委託先（クラウドサービス）の特定漏れ

プライバシーマーク・Pマーク更新審査においては、前回と比べ、より詳細な部分まで確認される傾向があり、委託先の監督の未実施はよく指摘となります。

指摘概要

委託先について「委託先リスト」に特定し、「委託先評価シート」で評価し、「個人情報の取扱いに関する覚書」を交わしている。しかしながらグループウェアの委託先について実施していない。規程に則り実施すること。

是正内容

グループウェアに関して以下を実施しました。
・「委託先評価シート」を使用して評価した。
・「個人情報の取扱いに関する覚書」については相手先が個別の契約締結をしていないため締結はできませんでしたが、サービス利用規約の内容が、「3.4.3.4委託先の監督」要求事項a)～e)までを網羅していることを確認した。（利用規約添付）
・「委託先リスト」に特定した。

当社からのコメント＆アドバイス

これは、前回の審査後にグループウェアを使用し始め、委託先として認識していなかったため指摘となった例です。
この場合は、上記指摘の他、グループウェア内の情報について、特定、リスク分析についても実施されていなければ指摘となります。
更新審査においては、前回と比べ、より詳細な部分まで確認される傾向があり委託先の監督の未実施はよく指摘となります。
やはり委託先の監督の実施有無は、全部門で確認しておく必要がありますね。