顧客保有の会員情報が業務上参照可能な場合、管理対象となるのでしょうか?
個人情報洗い出し作業で 質問があります。
弊社は、システム開発会社です。
ある顧客より システムの保守開発を業務委託されています。
そのシステムは、顧客が保有するもので、会員制Webシステムです。
弊社の保守要員は、弊社事務所内で作業をしており、ネットワーク越しにリモートアクセスすることによって 顧客サーバを管理しております。
で、会員制Webシステムなので、大量のユーザ(個人情報)を参照可能なのですが、これについて 弊社の保有する個人情報として 管理すべき対象となるのでしょうか?
原則、御社で保有する個人情報として管理すべき対象だと思います。
顧客先にサーバが設置されており、リモートアクセスをされているとのこと。
よって、サーバの物理的安全管理措置(B10 物理的・環境的管理規程)については、御社では制御・管理ができませんので、顧客先での管理となります。
しかし、それ以外で御社で制御・管理できる安全管理措置(人的、組織的、技術的)については、御社の保有する個人情報と同様に管理する必要があります。
また、上記以外でも顧客との業務委託契約で、顧客から要求されている安全管理措置も行う必要があります。
※安全管理措置については、業務委託契約などで御社と顧客の責任範囲を明記する(されている)ようにして下さい。
ちなみに、サーバの設置場所が御社である場合は、全ての安全管理措置について御社の保有する個人情報として管理すべき対象となります。
「リスクアセスメント管理規程の「8 附属資料(分類コード表)」記載について」
上記の質問の続きです。
同じ資産でも保管形態や設置・保管場所が異なれば別々に洗い出す…