• ベストアンサー

取引先のPマークの取得について

社員2名で情報システムの開発業務を営んでいる者です。 取引先の「Pマーク」における外注業者(弊社等)の影響範囲についてお伺いします。 主要取引先が「Pマーク」を取得を目指すことになりました。 なお、弊社では個人情報は基本的に扱ってませんので、「Pマーク」取得の予定はありません。 あえて、個人情報と言えば、その主要顧客からごくたまに頂く(せいぜい年に1回程度)顧客データだけでしょう。 基本的に納品したシステムのテストデータとして(実際の生データの方が精度の高いテストを行えるため)利用してました。 今後、取引先のPマーク取得に伴い、そういった生データを頂けなくなること、また、既に頂いた生データは破棄することは仕方ないことであると考えておりました。 ところが、取引先からの要求は、「Pマーク」取得とほぼ同等の個人情報管理を行っていることでした(様々な体制整備やドキュメント整備、情報管理など・・。体制っていっても2人しかいないのですが・・)。 取引先がおっしゃるには、「Pマーク」取得の条件として、発注先も「Pマーク」取得と同等の体制が整っていることがあるためだそうです。 「Pマーク」自体は非常に有効性のある認定制度であるとは思いますが、弊社にとってはそのメリットは殆ど皆無であると考えてますので全く取得の意思はありませんが、やはり「Pマーク」取得業者と取引を行うためには「Pマーク」取得と同等な体制整備が必要なのでしょうか? 上述の顧客データを一切破棄し、「Pマーク」を取得する取引先の個人情報の流出するリスクをシャットダウンするだけではダメなのでしょうか? 少々釈然としない気持ちでいます。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.2

ご質問の趣旨は、取引先から要求として出されている水準が、Pマーク認定そのものが求める水準なのか、取引先が自己で設定している水準なのかということだと思います。 取引先が「お宅もPマークが取れる水準の体制作りをしてくれ」といってきているのだとしたら、それはその取引先が自己で設定しているものである可能性が高いといえます。 以前やっていた会社で、Pマーク取得活動を自分が中心になって申請までやりました。Pマークのコンサルもお願いして、いろいろやりました。 その中で、取引先に対しては、社外ゆえに強制は出来ないから、取引先選定基準を設けて、それに基づいて取引先を選定し、取引先との基本契約には個人情報の取扱に関する規定を盛り込み、個人情報取扱責任者を届け出てもらう、また、個人情報のデータのやり取りは、漏洩・破壊・改ざん等のない方法で行うよう取り決め、データ受け渡しの記録もちゃんと取って残すように、といったところが、コンサルからのアドバイスとして、要求されました。 だから、取引先がPマーク取得、或いはそれと同等の管理体制を敷いてなければならないということはありません。 Pマーク取得企業と取引される場合は、 1.個人情報管理規程を設ける。 2.その内容としては、主なところを思い出すままに書いてみますと: ・取り扱う個人情報を定義し、その利用目的を明確にする。 ・個人情報の目的外利用を禁止する。 ・個人情報の漏洩・破壊・改ざんが起きないよう具体的な対策を定め、運用する。 ・個人情報取扱責任者を任命し、その責任と職務を明らかにしておく。また、個人情報を取り扱う人間を限定し、それらの人間からは、個人情報保護・秘密保持の念書をとる。 ・万一、個人情報の漏洩・破壊・改ざんが生じた場合の対応とその手順を予め決めておく。 といった程度でしょうか。(正確なところは、PマークのサイトやPマーク/個人情報保護関連の書籍等を参考にしてください。) Pマークを取得する場合は、この何倍もの方針、規程や細則を作って運用しなければなりません。私のいた会社では20以上の方針・規程・細則類を作成し、運用しました。(運用して内部監査にかけてからでないと、Pマーク申請できませんので。) お取引先のようなPマーク取得準備中の会社さんに対しては、「データがもらえなくて不便になるけど仕方ありませんねぇ」という消極策で対応するより、「うちはPマーク取るつもりはありませんけど、これこれこういう風に基本的なところはきちんと押さえて管理してますから」と自ら積極的にアピールするほうが、ご面倒でも得策では無いでしょうか。 というのは、上にも申し上げたように、取引先選定基準を先方は制定することになりますので、取引を継続するためには、その選定基準に合致する条件を整えておく必要があるからです。

参考URL:
http://privacymark.jp/
mfuku
質問者

お礼

ありがとうございます。 大変参考になりました。 その後、Pマーク取得会社と取引がある友人やPマーク取得コンサルを行っている友人等、複数人にも聞きましたが、やはり、Pマーク取得の規定として、弊社のように個人情報を取り扱っていない取引先までそれが及ぶことではない、と言うことでした。 ただ、あえて、再度申し上げたいことは、弊社自体は、個人情報を一切扱っておらず、取引先とも個人情報を扱う業務は請け負ってはいない、ということです。 ただ、実質、テストデータとして頂いたことのある生データに個人情報が含まれておりますが、これは、請負業務の本質ではありません。 従って、再度、取引先と細かい打ち合わせをした上で、基本的には個人情報は「もらわない、持っていかない」ことにより、情報漏洩リスクはシャットダウンされることで、落としどころを見いだすと共に、GoGoTigersさんのおっしゃるとおり、上記のようなネガティブな対応だけでなく、「上記の対策で御社にとって弊社からの情報漏洩リスクはなくなりますが、このような対応を社内的に行うつもりです」というポジティブなアピールを行いたいと思います。 大変有用なアドバイス、重ね重ねありがとうございました。

その他の回答 (1)

  • h-seria
  • ベストアンサー率44% (198/442)
回答No.1

メリットとデメリットとして考えるのであればご指摘の取引先における御社の売り上げを考慮するべきではないかと存じます。 ご指摘の企業との取引に対する依存度が高い場合は取引先の要求を満たす為の企業努力は必要でしょうし、デメリットとして考えると言うのであれば取引が無くなる事を覚悟の上で現状体制で臨む事を相手企業に通達する事になるのでしょう。 ご指摘の文章を拝読する限り、相手先の企業は当然と言うべき要求を行っている様にも思えます。 情報は見えない環境下でプロテクトをかける必要があり企業努力として取引先が情報管理体制の向上を進める場合関係企業に対する同レベルのプロテクトを求める事は理不尽とはいえない状況であると考えられます。 相手企業が求める同レベルと言う体制を形で証明して欲しいと言う要求は、裏を返せば貴方の業務を1企業として捕らえていると言う事になり、企業対企業の場合に対する原則論から言葉上や信頼関係だけではなく責任の所在管理も含めた情報管理体制の確立を要求されていると言う事ではないかと思います。 >少々釈然としない気持ちでいます。 上記の様な意見ではなく企業として取引を続行する事が必要な場合には取引先企業に対する信頼と実績確保の為に要求には答える必要があるかもしれません。 企業間取引を行う場合、情報に関する業務であれば今後、情報をとりまく環境の変化に応じて益々形ある実証が求められる事態に遭遇する事になるのではないでしょうか… そんな気がします。 それでは。

mfuku
質問者

お礼

大変参考になるご回答、ありがとうございます。 少々誤解が生じている部分を感じましたので訂正させて頂きます。 基本的に弊社にとって、「現状体制で臨む」という選択肢はありません。 取引先の「Pマーク」の取得ための努力は必要であると考えております。 要するに、取引先の「Pマーク」の取得ために今後、一切生データの授受は禁止する、また、誓約書を提出する等は必要不可欠でしょう。 ところが、取引先の「Pマーク」の取得と関係のない弊社の内部統制までも、「Pマーク」の取得条件として盛り込まれているかどうかが質問の内容でした。 基本的には、取引先の顧客満足に応じることが使命でありますので、可能な限り要望には応じるつもりでおります。 もちろん、「Pマーク」の取得条件としてではなく、取引先の方針として、同等の管理体制が必須となるのであれば応じるつもりです。 その取引先の要求が、「Pマーク」の取得条件としてのものか、あるいは、取引先の方針としてものかを確かめる意味での質問でした(取引先は『「Pマーク」の取得条件として』とおっしゃってますが・・)。 乱文失礼いたしました。

関連するQ&A