【プライバシーマーク担当者への耳より情報】
■新審査基準への対応に向けて
 今月も「JIS Q 15001:2017(個人情報保護マネジメントシステム―要求事項)」の
「必須対応項目」の一つである、委託先との契約(A.3.4.3.4 委託先の監督)について、ご説明します。

JIS Q15001:2017(附属書A)では、委託先との契約に関して以下の通り定めています。
 ===========================================
 <委託先の監督(A.3.4.3.4)>
 組織は、個人データの取扱いの全部又は一部を委託する場合、
 特定した利用目的の範囲内で委託契約を締結しなければならない。
………中略………
組織は、次に示す事項を契約によって規定し、十分な個人データの保護水準を担保しなければならない。
………中略………
h)契約終了後の措置
 組織は、当該契約書などの書面を少なくとも個人データの保有期間にわたって保存しなければならない。
 ===========================================
JIS Q15001:2006からの変更点としては、委託先における個人情報の漏洩防止や目的外利用の観点から、
委託先との契約書に明記する事項に、「h)契約終了後の措置」が追加されました。


そのため、今後委託先と新たに締結する契約書には「契約終了後の措置」について明記する必要があります。

なお、既存の委託先と既に締結している契約書についても、再締結することが望ましいですが、
再締結をしない場合には、最低限事業者側で「契約終了後の措置」について取り決めがないことを、
残留リスクとして認識しなければなりません。


今後も、毎月ポイントを絞って新規格の内容についてお伝えしますので、引き続きご確認くださいませ。