Pマークの取得企業は、「規格A.3.4.3.4の委託先の監督」において、個人情報の委託先との間で、次の8項目が盛り込まれている契約書を締結することとされています。
a)委託者及び受託者の責任の明確化
b)個人データの安全管理に関する事項
c)再委託先に関する事項
d)個人データの取り扱い状況に関する委託者への報告の内容及び頻度
e)契約内容が順守されていることを委託者が、定期的に、及び適宜に確認できる事項
f)契約内容が遵守されなかった場合の措置
g)事件・事故が発生した場合の報告・連絡に関する事項
h)契約終了後の措置(←※NEW)
そこで、上記8項目を盛り込んだ”個人情報の取扱いに関する契約書”を作りました。
個人情報に関する契約書については、受託者のみの捺印で済ませる内容のものもありますが、委託者の責任についても記載するため、双方捺印の方が自然かなと思いますので、委託者と受託者双方の捺印が必要な形にしています。
また、これ以上にガチガチの内容のものを使っている会社さんもいらっしゃいますが、個人情報に関する契約書は基本的には各社似たような内容であることから、出来るだけ簡略化し、かつPマークの審査上差し支えがないであろうラインを目指して作成しました。
各社の方針や規程に合わせる必要もあり、これだけでどの会社さんのどんな契約もカバーできるというものではありませんが、契約書作成時の参考になれば嬉しいです。
最後に
個人情報の保護に関しては、契約書の内容も大切ではありますが、それ以上に委託先の選定と監督が大切になってきます。選定の際には、Pマーク取得企業かどうか、個人情報保護に対する意識が高いかどうかなどをチェックし、選定後は、委託する個人情報の種類・件数などを双方明確にし、安全管理措置の具体的内容の確認とリスク分析などを行っていくことが重要です。
では、また〜
コメント