プライバシーマークを取得していない企業に委託するのは面倒？？|株式会社シンメトリック公式ブログ - 携帯開発から生まれる技術情報| 携帯サイト開発から生まれる技術情報ブログ

今回（8回目）のコンサルティングでは、委託先の管理と技術面での安全管理、緊急事態が起きた時の対応に関する規定についてコンサルタントの方から説明を受けました。委託先管理の話を聞いている時に、もしかして、プライバシーマークを取得していない企業に委託するのは面倒かも？と思うようなことがあり、改めてプライバシーマークの重要さを認識しました。

自社の体制を整えるだけではなく委託先に対しても評価が必要

委託先管理規定では、個人情報を保護するという観点から、委託先に対してもいくつかの基準を設けて評価するという内容が記載されています。では、委託先に対して実際に何をしなければならないかというとを簡単にまとめると、下記のような順序で進めることになります。

• 委託先の選定基準を決める
• 委託先評価シートをもとに委託先を選ぶ
• 業務内容に応じて、契約等の書面を取り交わす
• 委託先管理台帳で管理する
• 毎年委託先の選定基準の見直しをする
• 委託先との個人情報の授受の記録は1年以上保管する

※サンプル「委託先評価シート」、「委託先管理台帳」

 

弊社でも委託先に対して上記の順序で進めています。委託先評価シートを作成した際に、コンサルタントの方に言われたことは、プライバシーマークもしくはISOを取得している企業に対しては、特に評価しなくて良いということでした。この時私が、最初にプライバシーマークについての記事を書いた時のことを思い出しました。（ プライバシーマークって本当に必要なの？）選定する委託先もしくは取引先を条件などがほぼ同等な場合で二者択一といことになれば、プライバシーマークを保有する企業の方が安心感や信頼感を持つことができると書いていました。

今回私が学んだことは、プライバシーマークを取得していない企業に委託するには、委託をする側に作業が発生してしまうということです。委託する側の立場から考えると、作業も発生せず、個人情報を守っているという証明のある企業の方が、単純に委託しやすいと考えると思います。つまり、プライバシーマークを取得している企業の方が選定される際には良い印象を受けるということです。このように考えると、改めてプライバシーマークの重要さを認識し、早く取得したいなと思いました。

技術的安全性と緊急事態における管理

技術的安全管理規定の目的は、社内ネットワークとシステムのセキュリティ対策が実施・維持されていることです。例えば、

• サーバー、PC、メールのIDとパスワードを管理する
• 個人情報へのアクセスは最小限にする
• 不正ソフトウエア、webページ対策を行う

弊社では、最低でも3ヶ月に1度は、各自のPCや社内共有のPCのパスワードの変更を必ず行うことや、個人情報へのアクセスは担当者のみというルール、業務に使用するPCには必ず、ウイルス対策ソフトを導入し、自動更新を行うなどの体制を整えました。

緊急事態対応措置管理規定の目的は、個人情報が漏えいしてしまった際に、どのような対応・体制をとるかということです。「緊急連絡先体制図」を作成し、事故が起きてしまった場合は、「緊急事態報告書」に記録します。

※サンプル「緊急連絡先体制図」、「緊急事態報告書」

この2種類のの記録類は、できることなら一度も使いたくないですね。使用することないように、日頃から気をつけたいと思います。

いよいよ文書作成も終盤です

次回のコンサルティングでは、個人情報保護基本規程の見直しをします。 今まで作成してきた文書の最終チェックといったところです。今後の流れとしては、文書作成が終わったら内部監査をおこない、記録を作成して、ようやく書類申請となります。もうすぐなのか、まだまだなのか？という思いで、日々作業を進めています。