「通信・運用管理規程」の「2.6 外部委託による施設管理」について
外部のサービスを受けている対象会社として、インターネットを預けている会社や、弊社のグループウェアを運用している会社があります。
そこで「個人情報の取り扱いに関する覚書」の締結が可能か、確認しましたところ、以下のような回答をもらいました。
A社)一部上場、ホスティングサービス会社(社員の名前、メールアドレス、ホームページ等)
> ドメイン、サーバーサービスのみの提供となっておりますため、
> お客様の管理する顧客情報については、弊社管理外となります。
> つきましては、ホームページデータ、メールデータにつきまして
> も、弊社では内容を把握することができないため、この度の回答
> とさせていただいております。
B社)グループウェアサービス会社(社員の名前、メールアドレス等)
> ○○社ではプライバシーマークを取得しており、
> 個別に情報保護契約を結ばなくてもユーザー様が
> プライバシーマークを取得する事は可能となっております。
> そのため、弊社では各会員様と個別に個人情報保護の
> 契約締結は一切行っておらず、過去の事例もございません。
このようなケースでは、どのように対応すればよいでしょうか?
ケース1) これらの会社との関係を打ち切る (これは非現実的です。)
ケース2) 各サービス会社の「個人情報保護方針」などを、「覚書」の締結と同等内容との扱いとできるよう規程を見直す
ケース3) 規程から「2.6 外部委託による施設管理」をはずす (NG?)
結論から言いますと最近、審査員(JIPDEC)からは、以下に示す「ケース4)」が求められる事が多いようです。
JIPDECでの現地審査では、「個人情報の取り扱いに関する覚書」の締結が無理な場合、「そうですか。 しかたないですね」とはなりません。
ケース4) ※”ケース2)”にある意味、類似しています。
相手方のHPなどを調べて
①Pマークの取得の有無
②個人情報保護方針の有無
③”約款”での個人情報保護やセキュリティ対策の記述の有無
を確認し①、②、③&各サービス会社からの返信メールを審査時に審査員に提示し説明する。
注)①、②、③を確認・評価した結果、全てが”無し”又は”有り(①は除く)”
の場合でも、記述内容があまりにも”あいまい”、”不足”している場合は、非現実的ですが”ケース1)”を採用するようにJIPDECから言われる可能性があるかと思われます。
プライバシーマークの書類審査の結果がかえってきた答えに対して、修正等をおこなっているところです。 承認のための様式が無いとの3.4.2.の取得利用のあたりで複数指摘…