企業は、個人情報を適正に扱うことが求められています。これは自社内だけではなく、個人情報の委託先業者が個人情報を適正に扱っているかも確認する必要があります。
個人情報の委託先には、どのようなパターンがあるのでしょうか。たとえば、当社の場合は、下記のような業者に個人情報を委託しています。
- 個人情報を含む書類の廃棄業者
- 労務関係の委託先事業者
- レンタルサーバ業者
今回、レンタルサーバ業者を変更しましたので、新たなレンタルサーバ業者に個人情報を委託することになりました。プライバシーマークを取得すると、委託先業者が個人情報を適正に扱っているかを評価する必要があります。その手順をメモとして残しておきます。
覚書か秘密保持契約を交わす
個人情報の委託先業者とは、個人情報の取扱いに関して覚書か秘密保持契約を交わすことをまず目指すことになります。
さっそく、契約する予定のアズポケットというレンタルサーバ業者に個人情報の取扱いに関する覚書か秘密保持契約を交わすことができるか尋ねてみました。しかし、残念ながら個別に覚書を交わすことはできないという回答でした。
これは想定内のことです。レンタルサーバ業者が、個人情報の取扱いについて個別に覚書を交わすことは難しいでしょう。ただし、覚書を交わすことが難しいという回答を得るまでのメールのやり取りなどは残しておくなら、プライバシーマークの更新審査のときに役立つかもしれません。
覚書や秘密保持契約が難しい場合でも、個人情報の委託先業者が適正がとうかをきちんと評価する必要があります。では、どのように評価することができるでしょうか。
アンケートによる評価
次に個人情報を適正に扱っているかどうかのアンケートに答えてもらえるかどうかを尋ねてみました。するとびっくりするほど快く引き受けてくださいました。
アンケートの内容は、データセンターが信頼できるものかどうか、障害時の通知体制が整っているかどうか、といったものです。アンケートをメールでお送りしたところ、社長様自らアンケートに回答してくださいました。
アンケートの回答は全く問題のないものでした。ひと安心です。
プライバシーマークやISMSを取得しているか
本来、レンタルサーバ業者が、プライバシーマークやISMSの認証を取得している場合、個人情報を適正に扱っている業者として評価することができます。しかし、契約する予定のアズポケットというレンタルサーバ業者は、残念ながらプライバシーマークやISMSの認証は取得していませんでした。
利用規約の内容確認
最後に、利用規約を確認することになります。
個人情報の保護に関する条項やデータ漏えい時の対応について記した条項などを確認しておくことができるでしょう。アズポケットの利用規約については、当社が契約しているプライバシーマークのコンサル会社にも確認していただきましたが、問題ないものでした。
今回は、アンケートの回答内容および利用規約の内容などを検討して、個人情報を委託しても良い業者として評価しました。
定期評価
これまでに挙げた方法以外にも、ホームページから得られる情報、過去に情報漏えいの問題を起こしていないかなどのニュースを確認することなどができるかもしれません。プライバシーマーク取得業者は、個人情報の委託先業者を毎年評価する必要があります。情報漏洩によりあっという間に信用を失ってしまうということが起こり得る時代です。今後も社内体制の強化に加えて、委託先業者についても適正に個人情報を扱っていただけるかどうかを見極めるよう努めてまいりたいと思います。
では今回はここまで。