Pマークコンサルタント:HOME >JIS Q 15001:2006 > JIS Q 15001規格解説 3.4.3.3〜3.4.3.4
3.4.3.3と3.4.3.4の要求事項を理解する前に、言葉の意味を明確に理解する必要があります。「監督」とは「監視」とは違い、眺めるだけでは無く、眺めた後に意図しない事に対して取り締まったり、指図をしたりすることです。野球の監督を想像してください。選手は監督の指示なしでは勝手な行動はできません。サイン(指示)を出す事が監督者の務めとなり、選手はそれを実行する必要があります。ここで重要なのは、結果は当然監督の責任になるという事です。故に、委託先から個人情報が漏えいしても、社員が意図的に個人情報を漏えいしても企業に責任がある事を明確にしています。個人情報保護法第21条(従業者の監督)、22条(委託先の監督)と密接に関係している事も覚えておきましょう。プライバシーマーク制度では、従業者の監督を特に重要視し、如何にPMSを全社員に浸透させるよう努力しているかを教育同様重んじています。
事業者は、その従業者に個人情報を取り扱わせるに当たっては、当該個人情報の安全管理が図られるよう、当該従業者に対し必要、かつ、適切な監督を行わなければならない。 |
※引用:JIS Q 15001:2006
【解説】
3.4.3.3では、個人情報を取扱う業務に携わる従業者(社員、パート、アルバイト、役員など全て含む)に対する適切な監督を要求しています。故に企業は、従業者との雇用契約時、又は委託契約時に非開示契約を締結する必要があります。
また、従業者の雇用形態によって(例えば、派遣社員など)により、それぞれ秘密保持などの契約形態が違う事に注意しましょう。また、従業者との非開示情報は、「雇用が終了してからも一定期間有効にする」必要があります。なおPマークの審査では、罰則規定があるか、非開示契約を締結しているかが確認されます。
事業者は、個人情報の取扱いの全部又は一部を委託する場合は、十分な個人情報の保護水準を満たしている者を選定しなければならない。このため、事業者は、委託を受ける者を選定する基準を確立しなければなければならない。 事業者は、個人情報の取扱いの全部又は一部を委託する場合は、委託する個人情報の安全管理が図られるよう、委託を受けた者に対する必要、かつ、適切な監督を行わなければならない。 事業者は、次に示す事項を契約によって規定し、十分な個人情報の保護水準を担保しなければならない。以下省略。 |
※引用:JIS Q 15001:2006
【解説】
3.4.3.4では、企業が入手した個人情報を委託する際のルールを定めています。当然、標題が監督となっていますから、委託先で漏えい等の事故が起きた場合、これらの措置を講じていたからといって委託者は責任を免れるものではなく、本人に対して責任を負うのは委託者という事を明確にしています。近年では、大手印刷会社からの漏えい(委託先からの漏えい)件数が日本最大ということもあり、企業も委託先にPマークの取得を要請するようになりました。
なお、清掃業者、機器のメンテナンス事業者、警備会社等との契約は、個人情報の取扱いを含まない限り、この「3.4.3.4委託先の監督」の要求事項の対象外となる事も把握しておきましょう。ただし、これらの事業者は「3.4.3.2安全管理措置」の対象には含まれるため、このような個人情報に触れる可能性がある契約先については、立ち入ることのできる範囲を機密保持などの契約書の中に盛り込んでおく必要があります。 Pマークの審査では、委託先選定基準や機密保持契約書の内容が確認されます。
経験豊富な営業、実績豊富なコンサルタントが貴社のPマーク、ISMS構築を強力にバックアップいたします。
様々なコンサルティングメユーより、貴社のニーズを満足させた、最適なプログラムを提供させていただきます。
価格はご相談ください。ご予算の範囲内で収めるような、納得のいく低価格を実現しました。
HOME プライバシーマーク制度とは Pマーク取得メリット Pマーク取得支援サービス Pマーク取得フロー Pマーク取得費用