Pマーク、ISOコンサル現場の声〜誰も教えない個人情報保護　現地審査の傾向　vol.1

プライバシーマークやISO27001などの認証取得のコンサルティング業務の一線で活躍するコンサルタントの、現場の生の声をお届けするコラムです。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
マネジメントシステムコンサルタント
浦名祐輔
http://rm.jmc.ne.jp/service/pm/p_column23.html

皆さんこんにちは。今回のテーマは、「現地審査の傾向　vol.1」です。当社がプライバシーマークの支援を始めてから約5年、おかげさまで支援実績も100社を軽く超え、結果としてかなりの数の指摘事項を目にしてきました。　その中には我々も思わず唸ってしまう素晴らしいものや、その反対に指摘の意図が分からないもの、いろいろありました。

今後、このコラムでは不定期ではありますが、過去の支援で実際に出てきた指摘事項を紹介していこうと思います。これらを読んで、自社でも同じ指摘が出ないか確認してもよし、担当者間での話題にしてもよし、皆様のプライバシーマーク運用に何かしらの形で役立てて頂ければと思います。

■指摘事項
・委託先の監督について
税理士事務所、警備会社、宅急便、修理・メンテナンス（複写機等）も　　個人情報に関わる委託先に該当するが、そのように認識していない。　　個人情報に関わる委託先として認識し、それぞれの委託業務の特徴に応　　じて十分な個人情報の保護水準を満たしている業者を選定すること。

■解説
委託先の監督については、昨今の某印刷会社の個人情報漏えい事件を受けて、審査員もかなり厳しくチェックするようになりましたね。プライバシーマーク制度の初期の頃は「委託先なし（本当はあるのに）」で認証を取得した企業もあるようですが、今はそうはいかないでしょう。審査員によっては、手元にリストを用意しておいて、一般的に使ってそうな業種を一つひとつ聞いていくこともあるそうです。

そのような中、とある企業が上記のような指摘事項をもらいました。一言で言うと、委託先に漏れがあったということです。対応としては指摘された業者に対して評価を実施し、評価の結果合格であれば契約を締結することで問題ないでしょう。
この指摘事項で注目すべきは、指摘されている業種にあります。JISQ15001の“委託先の監督”で評価、契約が要求されているのは、実際に個人情報を預けている委託先のみと解釈されている方が多いですね。

例えば、印刷会社や廃棄業者、DM発送業者などです。しかし、ここで言われているのは警備会社、メンテナンス業者など、直接個人情報を預けていないものの、“触れる機会のある”業者が評価・契約の対象となっているのです。
この観点で委託先を評価、契約していないケースはよく見受けられますね。実際に個人情報を取り扱っていなくても、触れる機会があるならば、その業者が悪意を持った場合に個人情報が盗まれたり、もし悪意がない場合でも、うっかり紛失してしまうおそれがあります。その点に注目して、たとえ個人情報を預けていなくとも評価・契約を実施し、少しでも自分たちのリスクを減らしておくという考え方は大事だと思います。

このようなパターンに該当する委託先としては…

【執筆：浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/pm/p_column23.html