- ベストアンサー
ビル管理会社は個人情報の委託先でしょうか?
はじめまして、会社でプライバシーマーク取得の事務局をしています。とても困っています、教えてください。。 先日、現地調査で「委託先の見直し」との指摘を受けました。この「個人情報の委託先」に、ビル管理会社や清掃をお願いしている会社は含まれるのでしょうか? 個人情報の処理等を委託しているわけではないので、含めなくてもよいように思うのですが、プライバシーマーク取得のために契約したコンサル会社に含めるようにと指示されました。 ですが、各支社のビル管理会社を個人情報の委託先としての厳しい基準で評価するとなると、どこも満たしていないことになってしまい、困っています。もちろん、業務に関する契約書は交わしていますし、その中で機密保持に関しては約束しています。それだけでは、だめなのでしょうか? 個人情報の処理を委託していなくても、個人情報が存在する場所での作業(清掃作業等)を依頼しているという理由で個人情報の委託先になるのでしょうか? 調べてみたのですが、よくわかりませんでした。 どなたか、ご存知の方、明解をどうぞよろしくお願いいたします。
- avrilballon
- お礼率83% (5/6)
- その他(ビジネス・キャリア)
- 回答数6
- ありがとう数6
- みんなの回答 (6)
- 専門家の回答
質問者が選んだベストアンサー
NO.1です。 何年か前に、ISO導入が始まったころの状況と同じだと思います。まだ明確な事例の蓄積が少ないときは、どうしても過剰な対応を取り勝ちになりますね。 導入会社もそうですが、コンサル会社は認証取得の是非で自社のコンサル技術が評価されるわけですから、それに輪をかけてどうしても過剰な要求をし勝ちになります。 コンサル会社は顧客会社が認証取得すればそれで万事OKですが、顧客会社は一度過度なルールを定めてしまうと、それで実施しなければなりません。それだけ制度が重くなりますし、業務負荷ひいてはコストが余分にかかってしまいます。 迷った時は「原点に戻れ」です。「個人情報保護法」の原文、関連するJIS規格条文のどの部分に抵触して、対応が必要なのか、コンサル会社に再確認してみてください。 くれぐれも、運用するのはコンサル会社ではなくて、貴社ですから・・・がんばってください。
その他の回答 (5)
- goo_learning
- ベストアンサー率28% (2/7)
既に回答された方々の内容を見て同感しておりますが、もしかしたらということで書き込みさせていただきます。 もしかしたら「個人情報の処理等を委託しているわけではない」ということではなく、ビルの管理会社等に「御社の担当者の氏名&役職等」が伝わっていて、これをもって個人情報が委託先に、行ってしまっているという点を、コンサルが気にしているのではないでしょうか?
お礼
goo_learningさん、ありがとうございます! 確かに、ビル管理会社には非常時のために、担当者の連絡先をお伝えしています。 ですが、今回、コンサルさんが気にしているのはこのことではなく、オフィスの鍵を預けて作業をしてもらっている(これが、委託である、、)という点でした。ですが、ご意見をいただいたことにより、別の面から見ることも大切だということに気付きました。ありがとうございました。 今回、ここに投稿することにより、皆様からのご意見をいただき自信を持って「ビル管理会社と清掃業者を委託リストから外す」ことを決めることができました。 まことにありがとうございました。 本日、社内の調整はできたので、後はコンサル会社さんと話し合いをするだけですが、しっかりと私どもの決定を伝えたいと思います。 ありがとうございました!!!
- happygolucky
- ベストアンサー率36% (22/60)
現地調査まで終わってるんですね。 書類審査に出されてからずいぶん掛かったのでは? 本題です。 感覚的には、現地調査に来た審査員に一度思ったままの改善案を出して見ることはできないんでしょうか? それで更なる改善がなければ、良いでしょうし、改善要求があったらビル管なども入れるようにする。 そんなふうにはできませんか? 感覚的には、おっしゃってる方法で問題なく感じます。 委託先に関する評価選定方法を分けてやってらっしゃるということですよね。 もう一点、avrilballonさんがそんなにコンサルのいうとおりにしたくない理由は何ですか? もしそのとおりにすることでスムーズに行くのであれば拘る所ではないのではないでしょうか? 目的は”取得”であり、プロジェクトの成功ですよね。avrilballon さんの意見を通すことによって それに導けるのであれば、こだわっても良いでしょうけど、目的に直接関係なければ、折れれば済む話にも感じます。 きっと、それでコンサルは満足なんでしょうから。 もしかしたらコンサルも引っ込みがつかなくなってるのかもしれませんけど・・・
お礼
happygoluckyさん、ありがとうございます! 書類審査に出したのが、昨年の10月で、現地調査が先週でした。指摘事項が昨日、届きました。おっしゃるとおり、ずいぶん、かかってます、、、、 私がこだわっているのは、コンサル会社さんのいうとおりにしたくないのではなく、、 ビル管理会社と清掃業者を委託先にするのが、無理だからなんです。 委託先としての選定基準を満たすことも難しいし(個人情報を委託する際の選定基準ですので、かなりハードル高いものです)、秘密保持契約も交わしてもらえませんでした(すでに、契約書を交わしているのだから必要なし、、と)。うるさいことを言うのなら、ビルから出て行ってもらってもいい、、とも言われました。そのようなビル管理会社さんが8社ほどあり、困っています。 Pマーク取得は至上命令なので、委託先を見直すようにとの指摘が出た以上、このままビル管理会社と清掃業者を委託先としてほうっておくわけにはいかず、、 委託先選定基準を、ビル管理会社にあわせて甘いものにするわけにもいかず、、 委託先リストから外してしまえば、解決なのですが、、、「委託先ではないのでは?」と訴えても聞いてもらえなかったのです、、、 コンサルさんにお任せして、言われるとおりにして、それで上手くいけば、それが一番らくちんで嬉しいのですが、、、コンサルの担当さんもいい人で個人的にはとても好きなのですが、、、 無理なんですーー コンサルさんは「ビル管理会社さんに、なんとしても秘密保持契約書にハンコを押してもらってくださいー」と言いますし、ビル管さんは「ゼッタイに押しません!もう出てってください!」と言います、、、 という板ばさみ状態なんです、、、、、
No.2のjanvierです。お礼、ありがとうございました。なるほどねえ、そうなるとこれは、No.1さんがご回答になっている通り、ビル管理会社や清掃会社に対する見直しではなく、こうした深夜作業などで社内に入る方々が居るという事情に対しての、会社としての情報漏えいの対策の問題につきるように思いますが。。。
お礼
janvierさん、iyamamotoさん、ありがとうございます! 会社の鍵を預けて作業をしてもらっているので、恐くはあるのですが、、、でも、「個人情報の委託先」ではないので、別問題として考えたいと思います。 私一人でコンサル会社さんと上司に反論するのは心細いのですが、がんばります!! ありがとうございました!!!
通常ビルの管理会社や委託清掃業者は「個人情報の委託先」には該当しないはずのものです。なぜなら、当然のことながら「個人情報の処理等を委託」を契約業務としているわけではないのですから。ですが、このコンサルタントの方は「個人情報が存在する場所での作業」ということから、現実の問題としての可能性に配慮してことに厳しく考えていると思われます。 多少冗談めきますが、これでは、業者としてはリースの植木鉢ひとつ、オフィスの中に持ち込めないということにもなりかねません。 お話では、業務に関して取り交わした契約書の記載項目の中に「機密保持」に関しての条文があるとのことですが、強いて言うなら、この条文を書換えて「乙は業務中に知り得た企業情報及び個人情報を、いかなる理由に於いてもこれを外部(または第三者)に漏洩してはならない、また、知り得た企業情報及び個人情報を利用して利益を得てはならない」、「乙はこれらの情報の漏洩によって損害が発生した場合はこれを補償する」という風に具体的なものとして強化しておく程度しか方法がないと思います。この際、元々の契約書を一旦破棄するほどまでしなくても、付帯契約として別紙の姿で追加契約条項を発行するという略式のことも出来ると思いますので、関係の方に聞いてみて下さい。 これだけしてあれば企業の姿勢と具体的な対策体制について審査するPCマーク取得の審査でもこれ以上つっこんではこないと思うんですが。。。。
お礼
ありがとうございます! コンサル会社の言うには、ビル管理会社と清掃会社の方は社内に人が誰もいない時の作業を任せているので、委託にあたる。ということなのです。植木屋さんや自販機メンテの方などは、社員の立会いのもと、入室記録を取って作業をしてもらうので委託ではない、、と。 でも、個人情報の処理を委託しているのではない、という点では同じですので、委託先リストからビル管理会社と清掃会社を外せるようがんばってみます! コンサル会社の方のほうが口が立つので、、いつも説得負けしてしまうのですが、、、
- jyamamoto
- ベストアンサー率39% (1723/4318)
>個人情報が存在する場所での作業(清掃作業等)を依頼しているという理由で個人情報の委託先になるのでしょうか? この場合は、単に個人情報のある場所に出入りしているだけであって、「個人情報」そのものを扱って業務をするわけではありませんから、「個人情報の委託先」にはあたらないと思います。 その清掃業者の個人情報保護に関する取り組み姿勢を問題にするのではなく、そういった「外部の業者が出入りするところでの、貴社の個人情報の保管、取り扱い方法の取り決め」の問題だと思います。 コンサル会社の勘違いか、貴社の聞き違いか?コンサル会社の指摘の趣旨を再確認されるべきでしょうね。
補足
早々のご解答をありがとうございます! >単に個人情報のある場所に出入りしているだけであって、「個人情報」そのものを扱って業務をするわけではありませんから、「個人情報の委託先」にはあたらないと思います。 私もそのように思い、コンサル会社の担当者には、何度も確認をしたのですが、いつも「個人情報そのものを委託するのでなくても、明らかに個人情報が保管されている場所での作業を委託するのだから委託先である」との返答でした。 私が一人で「違うのでは??」と食い下がっていたのですが、社内には、コンサル会社の担当者が言うことは正しい(そのために契約金払ったコンサル会社ですし)、、、の風潮があり、困っていました。 社内の人たちとコンサル会社の担当者に対して「ビル管理会社と清掃業者は、個人情報の委託先ではない!」と強く言ってもいいのですよね???私の発言だけでは、いまひとつ説得力が無く、不安なのですが・・・
お礼
jyamamotoさん、ありがとうございました!! コンサル会社さんも、私どもがPマークを取得できるように一生懸命になってくれているのはよくわかるのですが、、それが、過剰な要求になることもあるのですね。 第二十二条「個人データの~」を見ると、清掃業者やビル管理会社は委託先とはいえないように思えますが、、と、明日、コンサル会社に確認して、リストから外します。 2日前に指摘事項を受けたときは、どうしようどうしよう・・と困りきっていたのですが、皆様のおかげですっきりしました!! 本当にありがとうございました!!!