個人情報保護法の第22条では、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」との記載があります。(2020年3月現在)
それに応じて、Pマークの規格であるJIS Q15001:2017の3.4.3.4「委託先の監督」にも、委託先の監督義務が明記されています。
そのため、Pマークを取得している企業にとって、委託先の管理は必須です。
とはいえ、「委託先管理」という言葉を聞いただけではイメージが湧きづらく、具体的に何をすればよいのかわからないかと思います。以下では、Pマークでの委託先管理の方法について詳しくご紹介します。
※ISMSでの委託先管理の方法については、こちらをご確認ください。
また、弊社では委託先管理について詳細にまとめた資料をご用意しております。本記事と併せてご活用ください!
委託先管理とは
具体的な方法を紹介する前に、「委託先管理」とは何なのか、まずはしっかり把握しておきましょう。
Pマークでいう委託先管理とは、簡単に言ってしまえば「個人情報を取り扱う業務を委託している企業を管理すること」です。
つまり、「自社の顧客や従業員の個人情報を預けている企業・人・サービス」はすべて委託先ということになり、管理対象となります。
委託先管理の流れ
では、具体的な委託先管理の方法を、流れに沿って説明していきます。
なお、以下で説明する方法はあくまで一例ですので、自社のあり方に沿って、より良い方法を模索してみるのも良いでしょう。
委託先一覧の作成
まずは委託先一覧を作成する必要があります。
一般的には、Excel等で一覧を作成する企業が多いです。委託先の一覧には、委託先の企業名だけではなく、下記のような項目も書き込んでおくと管理がしやすいでしょう。
- 委託先評価の合否結果
- 委託する業務の内容
委託先の洗い出し
次に委託先の洗い出しをおこないましょう。
以下、よくある委託先の例をいくつかご紹介します。
- よくある業務委託先の例
-
- 社労士
- 税理士
- 名刺印刷業者
- 人材情報サービス(マイナビ、リクナビなど)
など
- よく利用されている外部サービスの例
-
- G Suite
- Office365
- AWS
- GCP
- Box
- Dropbox
- Salesforce
- Zendesk
- freee
- Seculio
など
委託先の評価方法を決定
委託先の評価方法としては、
- 委託先に訪問しての実地監査
- 評価アンケートの送付
- 委託先が公開する利用規約やセキュリティポリシーの確認
といったものが一般的です。
自社の委託先数やリソースを加味しつつ、評価方法を決定しましょう。
評価方法が決まったら、それぞれアポの調整をおこなったり、評価アンケートを作成したり、選択した評価方法を実施するための準備をおこないます。
以下では、「評価アンケートの送付」を選択した場合の方法をご紹介します。
委託先評価基準の決定
委託先が適切な安全管理措置を講じているか評価をおこなうにあたり、評価基準を設けましょう。
以下は、評価基準の一例です。
- ISMSかPマークを取得している
- ISMSやPマークは取得していないが、評価アンケートで8割以上Yesと回答している
- ISMSやPマークを取得しておらず、評価アンケートでもYesの回答が8割に満たない
ISMSやPマークを取得しているか否かを判断基準にする場合は多いです。「第三者の目から見てもしっかりした情報セキュリティ体制が構築されている」という証になりますし、ISMSやPマークの認証マークはWebサイト等に掲載されていることも多く、判断するのも簡単です。
ただし、まだまだISMSやPマークを持っていない企業も世の中にはたくさんありますので、そのような企業を判断するにはやはり評価アンケートなどの方法が必要になってきます。
委託先に提供する情報の重要度によって、「この程度セキュリティ要件を満たしていれば委託先として認められる」という基準を設けましょう。
上記の例のように「8割以上」となる場合もあれば、「アンケート回答に1つでもNoとあれば委託先として認定できない」という場合もあるかと思います。
評価実施の準備
選択した評価方法を実施するために必要なものを揃えましょう。
実地監査をする場合には、人員を確保して委託先にアポイントを取る必要がありますし、評価アンケートを実施する場合には、評価アンケートのフォーマットを用意しなければなりません。評価アンケートの場合、アンケートを作成する形式に特に決まりはありません。
一般的にはWordやExcelで作成されてメールやチャットでやり取りされるパターンが多いですが、印刷して郵送でやり取りしても問題ありません。
委託先の評価
次に、委託先の評価をおこなっていきます。
上記の評価基準を用いてアンケートで評価する場合、下記流れで対応します。
- 認証取得状況を確認できない企業へ、作成した評価アンケートを送付
- 評価アンケートの結果が返ってきたら、自社で設けた基準をもとに委託先を評価
アンケート結果は、委託先が万が一にも個人情報漏えい等のインシデントを起こした際、自社が委託先を適切に選定・管理していることの証拠になりますし、Pマーク審査時にもチェックされる箇所ですので、きちんと保管しておきましょう。
なお、Pマークでは委託先の委託先(再委託先)の監督義務が発生しますので、再委託先にもアンケートを送付し、評価を実施しておくと良いでしょう。
NDAの締結
アンケートの結果、委託をおこなって問題ないと判断された企業に対しては、委託をおこなうための「委託契約」と「NDA」を締結します。
- NDA(秘密保持契約)
- 委託先との取引の中で知り得た情報を、第三者に漏らしたり取引外で利用することを禁止する契約のことを言います。
なお、まれに個別の委託契約を拒否されるケースがあります。(クラウドサービスを提供している大規模な事業者などに多い例です)
そのような場合は、サービス提供元のWebサイトに掲げられた利用規約を担保とする、といった方法で代替が可能ですので、検討してみてください。
ここまでで、委託先管理は一通り完了です。
あとは、都度「委託先が増えたとき」「委託先が変更になったとき」「自社で定めた委託先見直しの時期がきたとき」など、必要性が生じたときに委託先の評価をおこなっていけば問題ありません。
委託先管理の手順をまとめた資料はこちら。
委託先が基準に達しないとき
委託先を評価した結果、自社が設定した基準に達していなかった場合、どうすればよいのでしょうか。
そもそも委託先を変更する、というのが最も手っ取り早い方法ではありますが、そうはいかない場合もあるかと思います。そういったときは、「昔から業務を委託していて、相手のセキュリティ状況を把握・信頼できているので問題ない」というように特例を設けることも可能です。
委託先がアンケートに回答してくれないとき
- 依頼をしても評価アンケートに回答してくれない
- いくら催促しても評価アンケートが返ってこない
といったようなときは、「委託先に訪問して実地監査をする」「委託先のWebサイトにある利用規約やセキュリティポリシーを確認する」といった手段で代替も可能です。
委託先の見直し
委託先は一度評価すればOKというわけではなく、定期的に評価をし直すべきです。
なぜなら、自社が委託先に預ける個人情報の種類や数、委託先の情報セキュリティ体制、情報保護に関する法律や情勢というのは、日々変化しているからです。
年に1度、もしくは2年に1度など、定期的に見直しをおこなえば、より意味のある委託先管理を実現できるでしょう。
※Pマーク審査時には定期的な委託先管理をおこなっているかチェックされることが多いため、可能であれば2年に1度くらいのペースで見直しをおこなっていると、審査対応時の負担が軽減されるかと思います。
| ISMS | Pマーク | |
|---|---|---|
| 委託先として 管理する範囲 |
ある程度自由に設定できる | 個人情報の預け先はすべて管理しなければならない |
| 委託先との NDAの締結 |
締結が推奨されている | 締結は必須 ※ただし、士業など法律で守秘義務が課せられている委託先については改めてNDAを締結する必要がない |
| 委託先の委託先 (再委託先)の監督 |
個人情報を預けている場合は必要 | 必要 |
弊社が提供している「Seculio」では、今回ご紹介したアンケート送付での委託先管理をクラウド上で行う機能をご提供しています。
情報セキュリティコンサルタントが作成したアンケート項目を利用できる他、アンケートの一括送信機能など、委託先管理の工数を大幅に削減する機能が備わっていますので、まずはお気軽に無料トライアルでご確認ください。
