頭文字を取って、ISMSと呼ばれています。
ISMSを構築する基準とされているのは、国際規格である「ISO/IEC 27001」と「JIS Q 27001」の2つです。
「ISO/IEC 27001」や「JIS Q 27001」を取得していることは、ISMS認証を受けていることを意味します。
3. プライバシーマークにおける委託先管理の目的
プライバシーマークにおける委託先管理の目的は、委託先における人的ミスやサイバー攻撃によって、委託先に預けた個人情報が漏洩しないようにすることです。
自社で十分なセキュリティ対策を実施していても、委託先や再委託先のセキュリティ対策に不備があれば、情報漏洩が発生するケースがあります。
そして委託先や再委託先での情報漏洩であっても、適切な監督がなされていなかった場合、自社も責任を負う可能性があります。個人情報保護委員会によるガイドラインでは、再委託先における個人情報の不適切な取扱いにおいても、委託元による法違反と判断される可能性があるとされています。
|
委託元が委託先について「必要かつ適切な監督」を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要する。 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」 |
そのため、委託先や再委託先における情報漏洩による自社への影響を軽減するためにも、委託先管理を実施するわけです。
4. プライバシーマークにおける委託先管理のポイント
プライバシーマークにおける委託先管理のポイントは以下の通りです。
- 適切な委託先の選定
- 委託先一覧の作成
- 委託先のリスク管理体制を定期的にチェックする
■適切な委託先の選定
預ける情報の重要度や業務の種類に沿って、委託先が個人情報の安全管理措置を実施できる企業なのかを確認し、選定するようにしましょう。
確認方法としては、チェックシートで評価基準を作成し委託先に回答してもらう、委託先での実地調査を行う、PマークやISMSといった認証の取得状況を確認する、といった方法があります。
■委託先一覧の作成
個人情報を預けている委託先をリストアップし、常に把握するようにしましょう。
再委託先がある場合には、再委託先についても把握が必要な場合もあります。
■委託先の管理体制を定期的にチェックする
契約前の評価だけでなく、定期的に個人情報の管理体制を確認する必要があります。
社内の人員体制の変更やオフィスの移動、人手が足らず再委託をすることになったなど、企業の管理体制には変化がつきもので、一度確認すれば大丈夫とは限らないのです。
5. まとめ
本記事では、プライバシーマークにおける委託先管理の概要から目的、ポイントについて解説しました。
どんなに自社が完璧に情報セキュリティ対策を取っていても、委託先や再委託先でずさんな管理がなされていれば情報漏洩のリスクがあります。
そして漏洩した際には委託元である自社の管理責任が問われることになるのです。
プライバシーマークの取得・更新審査においても、委託先管理を適切に行っているかは審査機関によってチェックされます。本記事を参考に、自社の委託先管理についても見直してみてはいかがでしょうか。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。
