福島印刷サービスサイトTOPへ

MENU

close

  1. サービスサイトTOP
  2. サービス
  3. コラム・事例
  4. 資料・テンプレート請求
  5. お問い合わせ

コラム

ダイレクトメールに関する情報をお届けするサービスサイト コラム・事例 印刷会社の情報セキュリティコラム2|委託先管理

印刷会社の情報セキュリティコラム2|委託先管理

Pマーク、ISMSの「委託先管理」とは?

委託先を管理監督する義務

Pマーク(プライバシーマーク)やISMSの認証取得では、個人情報の「委託先管理」が求められます。
自社の委託先選定基準を設け、すべての委託先と契約を交わし、継続的に評価する必要があります。

個人情報業務を他社に委託する上で、
 ● 十分な個人情報データ保護水準を満たしているか?
 ● 事前に約束した手順以外で個人情報を取り扱っていないか?
 ● 勝手に再委託していないか?
 ● トラブルがあった時に報告する仕組みになっているか?

 …などなど。委託先を監督する義務があるということですね。
 

委託先の個人情報業務、どうやって「確認」するの?

個人情報委託先の選定方法

Pマークの規格のベース(準拠元)である「JIS Q 15001;2023」にも「委託先の監督」という項目でしっかり規定されています。その中で「契約内容が遵守されていることを委託者が、定期的に、及び適宜に確認できる」という記載があります。

主な「確認」方法としては、手軽なものから順に、以下があります。
① 委託先がPマーク、ISMSなどの第三者認証を取得しているか確認する(=一定の信用保証となる)
② 委託先がHPなどで公開しているセキュリティーポリシー、ホワイトペーパーなどで取り組みを確認する
③ チェックシートを送付し、回答してもらう
④ 委託先に訪問し、現地で監査を行う

委託業務の内容や、委託先管理に掛けられるリソースを加味し、それぞれ組み合わせながらの対応が重要ですが…やはり一番厳格なのは、④の訪問実地監査でしょう。
 

個人情報委託先の確認方法 - 実地監査はめんどう?

委託先の訪問実地監査は難しい

しかし一般的に、実地監査は行う側・受ける側ともにハードルの高い確認方法と言えるでしょう。理由は以下の通りです。

時間と手間、交通費などの費用が掛かる
委託先側の協力が必要(作業場所の開放、作業を止めて監査を受けるリソース確保など)
監査する側も、専門的な知識・技能が求められる

現地監査をやりたくても余裕が無くできない、あるいは、
委託先に現地での監査をお願いしても「拒否される」という場合もあるようです…
 

福島印刷は、積極的に実地監査をお受けしています!

工場視察実施数の推移

福島印刷では、個人情報委託元からの実地監査を、積極的にお受けしています
コロナ禍に一度減少しましたが、回復傾向にあり、直近の通期(2023月8月21日~2024年8月20日)では1年間で101件のお客様ご視察をお受けしています!

年間稼働日で考えると、ほぼ2日に1回は視察が行われている状態です。
※Pマーク、ISMSだけでなく、QMS(品質マネジメントシステム)の実地監査、作業立ち合いも含まれます。

 

どうして、年間100件超の実地監査を受けるのか?

Pマーク審査員の方からも驚かれるこの数字
もちろん、監査を受けるには多くのリソースを要し、正直大変です。

監査対応者のリソース確保・事前の説明資料準備、チェックシートへの回答・工場や現地での実作業者による監査対応・終了後のフォロー、いただいたご意見への対応 などなど…!

それでも、当社が多くの実地監査を受けている大きな理由が2つあります。

 

理由①
実地監査≒無料コンサル!? レベルアップの糧になる!

監査を受けることでレベルアップできる

お客様によっては、審査員資格を持っている方や、多数の委託先監査を専門に請け負っている部署の方など… とても情報セキュティレベルの高い担当者様が、視察に来てくださることがあります。

当社のお客様は業種もさまざま(メーカーや小売、通信から、官公庁、金融など)なので、重要視されているポイントも多種多様です。幅広く、且つハイレベルな要求が行われることもありますが、とてもありがたいことだと認識しています。なぜなら…

自分達が見逃していた「伸びしろ」に気づくことができる!
多角的に情報セキュリティレベルアップの助言をいただける!

まさに、「無料のコンサル」を受けているようなものなのです。毎回、新鮮な気づきや新たな改善のアイデアをいただいています。
逆に、新人のご担当者様が当社の現場を見に来られて、「とても勉強になりました」という感謝のお言葉をいただくこともあります。
 

理由②
日々の業務やルールの大切さを改めて認識できる!

情報セキュリティは一日にしてならず

当社では、お客様の個人情報をお預かりする業務のために、一般の製造業よりも厳しい社内ルールが複数存在しています。

一例を挙げると… 私物のスマホをポケットに入れて仕事の合間にLINEをチェック、なんてことは許可されない体制となっています。

他にも、個人情報保護や品質保証のため、沢山の手間と制限の中で真摯に働く従業員の姿を、お客様にぜひ、直接見ていただきたいのです。
私たちにとっては「当たり前」として日々行っていることが、お客様から直接評価いただくことで、「これって特別な取り組みだったんだ!」と自覚することも多いです。実際に製造現場/働く人を見ていただき、私たちもお客様の思いを直接うかがえる。相互の体験の機会としています。
 

もし、委託先で個人情報漏えい事故が起きたら…

「何を監督していたんだ!」という事態に陥ってしまうので、委託先の管理はとても重要ですね。
どれだけ厳重な事前契約を交わしていたとしても、委託先で契約が守られていなければ意味が無い!…わけですから、監督方法もしっかりと整備する必要があります。

福島印刷では、個人情報を取り扱う際、誰がいつ、何に接触していたのか…記録を残しながら業務を行っています。(トレーサビリティ)
現地監査においても、実際の工場や作業現場を回りながら、業務証跡をお見せすることも可能です。
委託を受ける側にとっても、作業証跡=自分達がきちんと個人情報を取り扱っている”証(あかし)”となるわけですね。
 

トレーサビリティの重要性

まとめ:委託先管理は…
委託先・委託元 それぞれにとって成長機会!

お問い合わせはこちらから

本記事では、PマークやISMSの「委託先の監督」方法の内、特に委託先に訪問しての実地監査について、当社の実績を踏まえ説明しました。
せっかくリソースをかけて行う実地監査なら、個人情報の委託元にとっても委託先にとっても、相互利益のある成長機会としたいですね。

改めて、福島印刷ではお客様の訪問を、積極的にお受けしております!北陸・石川県金沢(とさいたまのサテライト工場)で、お客様のお越しをお待ちしております。
その他、当社の情報セキュリティの取り組みについて知りたい方、個人情報を含むデータ処理を伴う通知物、DM制作の委託先をお探しの方は、ぜひこちらからご連絡ください。