個人データの取扱いの全部又は一部を委託する場合、委託先の監督(モニタリング)が求められます。ここでは委託先を洗い出し、委託先に対してモニタリングを実施していきましょう。
規格対応箇所
J.9.4 委託先の監督
要求されていること
委託先選定基準
- 少なくとも委託する当該業務に関しては、自社と同等以上の個人情報保護の水準にあること
- 契約に規定する事項に対応可能なことを客観的に確認できること
契約に盛り込む事項
- 委託者及び受託者の責任の明確化
- 個人データの安全管理に関する事項
- 再委託に関する事項
- 個人データの取扱状況に関する委託者への報告の内容及び頻度
- 契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる 事項
- 契約内容が遵守されなかった場合の措置
- 事件・事故が発生した場合の報告・連絡に関する事項
- 契約終了後の措置
委託先の洗い出しとモニタリング
- 委託契約書を委託している個人データの保管期間まで保存しておく
- 委託契約に基づいた、委託先の監督(モニタリング)
- 特定の(個人情報が絡む)業務を委託している場合は、先方に回答してもらう
- Sassやクラウド型ドライブなどのサービスを使っている場合は、モニタリングは先方にチェックリストを回答してもらうのは現実的ではないため、サービス運営会社のホームページから認証制度(ISMS、Pマークなど)の取得状況やセキュリティに関する記載からOKと自社回答してもよい
- ホームページにそのような情報が全くないことはほぼ100%ないので、基本的には外部サービスの運営会社にチェックリストに回答してもらうケースはない
- HPに記載がなく、回答もされない場合、そもそも委託先として適切ではない、というのがPマークの考え方
やること
前提として、上述の「契約に盛り込む事項」を委託先と締結しましょう。
- 今後委託契約を締結するために、契約書テンプレートを修正しておく
- すでに委託契約を締結した場合は、覚書にて追加締結する
供給者・委託先管理の一覧画面から供給者を追加します。「個人情報の取り扱いを含む」のチェックを入れると、この後のモニタリングチェックリストの設問がPマーク用に変わります。
モニタリングの方法は、以下3つを用意しています。
- セキュリティに関する認証・認定制度の取得状況チェック
いずれかを選択して委託先にチェックリストを送付しましょう。