「委託先の監督」について

この記事は約3分で読めます。

さて、今取り組ませていただいている業務の中で、「委託先」についていろいろ考えていました。なので、今回は「委託先の監督」について取り上げようと思います。

委託先の監督」は、JIS Q 15001の規格要求事項「従業者の監督」の後の項番で、3.4.3.4に求められている事項です。ううん…、コレだけ読んでも眠くなってしまいそうです。では、どのようなことを求められているのか、以下からお話していきます。

委託?提供?共同利用???

委託と提供と共同利用…よく聞くけれど、違いが良く分からない…という方もいらっしゃるのではないでしょうか。ですので、まずは上記の3つをざっくりと説明します。

委託

「委託」とは、業務の一部をそのまま他社やグループに代行してもらうことです。
例えば、A社はwebサイトを作っている会社です。ですが、デザインはB社へ依頼し、作成してもらいます。A社の業務の一部を、B社(外部)へ依頼することを「委託」といいます。

提供

提供とは、そのまま、自分の持っている情報を渡すことです。
例えば、派遣会社Dと、デザイン会社Eがあります。とあるプロジェクトを完遂する為に、D社はコーダー をF社へ紹介します。この時に、D社へ登録されている派遣員(コーダー)の情報をF社へ渡すというのが、「提供」に当たります。

共同利用

共同利用も、読んで字のごとくです。
例として、Gグループがあって、H社とI社間で、緊急連絡網を作成する時に、社員情報を一緒に使うこと、これが共同利用にあたります。
「委託」「提供」「共同利用」の違いは把握できましたでしょうか。

委託先をどうやって管理するの?

いくら規格で「委託先の監督」という文言が出てきているといっても、実際に現場に出向き、四六時中監視しているなんて、とてもできるものではありません!

委託先の監督」といっても、ここで求められているのは、「個人情報の委託がある場合」のみのチェックです。個人情報の委託のあるパートナーさんのセキュリティ体制などはしっかりと機能しているのか、安全管理は整っているのかなどを調査します。

まず、自社と同様、もしくはそれ以上の安全管理規準を定めているのかを判断するために、選定基準を決めます。そして、選定基準を決めたら、委託先としてふさわしいのかを「評価チェックリスト」などを作成し、評価をしましょう!

このほかにも、委託先の監督における具体的な対策を、下記に挙げていきます。

  • 委託先と「秘密保持契約」を取り交わす場合に、以下の事項を盛り込んだものを作成してください。
    1. 委託先及び、受託者の責任の明確化
    2. 個人情報に関する安全管理の事項
    3. 再委託に関する事項
    4. 個人情報の取り扱い状況に関する委託者への報告の内容と、報告頻度
    5. 契約内容を遵守しているかどうかを委者が確認できる事項
    6. 契約内容が遵守されなかった場合の措置
    7. 事件・事故が発生した際の報告・連絡に関する事項

※JIS Q 15001:2006 個人情報保護マネジメントシステム-要求事項解説(2011年)より

  • 委託先がしっかりと安全管理をしているのかを、定期的にチェックしていきます。定期的なチェックのために、何をいつおこなうのかをまとめた「運用確認表」などを作成したほうが、チェックがスムーズです。

過去の事例にもあるように、個人情報は自社から漏れるとは限りません。ですので、規格で求められているから、という理由だけでなく、委託先のセキュリティを定期的に見直していきたいですね。

認証取得を目指すPマーク
タイトルとURLをコピーしました