プライバシーマーク (Pマーク)委託先はどこまで入れる？

プライバシーマーク（Pマーク）における委託先管理は「個人情報を取り扱う業務を委託している企業を管理すること」で自社の顧客や従業員の個人情報を預けている企業・人・サービスは全て委託先として特定しておくべきです。

1．物語

運営委員会  　 ：『委託先の特定をしてくれ！』
チームメンバー：『わかりました！ところで委託先とは何ですか？
　　　　　　　　そもそも委託先ってどこまでが該当するんでしょうか？』
運営委員会　　：『そうだよな。。まず委託先について調べてみよう！
　　　　　　　　委託先の特定についてわかるはず！』

2.  委託と提供の違いって何？

委託と提供の違いを考える際に、“個人情報の所有者は誰なのか”その責任の所在で考えるとイメージがしやすいということがわかりました。

委託は、個人情報の所有者が委託する側であり、委託する側に責任があります。
提供は、個人情報の所有者が提供される側であり、提供される側に責任があります。

3．委託先の評価について

1）新規登録評価とは

委託と提供の違いが分かったところで、委託先の評価について調べてみました。
評価には新規評価と継続評価の2種類がありました。
まず、委託先の新規評価について考えてみましょう。
新規評価とは、個人情報を取り扱う業務の委託を行ってもよい会社かどうか評価をすることです。
　
規格要求では、自社と同等以上の個人情報保護の水準にある事を客観的に確認できることを評価項目に含めなければならないとされています。
評価項目の例として、「個人情報に関する教育を実施出来ているか」「事故への対処を実践する手順が整っているのか」などがあげられます。
　

2）継続評価とは

次に継続評価について考えてみましょう。
継続評価とは、委託先をこのまま使い続けてもいいのかどうか評価することになります。
なぜなら、委託先に預ける個人情報の種類や数、セキュリティ体制、保護情報に関する法律などは日々変化しているからです。
1年に1回など定期的に見直すことが継続評価になります。
 

3）評価の実施方法

実際の評価方法についても、いくつかやり方があるようです。
 
①   アンケート
実施方法の1つ目はアンケートです。
委託先にアンケートを送付して回答していただきます。
送付したアンケートが返ってきましたら、自社で設定した基準を元に評価をします。
アンケート結果は審査の際にもチェックされることがあるのできちんと保管しておきましょう。
 
②   インターネットを使って調べる
2つ目はインターネットを使って調べる方法です。
委託先のHPから、Pマークを取得しているのか、セキュリティ体制は整っているのか等を調べたり、サービスの利用規約等の中で安全管理について記載を確認したりと間接的に評価する方法があります。
 
 
③   取引先に直接ヒアリングする
3つ目は実際の取引をしている自社内の担当者がヒアリングする方法です。
お打ち合わせの際に直接担当者へヒアリングをします。

4.　どのように特定するのか

最後に特定についてです。そもそもどこまで特定すればいいか分かりませんよね。
Pマークでは、「個人情報のやり取り」が発生する委託業務は全て委託先として特定する必要があります。
個人情報の取り扱いにおけるライフサイクルの中で会社の外に出すシーンはあるのか？という視点を持ち、個人情報を特定する際に業務委託の有無も確認しておくことで委託先の特定も同時にできるようです。
 
個人情報のやり取りが発生する業務を調べたところ思いのほか多く該当する業務がありました。
・自社の給与計算を社労士に依頼する
・自社の個人データをクラウドに保管する
・メール、SNS、チャットツール等の連絡ツールの使用
・配送業者（佐川、ヤマト、福山通運）の使用
・名刺作成の依頼
・会社保有のサーバをデータセンターに保管する
・溶解処理業者を使用しての媒体廃棄
・個人事業主(フリーランスも含む）に業務委託
 
このような業務があるのであれば委託先があると考えると良いですね。

5.　まとめ

1　委託と提供の違いは責任の所在にある
2　業務の委託を行ってもいいか判断するために新規評価と継続評価は必要
3　「個人情報のやり取り」が発生する委託先は全て委託先として特定する必要がある
 
上記の内容を踏まえて、プライバシーマーク (Pマーク)を運用する上での委託先を特定、評価する
必要があります。
 
最後まで読んでいただきありがとうございました。