<4D F736F F D D A2E8A4F959488CF91F590E682CC8AC493C295FB96402E646F63>

Similar documents
本節で紹介している取組事例 4-(5)-1: 委託先を集めての合同勉強会開催により委託先との意識を共有し さらに定期的監査及び是正後のフォローアップ監査を実施 4-(5)-2: 委託先から定期的に 報告書 や 証明書 を取得し さらにモニタリングを実施 4-(5)-3: 委託業務ごとに年 1 回以上

マイナンバー制度 実務対応 チェックリスト

はじめてのマイナンバーガイドライン(事業者編)

<4D F736F F D FAC94848BC CA94CC A83498ED05F E646F63>

Q

. 届出方法の案内 自治体において システムを活用した届出を推奨しているが 特に推奨していない自治体が 自治体であった 届出方法の案内 書面を推奨 0 システムを推奨 書面を指定 0 特に推奨していない 一部の事業者より システムによる届出を受け付けない と指

特定個人情報取扱要領 ( 目的 ) 第 1 条この要領は この組合の 個人情報保護方針 および 特定個人情報取扱規程 ( 以下 規程 という ) に基づき この組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条

Microsoft Word - ○指針改正版(101111).doc

特定個人情報取扱細則 ( 目的 ) 第 1 条この細則は 当組合の個人情報保護方針及び特定個人情報取扱規程 ( 以下 規程 という ) 等に基づき 当組合における特定個人情報の具体的な取扱いを定めたもので 特定個人情報の保護と適正な利用を図ることを目的とする ( 用語の定義 ) 第 2 条この細則で

個人情報分析表 類型 K1: 履歴書 職務経歴書 社員基礎情報 各種申請書 誓約書 同意書 入退室記録 教育受講者名簿 理解度確認テスト 本人から直接取得 社員管理に利用する 保管庫に保管する 廃棄する 残存 1. 同意を得ないで取得する 1. 目的外利用する 1. 紛失する 1. 廃棄物から情報漏

( 内部規程 ) 第 5 条当社は 番号法 個人情報保護法 これらの法律に関する政省令及びこれらの法令に関して所管官庁が策定するガイドライン等を遵守し 特定個人情報等を適正に取り扱うため この規程を定める 2 当社は 特定個人情報等の取扱いにかかる事務フロー及び各種安全管理措置等を明確にするため 特

特定個人情報の取扱いの対応について



<4D F736F F D208DBB939C97DE8FEE95F18CB48D EA98EE58D7393AE8C7689E6816A2E646F63>

内部統制ガイドラインについて 資料

Microsoft Word - 06_個人情報取扱細則_ doc

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

P004: 個人情報取り扱い細則 個人情報取り扱い細則 制定平成 26 年 9 月 1 日初版 改定平成 28 年 4 月 1 日第二版 株式会社 **** 個人情報保護 管理者 1/6

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

文書管理番号

はじめに 個人情報保護法への対策を支援いたします!! 2005 年 4 月 個人情報保護法 全面施行致しました 個人情報が漏洩した場合の管理 責任について民事での損害賠償請求や行政処分などのリスクを追う可能性がござい ます 個人情報を取り扱う企業は いち早く法律への対応が必要になります コラボレーシ

<4D F736F F D208CC2906C8FEE95F182CC8EE688B582C982C282A282C E646F6378>

個人情報保護方針の例

総論 Q1 民間事業者はどのような場面でマイナンバーを扱うのですか A1 民間事業者でも 従業員やその扶養家族のマイナンバーを取得し 給与所得の源泉徴収や社会保険の被保険者資格取得届などに記載し 行政機関などに提出する必要があります 原稿料の支払調書などの税の手続では原稿料を支払う相手などのマイナン

管理区分 非管理版 文書番号 PMS-007 制定年月日 改訂年月日 改訂番号 1 購入希望の場合は P マークの取得及び更新に必須となる文書のサンプルです ページ最後の購入方法をご確認ください 修正可能なワードファイルで提供して

特定個人情報の取扱いに関する管理規程 ( 趣旨 ) 第 1 条この規程は 特定個人情報の漏えい 滅失及び毀損の防止その他の適切な管理のための措置を講ずるに当たり遵守すべき行為及び判断等の基準その他必要な事項を定めるものとする ( 定義 ) 第 2 条 この規定における用語の意義は 江戸川区個人情報保

特定個人情報の取扱いの対応について

<4D F736F F D208CC2906C8FEE95F182C98AD682B782E98AEE967B95FB906A93992E646F63>

14個人情報の取扱いに関する規程

<82E682AD82A082E982A896E282A28D8782ED82B95F76325F E786C7378>


(3) 個人情報保護管理者の有無 位置づけ CPO は取締役である (4) 認証取得の有無 ( 時期 ) 認証の種類 その認証を取得した理由 効果 プライバシーマーク ISO9001 ISO14001 ISO27001 の認証を取得 情報セキュリティ格付 A AAis( トリプルA) IT-BCP

資料 3 時代の要請を受けた 消費者保護の課題について 平成 31 年 4 月 経済産業省商務 サービスグループ 商取引監督課

品質マニュアル(サンプル)|株式会社ハピネックス

5. 個人情報保護マネジメントシステムの継続的改善当社は 個人情報を保護し 適切に取り扱うための個人情報の取扱いに関する法令 国が定める指針その他の規範を遵守し 更に日本工業規格 個人情報保護マネジメントシステム- 要求事項 (JIS Q 15001:2006) に準拠した個人情報保護マネジメントシ

中小企業向け はじめてのマイナンバーガイドライン

個人情報保護規定

ウ件数 6,860 件エ原因公式ショッピングサイト ハワイアンズモール ( 以下 ハワイアンズモール といいます ) のロードバランサー ( 負荷分散装置 ) に使用していた OpenSSL の脆弱性を利用した 外部からの不正アクセスによるものでした (2) 本件の原因弊社によるシステムフォワード社

調査票

Ⅰ. マイナンバー制度概要 マイナンバー法の厳しい罰則規定 ( 民間企業 個人に係わるもの ) 行為懲役罰金 1 正当な理由がなく マイナンバーファイルを 提供 4 年以下 200 万円以下 2 不正な利益を得る目的で マイナンバーを 提供 盗用 3 年以下 150 万円以下 3 不正アクセス等によ

<4D F736F F D E63188C4816A8D4C93878CA78BC696B18AC7979D91CC90A78A6D94468C9F8DB88EC08E7B97768D6A816989FC90B38CE3816A2E646F63>

(I12) 土木学会特定個人情報取扱規程 平成 28 年 1 月 22 日制定 ( 目的 ) 第 1 条本規程は 公益社団法人土木学会 ( 以下 学会 という ) における 行政手続きにおける特定の個人を識別するための番号の利用等に関する法律 ( 以下 番号法 という ) 個人情報の保護に関する法律

Microsoft Word - エ.小売業(百貨店・スーパー)エ社_H20revised.doc

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

特定個人情報等取扱規程

NEC CSR レポート 2016 CSR 経営ガバナンス社会環境 全社の管理体制 個人情報保護管理者 個人情報保護マネジメントシステムの実施及び運用に関する総括的な責任及び権限を持つ者 ( 特定個人情報保護責任者を兼ねる ) 特定個人情報保護責任者 特定個人情報の取り扱いに関する責任および権限を

<4D F736F F D AE8A4F8D4C8D9095A CC8A FF38BB52E646F63>

警備員指導教育責任者の選任の基準 ( 警備員規模別 ) 0.0% 20.0% 40.0% 60.0% 80.0% 100.0% 9 人以下 (n=65) 26.2% 9.2% 6.2% 6.2% 49.2% 3.1% 2.6% 10~29 人 (n=116) 30.2% 13.8% 5.2% 8.6

事務ガイドライン ( 第三分冊 )13 指定信用情報機関関係新旧対照表 Ⅰ-2 業務の適切性 現行改正後 ( 案 ) Ⅰ-2 業務の適切性 Ⅰ-2-4 信用情報提供等業務の委託業務の効率化の観点から 内閣総理大臣 ( 金融庁長官 ) の承認を受けて信用情報提供等業務の一部を委託することが可能とされて

<355F838A E837D836C B E696E6464>

程の見直しを行わなければならない 1 委託先の選定基準 2 委託契約に盛り込むべき安全管理に関する内容 (2) 個人データの安全管理措置に係る実施体制の整備 1) 実施体制の整備に関する組織的安全管理措置 金融分野における個人情報取扱事業者は ガイドライン第 10 条第 6 項に基づき 個人データの

平成 29 年度定期監査 ( 第 1 回 ) の結果報告に基づき講じた措置内容等 墨田区長 監査委員意見について 監 査 結 果 の 内 容 措 置 内 容 (1) 事務処理の適正化について今回の監査では指摘事項に該当する事例はなかったものの 指導 注意事項の事例については これまでの重ねての指摘に

採用活動の流れの概要

3 乙は 業務従事者が本誓約に基づき課される守秘義務に違反した場合は 乙が本誓約に違反した ものとして その責任を負うものとする ( 乙による具体的措置の実施 ) 第 4 条乙は 業務従事者に対して入手した秘密情報を本件に必要な限度で開示 提供するものとする 2 乙は 甲の求めに応じて 業務従事者の

評価項目 評価ポイント 所管部局コメント 評価 国際交流に関する情報の収集及び提供事業国際交流活動への住民の参加促進事業国際理解推進事業在住外国人に対する相談事業在住外国人に対する支援事業 安定 確実な施設運営管理 公正公平な施設使用許可や地域に出向いた活動に取り組むなど新たな利用者の増加に努め 利

評価項目 A Bともすべての項目に を入れてください 評価項目 A 宣言内容 ( 共通項目 ) チェック項目 取り組み結果 出来た概ね出来た出来なかった 1 経営者が率先し 健康づくりに取り組みます 健康宣言証の社内掲示など 健康づくりに関する企業方針について 従業員へ周知していますか? 経営者自身

企業倫理・企業行動に関するアンケート集計結果(概要)

保健福祉局地域福祉課

<4D F736F F F696E74202D202895CA8E86816A89638BC694E996A78AC7979D8EC091D492B28DB88A E >

平成 24 年 11 月 13 日 新潟縣信用組合 中小企業者等に対する金融の円滑化を図るための臨時措置に関する法律第 7 条第 1 項に規定する説明書類 第 1 第 6 条第 1 項第 1 号に規定する法第 4 条及び第 5 条の規定に基づく措置の実施に関する方針の概要 当組合は 地域に根差し 地


(2) 総合的な窓口の設置 1 各行政機関は 当該行政機関における職員等からの通報を受け付ける窓口 ( 以下 通報窓口 という ) を 全部局の総合調整を行う部局又はコンプライアンスを所掌する部局等に設置する この場合 各行政機関は 当該行政機関内部の通報窓口に加えて 外部に弁護士等を配置した窓口を

8. 内部監査部門を設置し 当社グループのコンプライアンスの状況 業務の適正性に関する内部監査を実施する 内部監査部門はその結果を 適宜 監査等委員会及び代表取締役社長に報告するものとする 9. 当社グループの財務報告の適正性の確保に向けた内部統制体制を整備 構築する 10. 取締役及び執行役員は

<4D F736F F D D A2E8F8995E E835882CC96688E7E8DF B838B82CC8CEB D82C882C7816A2E646F63>

JISQ15001:2006対応 個人情報管理ツール PMT

記 1. 適用対象本通知は 製造販売業者等が GPSP 省令第 2 条第 3 項に規定する DB 事業者が提供する同条第 2 項に規定する医療情報データベースを用いて同条第 1 項第 2 号に規定する製造販売後データベース調査を実施し 医薬品の再審査等の申請資料を作成する場合に適用する GPSP 省

Microsoft Word - 【口座開設】個人情報保護方針&個人情報の取扱い

<4D F736F F D20939D8D87837D836A B B816996E BB8DEC8F8A816A F90BB8DEC E646F63>

雇用管理分野における個人情報のうち健康情報を取り扱うに当たっての留意事項 第 1 趣旨 この留意事項は 雇用管理分野における労働安全衛生法 ( 昭和 47 年法律第 57 号 以下 安衛法 という ) 等に基づき実施した健康診断の結果等の健康情報の取扱いについて 個人情報の保護に関する法律についての

<4D F736F F F696E74202D E9197BF A B90D88E9688C482CC8DC494AD96688E7E82C98CFC82AF82C482CC8E7793B1814

<4D F736F F D C0837D836C8EE888F882AB95CA FAC8B4B96CD8E968BC68ED2816A>

日商PC検定用マイナンバー_参考資料

<4D F736F F D E64976C8F91817A B7B8E73959F8E F41984A8BC696B18A4A91F D F8E968BC68BC696B18E6

<4D F736F F D CC2906C B835E82CC8EE688B582A282C98AD682B782E98B4B92F68CC2906C2E646F63>

北里大学病院モニタリング 監査 調査の受け入れ標準業務手順 ( 製造販売後臨床試験 ) 第 1 条 ( 目的 ) 本手順書は 北里大学病院において製造販売後臨床試験 ( 以下 試験とする ) 依頼者 ( 試験依頼者が業務を委託した者を含む 以下同じ ) が実施する直接閲覧を伴うモニタリング ( 以下

社長必見≪ここがポイント≫マイナンバーガイドライン(事業者編)

2. 提出資料一覧表 落札予定者に求める提出資料は 要請書に示す調査区分 ( 基本調査または重点調査 ) に応じて下表に を付している内容とする なお 調査区分が 基本調査 の場合は 3 頁 ~4 頁に基づき作成すること 調査区分が 重点調査 の場合は 5 頁 ~7 頁に基づき作成すること 様式番号

ついて例月の集計と報告を行うもの 寄附者情報 市が契約している寄附受付サイト( 楽天ふるさと納税 ふるさとチョイス ) を経由する寄附の申し込みによるもの 市窓口等への申し込みなど市が直接受け付けたもの 寄附金の収受情報 寄附受付サイトを経由したクレジットカード決済 専用口座( 北越銀行 ゆうちょ銀

<4D F736F F F696E74202D2091E6368FCD5F95F18D908B7982D D815B >

JIPDEC主催第46回電子情報利活用セミナー講演録(要旨)

(資料4)運用機関とのコミュニケーションの取り方や情報開示の方法等(案).pdf

日本赤十字社企業年金基金特定個人情報等取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 日本赤十字社企業年金基金 ( 以下 当基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義

第 1 回自動車運送事業のホワイト経営の 見える化 検討会 検討の目的 日時 : 平成 30 年 6 月 11 日 ( 月 ) 10:00~12:00 場所 : 合同庁舎 3 号館 8 階自動車局第一 第二会議室 運転者としての就職を希望する求職者が就職先を選ぶ際や 荷主 旅行業者等が取引先を選ぶ際

評価することとしているか ( 特定 評価する頻度も含めたその検討プロセス及び結果含む ) 経営陣は 上記に基づき特定 評価した経営上のリスクに関して どのように経営計画及び経営管理に反映しているか ( その検討プロセス及び結果含む ) 財務の健全性を維持 検証するためにどのような社内管理態勢を構築し

ください 5 画像の保存 取扱い防犯カメラの画像が外部に漏れることのないよう 一定のルールに基づき慎重な管理を行ってください (1) 取扱担当者の指定防犯カメラの設置者は 必要と認める場合は 防犯カメラ モニター 録画装置等の操作を行う取扱担当者を指定してください この場合 管理責任者及び取扱担当者

2 安全衛生教育の実施等 () 6 派遣労働者を雇い入れたときに雇入れ時の安全衛生教育を行 はい いいえ っています () 7 派遣労働者の派遣先事業場を変更するなど 作業内容を変更 はい いいえ したときは 当該派遣労働者に対し 作業内容変更時の安全 衛生教育を行っています ()() 8 6 及び

1 検査の背景 (1) 日本年金機構における個人情報 情報システム及び情報セキュリティ対策の概要厚生労働省及び日本年金機構 ( 以下 機構 という ) は 厚生年金保険等の被保険者等の基礎年金番号 氏名 保険料の納付状況等の個人情報 ( 以下 年金個人情報 という ) について 社会保険オンラインシ

個人情報の取扱いについて.doc

防犯カメラの設置及び運用に関するガイドライン

MR通信H22年1月号

Microsoft Word - 円滑化開示資料目次.doc

<4D F736F F D204E4F2E CC2906C8FEE95F195DB8CEC82C982A882AF82E98AC48DB882C98AD682B782E98B4B92F68DC C5>

J-SOX 自己点検評価プロセスの構築

<4D F736F F D E518D6C C A95CA93595F8CC2906C8FEE95F182CC8EE688B595FB906A816982D082C88C60816A2E646F6378>

自治体CIO育成教育

特定個人情報取扱規程 第 1 章総則 ( 目的 ) 第 1 条本規程は 岩手県建設業厚生年金基金 ( 以下 当厚生年金基金 という ) における個人番号及び特定個人情報 ( 以下 特定個人情報等 という ) の適正な取扱いを確保するために必要な事項を定めることを目的とする ( 定義 ) 第 2 条本

JCROA自主ガイドライン第4版案 GCP監査WG改訂案及び意見

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

特定個人情報取扱規程 ( 目的 ) 第 1 条社会福祉法人埼玉県社会福祉協議会 ( 以下 本会 という ) は 個人 番号及び特定個人情報を適正に取り扱うことを目的として 本規程を定める ( 用語の定義 ) 第 2 条本規程における用語の定義は 次の各号に定めるところによる (1) 番号法行政手続に

Transcription:

(5) 外部委託先の監督方法 本節では 業務を実施する上で発生する外部委託について 個人情報保護を徹底させるためにどのような対策を行っているかということについて取り上げている 自らの事業所内における対策や従業者教育等には力を入れていても 事業体の違う外部委託先に対する監督は必ずしも容易ではなく 関与の程度や方法 そもそもの選定のあり方などについて事業者の事例を紹介している 例えば そもそも個人情報保護対策を適切に行っている事業者しか外部委託先として選定しないことを明確にして 自社で独自の認定制度やチェック制度を構築している事例 (9) 認証の有無や委託業務の内容でグループ分けを行い チェックの要否の判断を分けている事例 (12) などを紹介している また 業務委託中に 適切な管理が継続されているかどうかを確認するために委託元として立ち入り検査を実施しているような事例 (8) を紹介している 中には検査だけに止まらず 実効性のある改善計画の策定まで求めるような事例 (5) もある 一方で 管理 という姿勢ではなく パートナーシップと外部委託先事業者における個人情報保護の取組を具体的に支援するような取組 ( 合同勉強会の開催など ) を行っている事例 (1) 社内点検時に委託先企業の担当者にも同道してもらい 自社の個人情報保護に向けた取組みを知ってもらうような取組みを行っている事例も紹介している (11) なお 一部 業務を受託されている側からみた 委託先の監督に対する協力事例や対応事例 (7) なども紹介している 56

本節で紹介している取組事例 4-(5)-1: 委託先を集めての合同勉強会開催により委託先との意識を共有し さらに定期的監査及び是正後のフォローアップ監査を実施 4-(5)-2: 委託先から定期的に 報告書 や 証明書 を取得し さらにモニタリングを実施 4-(5)-3: 委託業務ごとに年 1 回以上の定期検査を実施 4-(5)-4: 個人情報取扱い業務を委託している業者に対する立ち入り検査の実施 4-(5)-5: 業務委託先へはチェックシートを送付 不備項目には改善計画の提出を求め 半年に 1 回はチェックを実施 4-(5)-6: 書類発送は監査済みの外部委託先を利用 4-(5)-7: 委託元へ個人情報保護のあり方を提案 4-(5)-8: 取扱情報 事業者規模に応じたチェックリストを作成 立ち入り検査を実施 4-(5)-9: 協力会社に対して独自の認定制度を導入 4-(5)-10: 派遣社員からは直接誓約書をとらずコピーで対応 4-(5)-11: 内部点検の際に委託先職員に同道してもらい 自社のチェックの厳しさを伝える 4-(5)-12: 委託先については認証の有無 委託業務の内容などでグループ分けを実施 57

4-(5)-1 委託先を集めての合同勉強会開催により委託先との意識を共有し さらに定期的監査及び是正後のフォローアップ監査を実施 ( 小売業 ( 通販等 ): 約 520 人 ) H 社では年 3~4 回 委託先を中心として 毎回約 40 社から 70~80 人程が参加する 個人情報保護対策合同会議 を行っている 参加者の多くは個人情報保護責任者であり 各社の取組についての意見交換やヒューマンエラーに関する事故事例の検証を行い 安全対策議論を共有している 委託先グループごと( 業種ごと ) にディスカッションを行い実情に沿った議論になるようにしている また議事録を参加企業へ必ずフィードバックしていることで 危機意識を高める効果がある 外部委託先の情報取扱い管理の検証のため 現地へ赴き 外部監査 を年 1~2 回実施し 実態を把握し不備や是正を指摘 指導し 是正後のフォローアップ監査も行っている 4-(5)-2 委託先から定期的に 報告書 や 証明書 を取得し さらにモニタリングを実施 ( 小売業 ( 通販等 ): 約 520 人 ) H 社では委託先からは 個人情報保護報告書 を毎月提出してもらっている 外部委託先に預託された個人情報を破棄した場合 廃棄証明書を必ず提出してもらうようにしている 個人情報保護に関する教育やシステムの整備についても報告してもらっている 専任担当が適宜 委託先の作業現場までチェックに行っている 4-(5)-3 委託業務ごとに年 1 回以上の定期検査を実施 ( 信用業 : 約 3,700 人 ) Ⅰ 社では委託業務ごとに 年に 1 回以上の定期検査を実施している 担当部署においてチェックシートを使用したリスク評価を実施し 必要に応じ業務の見直しや委託先への改善指導を実施している 4-(5)-4 個人情報取扱い業務を委託している業者に対する立ち入り検査の実施 ( 信用業 : 約 3,700 人 ) I 社では個人情報を取り扱う業務を委託している業者 ( 印刷会社等 ) に対しては 委託先の作業場所単位での立ち入り検査を実施している 検査ツールは委託先による自己評価シートと 自己評価シートの回答結果を現地で検証するためのチェックシートの2 種類を使用する シート内の各設問は点数評価(3 点 ~1 点 ) を行い 1 点の項目がある場合は委託でき 58

ないこととしている 4-(5)-5 業務委託先へはチェックシートを送付 不備項目には改善計画の提出を求め 半年に 1 回はチェックを実施 ( 信用業 : 約 700 人 ) J 社では業務委託先の選定基準として プライバシーマーク又は ISMS など客観的に評価される認証を取得しているか 認証の取得がない場合には過去にプライバシーマーク ISMS 認証を剥奪されていないこと 過去に個人情報の漏えい 紛失等の事故を起こしていないこと 委託業者内に適切な情報管理体制が整っていることを条件としている 委託の際には個人情報の取扱状況に応じた覚書を委託先と交わす 再委託が発生する場合も 委託先と再委託先との間で同様の覚書を交わさせる 委託先に対しては 安全管理措置評価用シート を用いて評価を行なっている 評価結果で個人情報保護に不備がある項目については委託先から改善計画書 ( 任意フォーマット ) を徴収し 原則 6 ヶ月以内に改善出来なければ契約を終了する 4-(5)-6 書類発送は監査済みの外部委託先を利用 ( 信用業 : 約 700 人 ) J 社では利用者への利用明細等の発送を外部委託している 委託先については監査を行っている 4-(5)-7 委託元へ個人情報保護のあり方を提案( ) ( 情報サービス業 ( コールセンター等 ): 約 2,500 人 ) Q 社では情報管理については 同社から顧客に対して提案する場合もある 時間やコストがよりかかるため顧客から実施しなくてもよいといわれる場合もあるが 同社からは実施した方がいいと提案している 逆に 顧客からの厳しすぎる要求に対しては交渉する 社内でも決まりや約束事があるため それにそぐわない場合には業務を断る場合もある リスクの高い仕事は請けられないという姿勢を見せる場合もある ( ) ここでは委託元との関係についての取組を取り上げた 59

4-(5)-8 取扱情報 事業者規模に応じたチェックリストを作成 立ち入り検査を実施 ( その他サービス業 ( 冠婚葬祭 ): 約 70 人 ) V 社では委託先として 返礼品を取扱う百貨店 サーバ管理業者 位牌製作事業者等がある 規模は百貨店が最も大きく 位牌製作事業者は個人経営がほとんどである 返礼品を取り扱う百貨店へは参列者の送付先リストを渡し 発送からリストの破棄まで委託している 委託先を 取扱情報 と 事業規模 に応じてランク分けし チェックリストを作成した チェックリストにはランク別の 20~50 項目の必須項目がある 委託先にはすべて立ち入り検査も実施している 個人情報保護に関する覚書も交わしている 4-(5)-9 協力会社に対して独自の認定制度を導入 ( その他サービス業 ( 印刷 広告 ): 約 11,000 人 ) X 社では 委託業務でダイレクトメールの発送を行う際 再委託先を 社内と同程度のセキュリティ確保をしていると認めた認定協力会社に限っている 認定のための検査は半日程度の立ち入り視察で実施している 現在全国で十数社が認定会社となっている 認定先については今後も増やしていきたい 現在は 個人情報管理に厳重を要する特定業務に限ってこのような取扱いにしている 委託先の中には セキュリティ確保のために立ち入り検査に応じられないというケースもある その場合 同社の作業をしているときに立ち入り検査をさせてもらうよう依頼する 委託先には取引基本契約書 個人情報保護についての覚書を交わしている 4-(5)-10 派遣社員からは直接誓約書をとらずコピーで対応 ( その他サービス業 ( 印刷 広告 ): 約 11,000 人 ) X 社では派遣社員からは直接の誓約書を取ることなく 派遣会社がとった誓約書等のコピーで対応している 派遣社員 パート アルバイトでも個人情報を取り扱う場合は すべて教育の対象である テストやアンケートで受講状況をチェックしている 派遣社員からは 受講しました という書面へのサインもとってはいない 4-(5)-11 内部点検の際に委託先職員に同道してもらい 自社のチェックの厳しさを伝える ( その他サービス業 ( 教育 学習支援 ): 約 180 名 ) ケ社では 内部点検の際に 委託先企業の職員を同道している 自分たちがどれほどキッチリしているかということを見せることで 要求される水準を示すことができ 60

暗に個人情報保護に関する努力を促すことができていると考えている 4-(5)-12 委託先については認証の有無 委託業務の内容などでグループ分けを実施 ( その他サービス業 ( 印刷 広告 ): 約 1,400 名 ) コ社では プライバシーマーク ISMS を取得していない事業者については 外部委託先として適切か否かのチェックを年に 1 度以上行うようにしている 主管事業部と相談して ( 個人情報の適切な保護の観点から問題が多いため ) 委託を行わなくなった事業者もいる 監査時に問題点を指摘し 対応を要請したにも関わらず 対応を要請した点についての改善が見られないような企業である 社内イントラネット上に 委託可能事業者リストを掲示している 委託先企業については 2 段階で分けている データを渡してよい ( 処理を任せてよい ) 事業者 と 封入 封緘などの事後処理だけを委託できる事業者 である また 具体的なミスがあった場合は 臨時で監査に行くようにしている 61

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック