みなさんの会社では、社外へ個人情報の委託を行っていますか?
プライバシーマーク(以下、Pマーク)を取得していると、そのような委託先に対して委託先評価を行うこと(よくあるのはセキュリティアンケートを委託先に送付し回答してもらうこと)と、委託した個人情報に関する秘密保持契約を結ぶことが必要です。
ただ、中には、アンケートや契約を結ぶことが困難な場合があります。本記事では、具体的なケースとそのようなときどうすればいいのかについて解説していきます。
委託先とアンケートや契約を締結したいけど・・・
委託先がAWSやBoxのようなクラウドストレージサービス事業者やその他大手企業である場合、アンケートを送付し回答してもらったり、秘密保持契約書にサインしてもらったりすることはなかなか現実的ではありません。しかし、Pマークではそれらが必要です。どうすればいいのでしょうか。
実施できないときの対応方法
そのような場合は、「委託先のWebサイトから利用規約をダウンロードして保管しておく」という取扱いをしても構いません。
一般的にそのような事象者は個人情報の取扱いに関する利用規約がありますので、そちらを確認し、社内保管しておけばPマークの規定上OKです。
なぜアンケートや秘密保持契約の代替手段として利用規約の確認でも大丈夫なのかと言いますと、Pマークでは、委託先について「自社と同等以上の個人情報保護の水準にあることを客観的に確認する」ことが必要となっています。それを踏まえると、利用規約は、それを客観的に確認できる手段となりえます。
また、利用規約というのは、そのサービスの提供者と利用者との約束事、つまり契約ですので、秘密保持契約の代わりに利用規約があればそちらでも構わないということです。
では、利用規約に何が記載されていればいいのでしょう。
確認事項としては、下記のような内容が利用規約から確認できれば委託先としてのセキュリティ水準は担保できると言えるでしょう。
・利用者とサービス提供事業者の責任の所在
・契約中並びに契約終了後の個人情報の取扱いについて
・万が一情報が紛失してしまった場合のバックアップ状況
・問い合わせ先が明確に記載されているか
委託先の評価方法としてアンケートの送付をしている場合、毎年アンケートを送付し、結果を保管しておくことが必要です。一方で、アンケートを送付せず、利用規約を保管するという取扱いをする場合は、利用規約の内容が更新されていないかどうか毎年確認し、最新の利用規約を保管しておくことが必要となるので、忘れないようにしましょう。
最後に
新型コロナウイルスの影響で在宅勤務を始めた、また、それにより、以前では自社サーバーに保管していた個人情報をクラウドサーバーに保管するようになった、という会社も多いかと思います。
会社として新たに委託先が増えた場合は、アンケートと秘密保持契約を実施すること、できないような事業者であれば、利用規約を保管するという方法も取ることができることをセットで覚えておきましょう。