• Pマークにおける委託先管理は、委託先企業が個人情報を適切に扱っているかどうかを管理すること
  • 委託先管理は、個人情報保護法により義務づけられている

個人情報を取り扱ううえで、専門的な知識や技術、システムがある組織に情報を委託している企業も少なくありません。そのため、Pマーク(プライバシーマーク制度)では委託先管理が要件に含まれています。

そこで、この記事ではPマークにおける委託先管理の概要や流れ、ポイントについて解説します。

目次

Pマークにおける「委託」と「提供」の違い

まず委託先管理における意味合いを明確にするために、Pマークにおける「委託」と「提供」の言葉の違いについて解説します。

委託・提供とは

Pマークにおいて、委託・提供は以下のような意味合いで説明されています。

委託

委託とは、「預かっている個人情報の一部またはすべてを扱う業務の一部を他企業に依頼する」ことです。
例えば、名刺作成や税理士に給与計算を依頼すること、印刷会社に顧客へのDM送信を依頼するために顧客の個人情報を渡すことなどが挙げられます。

提供(第三者への提供)

提供とは、「預かっている個人情報の一部またはすべてを他企業に渡す」ことです。
例えば、健康保険組合に従業員の個人情報を渡すことや、社員旅行で海外に行く際に旅行会社にパスポートを提出することなどが挙げられます。

委託と提供の違い

委託と提供の違いは、情報そのものを渡すことを目的としているかどうかという点です。
委託の場合、個人情報を含む業務を遂行してもらうことが目的である一方、提供は個人情報を渡すこと自体が目的となっています。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

Pマークにおける委託先管理とは

そもそも委託先とは、自社の情報を委託している企業のことで、つまり「自社が保有する情報を含む業務のアウトソーシング先」です。例えば印刷業者やDM発送代行業者、外注の営業担当者などが挙げられます。

そして委託先管理とは、「自社の情報を預けるにふさわしい企業かどうかを評価し、判断する」ために行う一連の流れのことです。

ここではまず「なぜ委託先管理が必要なのか?」という観点から、個人情報保護法とPマークにおける委託先管理の監督義務をそれぞれ解説します。

個人情報保護法における「委託先の監督義務」

個人情報保護法の第22条において、委託先の監督義務について以下のように規定されています。

第22条 委託先の監督
個人情報取扱事業者は、個人データの取扱いの全部または一部を委託する場合、安全管理措置を遵守させるように委託先に対し必要かつ適切な監督をしなければならない。

引用:個人情報保護法 第二十二条(外部リンク)

また「必要かつ適切な監督」において、経済産業省ガイドラインでその内容を解説しています。

「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、
必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛
り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確
認することも含まれる。

引用:個人情報の保護に関する法律に基づく経済産業省ガイドライン素案(外部リンク)

上記の内容をまとめると、個人情報取扱事業者は、「必要かつ適切な監督」のために以下の3つを監督する義務があります。

  • 委託者と受託者が同意した安全管理措置を契約に明記すること
  • 委託契約に記載した内容を遂行すること
  • 定期的に安全管理措置について確認すること

Pマークの運用指針における「委託先の監督義務」

個人情報保護法とPマークの運用指針における「委託先の監督義務」では、どのように異なるのでしょうか。
以下に、Pマークの運用指針における「委託先の監督義務」についてまとめました。

J.9.4 委託先の監督(A.3.4.3.4)

  1. 個人データの取扱いの全部又は一部を委託する場合、十分な個人データの保護水準を満たしている者を選定するための委託先選定基準を確立し、委託先を選定すること。
  2. 個人データの取扱いの全部又は一部を委託する場合、特定した利用目的の範囲内で委託契約を締結すること。
  3. 次に示す事項が盛り込まれた契約を締結すること。
    • a)委託者及び受託者の責任の明確化
    • b)個人データの安全管理に関する事項
    • c)再委託に関する事項
    • d)個人データの取扱状況に関する委託者への報告の内容及び頻度
    • e)契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる事項
    • f)契約内容が遵守されなかった場合の措置
    • g)事件・事故が発生した場合の報告・連絡に関する事項
    • h)契約終了後の措置
  4. 全ての委託先を漏れなく特定すること。
  5. 委託契約書は当該個人データの保有期間にわたって保存すること。
  6. 委託契約に基づき、委託先を適切に監督すること。

引用:プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針(外部リンク)

こうして比較すると個人情報保護法よりもPマークの方が、基準が細かく厳しいことがわかります。

個人情報保護法が「個人情報を取り扱ううえで最低限守るべき規制」である一方、Pマークは個人情報保護法を包括し、さらに「個人情報を適切に保護・管理するためのガイドライン」であることから、委託先管理についても細かく規制されているのです。

Pマークにおける委託先管理の流れ

ここでは、Pマークにおける委託先管理の流れについて解説します。

1.委託先一覧表を作成する

まずは、自社の個人情報を委託している企業を洗い出し、委託先一覧表を作成します。ExcelやGoogleスプレッドシートなどで作成することが一般的です。

例えば、以下のような委託先が挙げられます。

  • 人材情報サービスや印刷業者などの取引先企業や個人事業主
  • 社労士や税理士、弁護士などのアウトソーシング先
  • Office365やAWS、Dropbox、Salesforceなどの外部サービス(個人情報保護に活用している場合)

また委託先の企業だけでなく、「担当者名」「連絡先」「委託する業務の内容」「委託先評価の結果」「備考」などの項目も設けておくことで、管理の一元化につながります。

2.委託先の評価方法・基準を策定する

委託先を一覧表にまとめたら、次に委託先を管理するために評価方法や基準を作成します。評価方法に規定はないため、一般的な評価方法を以下にまとめました。

  • 委託先を訪問もしくはビデオ会議などを通して実施調査を行う
  • 委託先のホームページなどに掲載されている利用規約・情報セキュリティポリシーを確認する
  • 評価アンケートを送付し、回答してもらう

自社のリソースや委託先の対応しやすさなどを検討して手段を選びますが、その際「委託契約で明記した内容が守られているかどうか」を確認できるように取り組むことが必要です。

また代表的な評価基準についても以下にまとめました。

  • 情報セキュリティマネジメントシステムに関するISMS認証(ISO27001など)やPマークなどを取得している
  • ISMS認証やPマークを取得していない場合、評価アンケートの回答が8割以上「はい」であれば、委託の基準に達していると判断する

特にISMS 認証やPマークなどの第三者認証 を取得している場合、「第三者の審査を通過できた情報セキュリティ体制を構築・運用している」という証明になるため、多くの企業の評価基準に活用されています。

3.評価を実施する

委託先評価の方法や基準が定まったら、人員を確保し、委託先に連絡するなどの評価の準備を行います。その後、実際に評価を実施します。

例えば、ISMS認証やPマークを取得しているかどうかを基準に定めた場合、以下のような手順で評価を実施します。

  1. ISMS認証やPマークの取得有無を確認する
  2. 取得状況が確認できない場合、評価アンケートもしくは実地調査などを実施する
  3. 評価アンケートや実地調査の結果をもとに、基準に照らし合わせて委託先を評価する

評価結果は、評価先一覧表にまとめて記入しましょう。

その後、評価に活用したアンケート結果や実施調査で受け取った資料などは、自社が委託先管理の義務を果たしているという証拠になるため必ず保管してください。またPマークを取得する場合には要件の一つになっています。

4.NDA(機密保持契約書)を締結する

評価の結果、「委託先として信用できる」と判断した企業においては、委託契約とNDA(機密保持契約書)を締結します。

NDAとは、委託先に開示する自社の秘密情報を契約書に記載した用途以外で使用したり、他社に開示したりすることを禁止する契約です。
秘密情報には、個人情報や財務・経理に関する情報、技術・製品情報といった企業秘密などが含まれます。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

Pマークにおける委託先管理のポイント

ここでは、Pマークにおける委託先管理のポイントを解説します。

チェック項目を必要最低限に絞る

最近では業務のアウトソーシングが一般的になっており、情報を外部サービスに委託する機会も増えています。委託先が増えていることから、委託先管理に多くの負担がかかってしまうケースも少なくありません。そうすると結果的に評価が形骸化してしまうこともあり得ます。

そこで委託先管理の手間や負担を低減し、適切に管理するには、チェック項目を必要最低限に絞ることが大切です。ISMS認証やPマークの認証基準を参考にすると、有効なチェック項目の作成に役立ちます。

定期的に評価基準を見直す

IT技術は日々進歩し、求められる情報セキュリティが移り変わっていく中で、個人情報保護に関する法令は改定され、社会的なニーズ、委託先の情報セキュリティ体制も今とは変わっていきます。

そのため、定期的に委託先の評価基準となる評価アンケートの内容や実施調査で重視する点などは見直すことが必要です。

評価基準に達しない場合、特例で対応できる

評価を実施した結果、評価基準に達しない委託先があった場合、基本的には基準を満たす委託先を探すことが必要です。

しかし、自社と長年の取引があって信頼関係がある企業や、自社にとって欠かせない業務を委託している企業には、別の事業者に変更することが難しい場合もあるでしょう。

その際には、特例を設けて取引を継続することが可能です。
「過去に個人情報漏えいをしたことがない」「基準には満たないものの、適切なセキュリティ対策を実施している」などの事実から、信頼できるとして特例を設けます。

しかし、本来であれば評価基準を達成していることが望ましいため、取引先とのコミュニケーションを図り、基準に達してもらえるように促していくことも検討しましょう。

まとめ

この記事では、Pマークにおける委託先管理の概要や流れ、ポイントについて解説しました。

個人情報を適切に保護・管理するためには、自社だけで情報セキュリティに取り組むだけでは足りず、取引先や外部サービスなどの委託先においても管理することが必要です。評価基準を設け、評価を満たした委託先と契約しましょう。

またPマークを取得するには、個人情報保護法に基づいて委託先を選定し、定期的に委託先を評価・管理することが求められます。まずは委託先を洗い出し、一覧表を作成するところから始めてみてはいかがでしょうか。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

Pマーク、50,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ