株式会社ハピネックス

東京都中央区日本橋小伝馬町16-5
新日本橋長岡ビル6階
TEL:03-5614-4311

JISQ15001:2006 規格要求事項解説

3.4 実施及び運用

3.4.3 適正管理

3.4.3.4 委託先の監督

(解説)

社内で個人情報を取り扱う従業者に対しては、何らかの形で監督しています。では外注先はどうなるのでしょうか。個人情報の取扱いについて外注先で処理をしてもらっている場合には、きちんと委託先を監督する必要があります。

ここで要求しているのは「個人情報の取扱い・処理を外部に委託する、これは良いですよ。しかしその委託先の選定基準はしっかりと決めてください。」ということです。

色々と社内でルールを決めます。
例えば「これこれが出来ている委託先」
一番わかりやすいのは、委託先がプライバシーマーク制度の認証事業者であれば問題ないですよね。委託先がプライバシーマーク制度に基づいて社内ルールができている。できていて運用しているから、プライバシーマークが付与されたわけです。
一番わかりやすい委託先の選定基準ですね。このように委託先を決める選定基準を決めてください。

という訳で、まずは委託先の選定基準を決めて、そして委託先に対してきちんと監督をしてください。場合によっては契約書の中に盛り込んだり、本当にその通りやっているのか定期的に監査に行く。これも一つのやり方でしょう。いずれにしても、委託先をきちんと監督してください。

そして委託先とは、a )~g )の内容を含んだ契約を締結すること。
受託者の責任の明確化、安全管理に関する事項、再委託に関する事項、こういった内容を、基本的には契約してくださいと言っています。いわゆる口約束ではなく、契約書でやって下さいということですね。
記録を残すためにも契約書をきちんと交わしてくださいね、ということが要求されています。


戻る(3.4.3.3)


次へ(3.4.4)

規格要求事項解説

ページのトップへ戻る