活用テクニック

Pマークを取得している企業or取得を予定している企業様がサプライチェーンセキュリティ機能を利用される際の利用の流れをご説明します。注意点がいくつかありますので、そちらもぜひご確認ください。

この記事でわかること

1. Pマーク取得企業によるサプライチェーンセキュリティ機能の使い方
2. Pマーク取得企業が委託先管理をおこなう際に注意したいこと

1. 委託先を「セキュリオ」に登録する

まずは、自社の委託先および委託先候補を「セキュリオ」に登録します。
参考：委託先を登録する

委託先の具体例

• 名刺印刷業者(名刺の印刷に伴い従業員の名前を委託している)
• 税理士(年末調整で従業員情報を委託している)
• 社労士(入社時の社会保険手続きで従業員情報を委託している)
• クラウドサービス運営事業者(クラウド上に個人情報を保管している場合委託先になる)

なお、例えば次のような業種の場合は、委託先とする必要はありません。

• オフィス内に立ち入るが、個人情報の取扱いが発生しない清掃業者
• 人材派遣業者(但し派遣元との間で非開示契約が結ばれていることの確認は必要)

2. アンケートを作成する

委託先のセキュリティ状況をチェックするアンケートを作成します。
参考：アンケートをテンプレから作成する

なお、士業の方(税理士や社労士、弁護士、医師)は法律で守秘義務が課されており、それだけで選定基準を満たしていると評価できるため、アンケートによる評価は必須ではありません。

しかしながら、中には情報セキュリティ対策が不十分な方もいるので、できる限りアンケートを実施する方が望ましいです。

大企業が委託先の場合(大手の名刺印刷業者やクラウドサービス事業者等)、アンケートを配信しても返ってこない可能性があります。そういった場合は「委託先に訪問して実地監査をする」「委託先のWebサイトにある利用規約やセキュリティポリシーを確認する」といった手段で代替も可能です。
※LRMのコンサルティングをご利用されている場合は、コンサルタントへぜひご相談ください。

3. アンケートを配信する

アンケートを用意できたら、委託先に配信します。
参考：委託先へアンケートを配信する

4. 回答結果を確認・評価する

委託先がアンケートへ回答したら、アンケート結果の評価をおこないます。
参考：委託先のアンケート回答情報の評価をおこなう

アンケート評価画面で、合格の場合は「OK」、不合格の場合は「NG」と入力します。

ちなみに、「セキュリオ」を提供するLRMでは、「実施済みあるいは一部実施済みが7割以上」という基準をお客様にオススメすることが多いです。とはいえ、この「7割」という合格ラインはあくまで参考値ですので、8割、あるいは全項目実施で合格というような設定ももちろん可能です。

ただし、逆に合格ラインを7割未満にしてしまうと審査機関から合格ラインが低いと指摘されることもありますので、ご注意ください。

5. 委託先を評価する

アンケートの評価が終われば、その結果をもとに、最後に委託先の評価をおこないます。
参考：委託先を評価する

委託先評価は「未実施・委託OK・委託NG」という3段階で設定できるようになっていますので、委託先評価をおこなう前段階では「未実施」としていただき、委託可能と判断すれば「委託OK」、委託不可能と判断すれば「委託NG」としていただければと思います。

委託先評価が終われば、合格した委託先に対してNDA(秘密保持契約)を締結します。
なお、NDAに関しては、士業の方と1対1での契約を結ぶ場合、士業の方は法律で守秘義務が課されているため、NDAをわざわざ結ぶことは二度手間となるため、避けることもあります。
ただし、相手が事務所を構えていて事務所単位で契約するような場合は、事務所の中には士業でない事務職の方などもおられるかと思いますので、やはりNDAを結んでおく方が良いでしょう。

アンケートを実施せず委託先評価をした先については、その会社のWebサイトや、利用サービスの公式ページに公開されている利用規約・プライバシーポリシー等を保管しておきます。

委託先評価は1回おこなえばそれで終わりというわけではありません。Pマーク運用に際して、委託先を適切に監督し、契約内容が適切に実行されていることを定期的、および適宜確認する必要があります。

そのため、社内で具体的な時期を定めて定期的に再評価を行っていく必要があります。最低でも年1回は委託先にアンケートをおこなう運用が望ましいでしょう。