http://www.ts-ism.com/mmb/index.php member's support pageは、ISMSおよびプライバシーマークに関するコミュニティページです。TSイズムのコンサルティングサービス、セミナーおよびパッケージ商品に限らず、ISMSおよびプライバシーマークの認証（認定）・運用に関して、どなたでも投稿（エントリ）できます。マナーを守ってご利用ください。 ja-jp http://www.ts-ism.com/mmb/index.php?entry-id=489fb333f3bc9&view_c=Blog::Entry.html 今回のケースは、個人情報を取扱う業務を外部に委託する業務に該当するかと思います。個人情報保護法やプライバシーマークでは、事業者（企業）に対して委託先の監督責任が課せられています。よって、委託先との機密保持や業務委託に関しての契約などが必要となります。│ 詳細については、│ ?個人情報保護法　　　　　　 ⇒（委託先の監督）第二十二条│ ?JISQ15001　　　　　　　　　　⇒　3．4．3．4　委託先の監督│ ?弊社の構築パッケージ ⇒B15 委託先管理規程.doc│ をご確認下さい。なお、ご購入いただいた弊社の構築パッケージに収録されている「B15 委託先管理規程.doc」には、委託先の管理手順や必要とされる様式などが記載・用意されていますので、この規程に準拠して委託先の監督を行うようにして下さい。 ISMコンサルタント 2008-08-11T12:35:03+09:00 個人情報保護法やプライバシーマークでは、事業者（企業）に対して委託先の監督責任が課せられています。
よって、委託先との機密保持や業務委託に関しての契約などが必要となります。

│ 詳細については、
│ ?個人情報保護法　　　　　　 ⇒（委託先の監督）第二十二条
│ ?JISQ15001　　　　　　　　　　⇒　3．4．3．4　委託先の監督
│ ?弊社の構築パッケージ ⇒B15 委託先管理規程.doc
│ をご確認下さい。

なお、ご購入いただいた弊社の構築パッケージに収録されている「B15 委託先管理規程.doc」には、委託先の管理手順や必要とされる様式などが記載・用意されていますので、この規程に準拠して委託先の監督を行うようにして下さい。]]> http://www.ts-ism.com/mmb/index.php?entry-id=489fb333f3bc9&view_c=Blog::Entry.html 社内のデータの管理について質問です。自社でメールサーバーを設置せず、Gmail等の企業向けのサービスを使う場合、またデータ保存等にレンタルサーバーを使う場合などは、データの管理方法として、何か問題があるでしょうか？例えば、契約企業がプライバシーマークを取得していることが前提となったりするのでしょうか？ 匿名 2008-08-11T12:32:16+09:00 ISMS認証・運用 http://www.ts-ism.com/mmb/index.php?entry-id=489fb290cc9fa&view_c=Blog::Entry.html 結論としては、派遣契約の際にセキュリティに関する特別な規定等は必要ないかと思われます。派遣先の企業は他社となりますのでPマークの取得範囲には含まれません。そこの会社が審査の対象となることは無く、また御社が直接管理できる範囲ではありません。よって、派遣先のセキュリティ対策に任せてしまうことになるかと思います。ただし、派遣出向されている従業員の方々は、Pマークの取得範囲に入ります。その方々へのルールの設定、教育、監査等はPマーク(JISQ15001)に準拠して御社で行う必要はあります。それについては、御社で、ルールと運用の状況を審査をされますので注意して下さい。 ISMコンサルタント 2008-08-11T12:32:12+09:00
派遣先の企業は他社となりますのでPマークの取得範囲には含まれません。
そこの会社が審査の対象となることは無く、また御社が直接管理できる範囲ではありません。
よって、派遣先のセキュリティ対策に任せてしまうことになるかと思います。

ただし、派遣出向されている従業員の方々は、Pマークの取得範囲に入ります。
その方々へのルールの設定、教育、監査等はPマーク(JISQ15001)に準拠して御社で行う必要はあります。
それについては、御社で、ルールと運用の状況を審査をされますので注意して下さい。]]> http://www.ts-ism.com/mmb/index.php?entry-id=489fb290cc9fa&view_c=Blog::Entry.html 「法令・国が定める指針・その他の規範」についてですが、IT技術者の派遣業の場合、技術的・物理的安全措置について質問です。他社に従業員を派遣している場合、派遣先の建物やPCに関して、自社のセキュリティ対策が及ばない状態となっています。派遣先のセキュリティ対策に任せてしまってよいのでしょうか？それとも派遣契約の際にセキュリティに関する特別な規定等必要とするのでしょうか？ 匿名 2008-08-11T12:30:23+09:00 Pmark認定・運用 http://www.ts-ism.com/mmb/index.php?entry-id=4896558414f64&view_c=Blog::Entry.html 結論から言いますと、個人情報管理台帳で管理する必要はありません。これは、その書類が個人の情報を収集し、取り扱うことを目的として作成された書類では無いためです。ただ、個人情報保護法やJISQ15001を厳密に適用して、定義上で考えると、お問合せの書類も氏名などが記述されており、個人を特定することができ、個人情報となり、台帳での管理が要求されるように思われます。しかし、現状ではそこまでの管理は要求されていないような状況です。以下に、台帳管理が必要な書類とそうでない書類の例を示します。ご参考までに、どうぞ。（台帳で管理が必要な書類）社内：健康診断書、アンケート、社員証、勤怠表、履歴書、教育の受講記録など社外：名刺、アンケート用紙、住所録、アドレス帳、名刺、顧客名簿など(台帳で管理が不要な書類）社内：稟議書、議事録、見積書など社外：契約書、議事録、設計書、仕様書、見積書などまた、まとめて記述する場合は「業務に関する書類」でまとめても結構ですが、その書類の詳細（業務に関する書類(見積書、契約書、仕様書、計画書、納品書など）が分かる様にして下さい。以上。よろしくお願いいたします。 ISMコンサルタント 2008-08-04T10:05:06+09:00
これは、その書類が個人の情報を収集し、取り扱うことを目的として作成された書類では無いためです。

ただ、個人情報保護法やJISQ15001を厳密に適用して、定義上で考えると、お問合せの書類も氏名などが記述されており、個人を特定することができ、個人情報となり、台帳での管理が要求されるように思われます。

しかし、現状ではそこまでの管理は要求されていないような状況です。

以下に、台帳管理が必要な書類とそうでない書類の例を示します。
ご参考までに、どうぞ。

（台帳で管理が必要な書類）
社内：健康診断書、アンケート、社員証、勤怠表、履歴書、教育の受講記録など
社外：名刺、アンケート用紙、住所録、アドレス帳、名刺、顧客名簿など

(台帳で管理が不要な書類）
社内：稟議書、議事録、見積書など
社外：契約書、議事録、設計書、仕様書、見積書など
また、まとめて記述する場合は「業務に関する書類」でまとめても結構ですが、
その書類の詳細（業務に関する書類(見積書、契約書、仕様書、計画書、納品書など）
が分かる様にして下さい。

以上。
よろしくお願いいたします。]]> http://www.ts-ism.com/mmb/index.php?entry-id=4896558414f64&view_c=Blog::Entry.html 個人情報の特定作業について質問です。業務に関するいろいろな書類に作成者の名前・所属等が記載されています。そういった書類も個人情報管理台帳で管理すべきなのでしょうか。また、その場合、書類の種類ごとに全て台帳に書き出すべきでしょうか。それとも「業務に関する書類」としてまとめてしまってよいのでしょうか。業務に関するいろいろな書類に作成者の名前・所属等が記載されています。そういった書類も個人情報管理台帳で管理すべきなのでしょうか。また、その場合、書類の種類ごとに全て台帳に書き出すべきでしょうか。それとも「業務に関する書類」としてまとめてしまってよいのでしょうか。よろしくお願いします。 匿名 2008-08-04T10:01:54+09:00 Pmark認定・運用 http://www.ts-ism.com/mmb/index.php?entry-id=489651abe298e&view_c=Blog::Entry.html 個人情報の管理者が決定していないことは問題となりますので、まず、名刺やアドレス帳などの管理責任者を御社の現状に合わせて決定して下さい。通常であれば各自（所有者）が個別に管理されているかと思いますので、管理者責任者は各自になるかと思います。また、データの件数については、管理者毎に集計されると良いかと思います。 ISMコンサルタント 2008-08-04T09:49:30+09:00
通常であれば各自（所有者）が個別に管理されているかと思いますので、管理者責任者は各自になるかと思います。

また、データの件数については、管理者毎に集計されると良いかと思います。]]> http://www.ts-ism.com/mmb/index.php?entry-id=4896513a82850&view_c=Blog::Entry.html 後者の項目のみで十分です。なお、様式の項目が異なっておりますのは、ガイドブックの方では学習も兼ねたものとしておりますので、項目としては無くとも良いのですが個人情報のコピー、FAX、Mailについての意識を学習時に持ってもらうために入れております。 ISMコンサルタント 2008-08-04T09:48:29+09:00 なお、様式の項目が異なっておりますのは、ガイドブックの方では学習も兼ねたものとしておりますので、項目としては無くとも良いのですが個人情報のコピー、FAX、Mailについての意識を学習時に持ってもらうために入れております。]]> http://www.ts-ism.com/mmb/index.php?entry-id=489651abe298e&view_c=Blog::Entry.html 名刺やアドレス帳のデータの件数は、個人がそれぞれ保持している件数を調べた上で、最終的に合計すればよいのでしょうか？名刺を会社で管理しているわけではないので、管理責任者をどうすればよいのかもはっきりしません。名刺管理について会社で何も決まっていないことは問題となるでしょうか？よろしくお願いします。 匿名 2008-08-04T09:46:31+09:00 Pmark認定・運用 http://www.ts-ism.com/mmb/index.php?entry-id=4896513a82850&view_c=Blog::Entry.html 個人情報管理台帳について質問です。プライバシーマーク構築パッケージの「JISQ15001要求事項理解のためのガイドブック」19ページの個人情報管理台帳> の記入例と、「B06-D01 個人情報管理台帳（記入例）」では若干項目が違うのですが、後者の項目のみで十分なのでしょ うか？よろしくお願いします。 匿名 2008-08-04T09:44:40+09:00 構築パッケージ