プライバシーマークが求める委託先の監督は、日本全国に罰ゲームの連鎖を生み出しています。
その上で全く効果を生み出していない。筆者はコンサルタントとしてこの現状を誠に遺憾に感じております。
さて、罰ゲームの元となっている、プライバシーマークの審査基準を確認してみます。
1)個人情報が関係する全ての委託先を特定する
2)委託先に対してセキュリティ状況等の調査を実施する
3)予め定めた選定基準に基づいて委託先の評価を実施する
4)委託先と個人情報保護に関する契約を取り交わす
なかなか良い基準ではないか、と思われるかもしれません。審査員は個人情報の委託先への対応をリスクに関わらず一律に要求してくるのです。よく指摘を受けるのが、名刺印刷会社、ISP、ASP、廃棄業者などです。逆に対応しなくても指摘を受けないのが、税理士事務所や社労士事務所。
私は名刺印刷会社に対して、調査をしたり、契約締結をすることを強制する審査員の心情が全く理解できません。名刺は配って歩いているものなので、漏洩したところでどのようなリスクがあるのでしょうか。一方で税理士や社労士はかなりセンシティブな情報も扱うケースが多いです。(彼らは士業なので、審査上は指摘を受けないのです)
個人情報の事故の事例を見ると、委託先が原因となっている事故が半分以上を占めています。実は委託先管理がリスク対策として最も重要なのです。当社では、リスクマネジメントの一環として、委託先監督を実施する仕組みをお客様に提案しています。
委託先はリスクに応じて3つくらいに分類して対応するのが良いと考えます。
A:厳格な基準に基づいて立入り監査
B:厳格な基準に基づいて書面監査
C:通常の基準に基づいて書面監査
AやBに該当する委託先をどのような観点で特定するか、が重要です。個人情報の処理件数や業界における位置付け、業務実績などから総合的に判断することになります。また、基準を立てる際も、業務内容に沿った基準だてをおこなうのが有効です。筆者はあるクライアントの要請で、委託先50社の立ち入り監査をおこなったことがあります。その中で、どの会社の何を確認すればよいのかが段々と見えてきました。
重要なのはメリハリをつけることです。業種にもよりますが、A10%、B30%、C 60%の比率で対応するのが良いと思います。Cは思い切り省力化する、その上で、リソースをAに集中する。立ち入り監査をおこなうと、これまで見えてこなかった様々なことが見えてきますので、是非お薦めします。
尚、プライバシーマークの審査では、どれだけリスクの高い委託先であっても、簡単な書面調査をすれば合格することができます。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ