Pマーク 委託先管理の流れ・方法を徹底解説

​​個人情報保護法の第22条では、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」との記載があります。(2023年1月現在)​ 

​​それに応じて、Pマークの規格であるJIS Q 15001:2017の3.4.3.4「委託先の監督」にも、委託先の監督義務が明記されていて、​​委託先の管理は必須です。​ 

​​本記事では、Pマークでの委託先管理の方法について詳しくご紹介します。​ 

LRMがご提供する「セキュリオ」のサプライチェーンセキュリティ機能では、ラクラク3ステップでの委託先管理が可能です。お気軽にお試しください。

委託先の監督とは

​​委託先を監督することは「委託先管理」という言葉で定義されています。具体的な方法を紹介する前に、「委託先管理」とは何なのか、まずはしっかり把握しておきましょう。​ 

​​Pマークでいう委託先管理とは、簡単に言ってしまえば「個人情報を取り扱う業務を委託している企業を管理すること」です。つまり、「自社の顧客や従業員の個人情報を預けている企業・人・サービス」はすべて委託先ということになり、管理対象となります。

個人情報取扱事業者は委託先の監督が必須

​​個人情報保護法の第二十二条において、個人情報取扱事業者に対して、以下のように委託先の監督義務が必要とされています。​ 

個人情報取扱事業者は、個人データの取扱いの全部または一部を委託する場合、安全管理措置を遵守させるように委託先に対し必要かつ適切な監督をしなければならない（22条）。

個人情報保護法 第二十二条

​​​​この中にある「必要かつ適切な監督」ですが、経済産業省のガイドラインにおいては次のように説明されてます。​ 

「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。

個人情報の保護に関する法律に基づく経済産業省ガイドライン

​​つまり、委託契約を結ぶにあたって、安全管理措置を明記したうえで契約することと、契約内容が守られているかどうか、定期的に確認することが求められているのです。個人情報取扱事業者はこの点について監督する必要があります。

個人情報取扱事業者の委託先管理の流れ

では、具体的な委託先管理の方法を、流れに沿って説明していきます。

なお、以下で説明する方法はあくまで一例ですので、自社のあり方に沿って、より良い方法を模索してみるのも良いでしょう。

委託先の選定

​​委託先を選定するにあたり、まずは自社で選定基準を設けておくことが必要です。そのうえで選定基準を満たした委託先に対して、情報セキュリティや個人情報保護能力などの委託業務における遂行能力を評価します。​ 

委託先一覧の作成

適切な委託先監督のためには、委託先一覧を作成して管理しておく必要があります。

Excel等で一覧を作成するのが一般的です。委託先の一覧には、委託先の企業名だけではなく、下記のような項目も書き込んでおくと、より管理がしやすくなります。

以下、よくある委託先の例をいくつかご紹介します。

よくある業務委託先の例

• 社労士
• 税理士
• 名刺印刷業者
• 人材情報サービス（例：マイナビ、リクナビ）など

よく利用されている外部サービスの例

• G Suite
• Office365
• AWS
• GCP
• Box
• Dropbox
• Salesforce
• Zendesk
• freee
• セキュリオなど

委託先の評価方法を決定

委託先の評価方法として以下のものが一般的に使われています。

​​まずは自社の委託先数やリソースを加味しつつ、評価方法を決定しましょう。​ 

​​評価方法が決まったら、それぞれアポの調整をおこなったり、評価アンケートを作成したり、選択した評価方法を実施するための準備をおこないます。​ 

​​以下では、「評価アンケートの送付」を選択した場合の方法をご紹介します。​ 

​​評価方法の検討にあたっては委託先が適切な安全管理措置を講じているか評価をおこなうにあたり、評価基準を設ける必要があります。​ 

​​以下は、評価基準の一例です。​ 

ただし、まだまだISMSやPマークを持っていない企業も世の中にはたくさんありますので、そのような企業を判断するにはやはり評価アンケートなどの方法が必要になってきます。
委託先に提供する情報の重要度によって、「この程度セキュリティ要件を満たしていれば委託先として認められる」という基準を設けましょう。

上記の例のように「8割以上」となる場合もあれば、「アンケート回答に1つでもNoとあれば委託先として認定できない」という場合もあるかと思います。

評価実施の準備

選択した評価方法を実施するために必要なものを揃えましょう。

一般的にはWordやExcelで作成されてメールやチャットでやり取りされるパターンが多いですが、印刷して郵送でやり取りしても問題ありません。

委託先の評価

次に、委託先の評価をおこなっていきます。
上記の評価基準を用いてアンケートで評価する場合、下記流れで対応します。

アンケート結果は、委託先が万が一にも個人情報漏えい等のインシデントを起こした際、自社が委託先を適切に選定・管理していることの証拠になりますし、Pマーク審査時にもチェックされる箇所ですので、きちんと保管しておきましょう。

なお、Pマークでは委託先の委託先(再委託先)の監督義務が発生しますので、再委託先にもアンケートを送付し、評価を実施しておくと良いでしょう。

NDAの締結

アンケートの結果、委託をおこなって問題ないと判断された企業に対しては、委託をおこなうための「委託契約」と「NDA」を締結します。

NDA(秘密保持契約)

委託先との取引の中で知り得た情報を、第三者に漏らしたり取引外で利用することを禁止する契約のことを言います。

なお、まれに個別の委託契約を拒否されるケースがあります。(クラウドサービスを提供している大規模な事業者などに多い例です)

そのような場合は、サービス提供元のWebサイトに掲げられた利用規約を担保とする、といった方法で代替が可能ですので、検討してみてください。

ここまでで、委託先管理は一通り完了です。

あとは、都度「委託先が増えたとき」「委託先が変更になったとき」「自社で定めた委託先見直しの時期がきたとき」など、必要性が生じたときに委託先の評価をおこなっていけば問題ありません。

個人情報取扱事業の委託先が基準に達しないとき

委託先を評価した結果、自社が設定した基準に達していなかった場合、どうすればよいのでしょうか。

そもそも委託先を変更する、というのが最も手っ取り早い方法ではありますが、そうはいかない場合もあるかと思います。そういったときは、「昔から業務を委託していて、相手のセキュリティ状況を把握・信頼できているので問題ない」というように特例を設けることも可能です。

​​また、委託先がアンケートに回答してくれない場合は、「委託先に訪問して実地監査をする」「委託先のWebサイトにある利用規約やセキュリティポリシーを確認する」といった手段で代替も可能です。​ 

​​また、自社において委託先の選定基準そのものの見直しを検討することが必要となる場合もあるでしょう。​ 

​​どのような場合であれ、基準に達することができない場合は、改善を要求したり、契約の継続を見直したりするなどの対応が必要となります。

個人情報取扱事業の委託先の定期的な見直し

委託先は一度評価すればOKというわけではなく、定期的に評価をし直すべきです。

なぜなら、自社が委託先に預ける個人情報の種類や数、委託先の情報セキュリティ体制、情報保護に関する法律や情勢というのは、日々変化しているからです。

年に1度、もしくは2年に1度など、定期的に見直しをおこなえば、より意味のある委託先管理を実現できるでしょう。

※Pマーク審査時には定期的な委託先管理をおこなっているかチェックされることが多いため、可能であれば2年に1度くらいのペースで見直しをおこなっていると、審査対応時の負担が軽減されるかと思います。

	ISMS	Pマーク
委託先として 管理する範囲	ある程度自由に設定できる	個人情報の預け先はすべて管理しなければならない
委託先との NDAの締結	締結が推奨されている	締結は必須 ※ただし、士業など法律で守秘義務が課せられている委託先については改めてNDAを締結する必要がない
委託先の委託先 (再委託先)の監督	個人情報を預けている場合は必要	必要

まとめ

​​個人情報を取り扱っている企業は多くありますが、その業務を自社のみで完結するのではなく、一部をパートナー企業に委託していることもあるでしょう。委託先の監督は個人情報の適切な取り扱いにおいて非常に重要ですが、具体的な方法や流れを把握していない企業も存在してます。もし自社において委託先の管理を検討しているのでしたら、まずはこの記事を参考に委託先管理の手法をマスターしましょう。​