質問

2015年10月14日 17時52分
  • Pマーク取得 監理すべき委託先の定義

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

情シスの皆様お疲れ様です。

Pマークに関する 「監理すべき委託先」の定義に関してご教授ください。

■質問

 JIS Q15001:2006 / 3.4.3.4 委託先の監督

 上記で定義されている「監督すべき委託先」とは
 以下のような委託先にも当てはまるのか?

自社で今回Pマークの取得のために動いています。

当社は複数の個人事業主と業務委託契約を締結しております。

実際の業務において、委託先にはエンドの顧客担当者の
個人情報(名刺)をお伝えし、その後業務を行っていただいています。

実際の業務には個人情報に関わる業務はありませんが、
「お客様の担当者情報を伝える」ことだけで
「監理すべき委託先」と判断されるのでしょうか。

Pマーク取得コンサルタントの方はこの場合でも
各委託先に対して審査をすべき(審査票による調査など)、
とおっしゃっていますが同様の企業の方はどのようにしているのでしょうか。

例/ 名刺1枚の情報を連絡先として伝える程度は
  「個人情報の取扱いの全部又は一部を委託する場合」に当てはまらない。

  委託先に対する監督を極めて簡素にする。
  質問票などは送らず、契約書締結のみ。

実際の運用、例など教えていただければ幸いです。
何卒よろしくお願いします。

1件の回答があります

回答

ウチはPマークは取っていませんが...

・名刺1枚では個人情報保護法に言う個人情報にはならない
・「委託先で実際の業務には個人情報に関わる業務はありません」が本当の事 
ならば 監督すべき委託先 にはならないと思います
 ただし”エンドの顧客”の 個人情報を含むシステムの管理 を委託しているのなら「監督すべき委託先」になるでしょう。(たとえば、エンドの顧客のシステムが社員100名の給与計算だったら監督すべき委託先になります 逆にエンドの顧客のシステムが工程管理システムだったら監督すべき委託先になりませんね) いずれにしても「エンドの顧客の業務」が明確じゃないと正確な判断ができません。 

Pマーク取得コンサルタントの方はこの場合でも各委託先に対して審査をすべき
うーん ウチだったらこの点は徹底的に協議しますね そのコンサルタントとやりあって負かさないかぎり、やるハメになりますから。 なんでも最初の取得の時は安全側に言うものですが、後になって「ここは簡略化できます」なんて言ってきたりします(そういうのがコンサルタントかも)

2015年10月16日 14時26分

あなたもコメントしましょう!