客先で請負作業をしている事業者がPマークを更新する際の注意点2
こんにちは。トレンドシードの佐野です。
手違いで記事が公開されていませんでしたー。
遅くなりましたが、UPします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
東京も雪すごかったですねー
道端に雪だるまの残骸を見つけるたび、雪だるま好きなんだなあ。日本人って。と思います。
結構な力作もあったりして…
娘にリクエストされて、渋々ながら雪だるま制作にとりかかりましたが、寒いわ、冷たいわ、力作業だわ・・・・ってことで、瞬時に断念
我が家には雪だるまの降臨はございませんでした。
さて、客先で請負作業しているなら、その請負業務も監査対象になる。なのに、この請負業務に対する監査を実施していない事業者が多い!!っていうのが、前回の内容でしたね。
そうなんです。この部分、ほんとノーマークなんです。
IT業界では、客先で常駐して作業を行うことが多く、自社で開発やメンテナンスを行っているところは少なくなってきました。
客先のデータを自社内に持ち込ンだ場合、データの管理を適切に行わないと情報漏えいのリスクが発生しますよね。
客先も委託先で情報漏えい等が発生すると困るのでデータを出すのを嫌がりますし、請負側もそうしたリスクを負いたくないという点で、やっぱり客先で作業するのが一番!ということになるんでしょうね。
でも、こうした請負業務をメインで行っている場合は、客先であろうとやはり監査が必要になります。請負ですので、それらの業務は請負った会社側が責任を持つ業務となります。
しかし、業務をしているのは客先。そこに、自社の社員が監査なんて…と思いますが、何も厳密な監査でなくともOKです。
客先で業務を行う以上、客先の情報セキュリティルールや施設出入りのルールを順守することが
求められます。
客先に順守するよう指示されている項目を一覧にして、順守できているか否かのチェックリストを作成します。そして、作成したチェックリストを利用して、客先で業務を行っている担当者が毎月(または四半期に一度とか)順守状況をチェックし、その結果を保管しておきます。
自社の監査実施時に、客先で行われている業務を監査する際の監査項目は、「客先での業務遂行時には、客先のルールに従って業務が行われているか」とします。
監査人は、客先で自主点検されたチェックリストの結果を提出させ、そのチェックリストで自主点検が定期的に実施されていることを「監査」します。
こうした仕組みにすれば、客先には自主点検を行っているという点で評価され、Pマーク的には客先での監査が適切に実施されている。ということで万時OKとなります。
やる前は、客先での点検なんて1」絶対無理!と思っても、やってみれば結構できるものです。
むしろ、客先にも喜ばれますよー。
なお、客先で業務を行ってるけれど、派遣形態です。という場合も、個人情報をメインに取り扱う業務の場合は、入館証などの取り扱いについても、同じように監査(点検)を求められることがありますよ。
手違いで記事が公開されていませんでしたー。
遅くなりましたが、UPします。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
東京も雪すごかったですねー
道端に雪だるまの残骸を見つけるたび、雪だるま好きなんだなあ。日本人って。と思います。
結構な力作もあったりして…
娘にリクエストされて、渋々ながら雪だるま制作にとりかかりましたが、寒いわ、冷たいわ、力作業だわ・・・・ってことで、瞬時に断念
我が家には雪だるまの降臨はございませんでした。
さて、客先で請負作業しているなら、その請負業務も監査対象になる。なのに、この請負業務に対する監査を実施していない事業者が多い!!っていうのが、前回の内容でしたね。
そうなんです。この部分、ほんとノーマークなんです。
IT業界では、客先で常駐して作業を行うことが多く、自社で開発やメンテナンスを行っているところは少なくなってきました。
客先のデータを自社内に持ち込ンだ場合、データの管理を適切に行わないと情報漏えいのリスクが発生しますよね。
客先も委託先で情報漏えい等が発生すると困るのでデータを出すのを嫌がりますし、請負側もそうしたリスクを負いたくないという点で、やっぱり客先で作業するのが一番!ということになるんでしょうね。
でも、こうした請負業務をメインで行っている場合は、客先であろうとやはり監査が必要になります。請負ですので、それらの業務は請負った会社側が責任を持つ業務となります。
しかし、業務をしているのは客先。そこに、自社の社員が監査なんて…と思いますが、何も厳密な監査でなくともOKです。
客先で業務を行う以上、客先の情報セキュリティルールや施設出入りのルールを順守することが
求められます。
客先に順守するよう指示されている項目を一覧にして、順守できているか否かのチェックリストを作成します。そして、作成したチェックリストを利用して、客先で業務を行っている担当者が毎月(または四半期に一度とか)順守状況をチェックし、その結果を保管しておきます。
自社の監査実施時に、客先で行われている業務を監査する際の監査項目は、「客先での業務遂行時には、客先のルールに従って業務が行われているか」とします。
監査人は、客先で自主点検されたチェックリストの結果を提出させ、そのチェックリストで自主点検が定期的に実施されていることを「監査」します。
こうした仕組みにすれば、客先には自主点検を行っているという点で評価され、Pマーク的には客先での監査が適切に実施されている。ということで万時OKとなります。
やる前は、客先での点検なんて1」絶対無理!と思っても、やってみれば結構できるものです。
むしろ、客先にも喜ばれますよー。
なお、客先で業務を行ってるけれど、派遣形態です。という場合も、個人情報をメインに取り扱う業務の場合は、入館証などの取り扱いについても、同じように監査(点検)を求められることがありますよ。
客先で請負作業を行う事業者がPマークを取得する場合の注意点1
今日は一段と冷え込みますね。。。
トレンドシードの佐野です。
PCを新しく入れ替えたので、まだキーボードの配置に手が慣れません。
さっきからタイプミス連発です。
このブログのアクセス解析を確認したところ、更新していないにもかからず日々一定数のアクセスがあることが判明しました。
ので、不定期ながらPマーク関連についてUPします。これからPマークを取得するとか、Pマークの更新なんだけど。。。という方々のお役にたてる情報を発信できればいいな。と思っています。
解析データの結果、ダントツに多かった検索ワードは「個人情報保護管理者」。みなさん、個人情報保護管理者の役割等について関心があるようですね。
実際に個人情報保護とかPマーク関連の検索をするのは、個人情報保護管理者とか事務局の方とかが多いんでしょうね。
しかし、個人情報保護管理者の役割についは、以前の記事に書いたような気がするので、具体的な役割は書きません。また、おいおい書いていきますね。
今日は、「うちは客先に常駐して開発作業等をしているので、取り扱う個人情報は従業者情報だけなんだよぉ」というケースが多い、IT関連事業者さんの落とし穴を書きたいと思います。
開発やらサーバの運用保守等の業務で、自社社員を客先に常駐させ、客先の個人情報を取り扱う際は、客先担当者同席または指示のもと、業務を遂行する。
よくあるケースです。
ここでまず注目すべきポイントは、客先常駐している自社社員の契約形態です。
請負契約ですか?
派遣契約ですか?
派遣契約の場合は、客先(派遣先)の指揮命令下にありますので、当該作業に関する管理責任は客先にあります。
請負契約の場合は当該作業を請負った側の事業者(つまりIT関連事業者)に管理責任があります。
ここまで書けば、Pマーク審査について熟知されている方は、私が何を書きたいか察知された方いらっしゃるのではないでしょうか?
そう。
監査です。監査対象範囲についてです。
客先での作業であっても請負契約の場合は、Pマークの監査対象となるのです。
むしろ、客先常駐作業が主たる業務ならば、監査しないでどうするって感じです。
客先で個人情報を取り扱っている場合、または取り扱う可能性がある場合は、この監査のくだりは「まあね~。そうだけどね。」と、渋々ながらでも納得できますよね。
しかし、まったく取り扱わないわー。という場合でも、客先のルールに基づいて業務が行われているかを確認すべき監査対象範囲となりえる場合があります。
わぉ!って感じですね。
でも、客先施設内に入るための入館証や、機器などを客先から預かって使用させてもらうケースとかありますよね。これらを紛失してしまうと、大変なトラブルに発展する可能性があります。
しかし、コンサルしていると、この客先業務について全く対策を講じていない事業者が多いです。
「客先だから監査とかできないしー。」よくある回答です。
客先に常駐している社員が事故を起こしたら、それは誰の責任になるのですか?
その時、何を問われるのでしょうか?
契約形態を踏まえながら、ぜひ一度考えてみてください。
ということで、次回に続きます。
次回は、注意点に対する対策について書きたいと思います。
ではまた。
トレンドシードの佐野です。
PCを新しく入れ替えたので、まだキーボードの配置に手が慣れません。
さっきからタイプミス連発です。
このブログのアクセス解析を確認したところ、更新していないにもかからず日々一定数のアクセスがあることが判明しました。
ので、不定期ながらPマーク関連についてUPします。これからPマークを取得するとか、Pマークの更新なんだけど。。。という方々のお役にたてる情報を発信できればいいな。と思っています。
解析データの結果、ダントツに多かった検索ワードは「個人情報保護管理者」。みなさん、個人情報保護管理者の役割等について関心があるようですね。
実際に個人情報保護とかPマーク関連の検索をするのは、個人情報保護管理者とか事務局の方とかが多いんでしょうね。
しかし、個人情報保護管理者の役割についは、以前の記事に書いたような気がするので、具体的な役割は書きません。また、おいおい書いていきますね。
今日は、「うちは客先に常駐して開発作業等をしているので、取り扱う個人情報は従業者情報だけなんだよぉ」というケースが多い、IT関連事業者さんの落とし穴を書きたいと思います。
開発やらサーバの運用保守等の業務で、自社社員を客先に常駐させ、客先の個人情報を取り扱う際は、客先担当者同席または指示のもと、業務を遂行する。
よくあるケースです。
ここでまず注目すべきポイントは、客先常駐している自社社員の契約形態です。
請負契約ですか?
派遣契約ですか?
派遣契約の場合は、客先(派遣先)の指揮命令下にありますので、当該作業に関する管理責任は客先にあります。
請負契約の場合は当該作業を請負った側の事業者(つまりIT関連事業者)に管理責任があります。
ここまで書けば、Pマーク審査について熟知されている方は、私が何を書きたいか察知された方いらっしゃるのではないでしょうか?
そう。
監査です。監査対象範囲についてです。
客先での作業であっても請負契約の場合は、Pマークの監査対象となるのです。
むしろ、客先常駐作業が主たる業務ならば、監査しないでどうするって感じです。
客先で個人情報を取り扱っている場合、または取り扱う可能性がある場合は、この監査のくだりは「まあね~。そうだけどね。」と、渋々ながらでも納得できますよね。
しかし、まったく取り扱わないわー。という場合でも、客先のルールに基づいて業務が行われているかを確認すべき監査対象範囲となりえる場合があります。
わぉ!って感じですね。
でも、客先施設内に入るための入館証や、機器などを客先から預かって使用させてもらうケースとかありますよね。これらを紛失してしまうと、大変なトラブルに発展する可能性があります。
しかし、コンサルしていると、この客先業務について全く対策を講じていない事業者が多いです。
「客先だから監査とかできないしー。」よくある回答です。
客先に常駐している社員が事故を起こしたら、それは誰の責任になるのですか?
その時、何を問われるのでしょうか?
契約形態を踏まえながら、ぜひ一度考えてみてください。
ということで、次回に続きます。
次回は、注意点に対する対策について書きたいと思います。
ではまた。
年末のご挨拶
こんにちは。
なんと、今年1年間…まったくブログを書いていないトレンドシードの佐野です。
お陰様で、今年も無事に乗り切ることが出来ました☆
ブログの更新はしておりませんでしたが、それなりに充実していたこの1年。
仕事に資格に趣味にと、いろんなことにチャンレンジし自分なりに満足できる結果を得ることが出来ました。
このブログのお蔭で、懐かしい友人との再会も果たすことも出来ました!
でも、残念だったのは体調を崩し気味だったこと。
直近では胃カメラをしましたが、まじ辛かった…。
でも、特に問題もなかったので、心安らかに年越しが出来そうです☆
娘も3歳になり、来年の4月からは幼稚園。
今とは違った生活サイクルになりますが、仕事もプライベートもマイペースで頑張ります☆
今年1年、お世話になった方々に心から感謝申し上げます。
よいお年をお迎えください
なんと、今年1年間…まったくブログを書いていないトレンドシードの佐野です。
お陰様で、今年も無事に乗り切ることが出来ました☆
ブログの更新はしておりませんでしたが、それなりに充実していたこの1年。
仕事に資格に趣味にと、いろんなことにチャンレンジし自分なりに満足できる結果を得ることが出来ました。
このブログのお蔭で、懐かしい友人との再会も果たすことも出来ました!
でも、残念だったのは体調を崩し気味だったこと。
直近では胃カメラをしましたが、まじ辛かった…。
でも、特に問題もなかったので、心安らかに年越しが出来そうです☆
娘も3歳になり、来年の4月からは幼稚園。
今とは違った生活サイクルになりますが、仕事もプライベートもマイペースで頑張ります☆
今年1年、お世話になった方々に心から感謝申し上げます。
よいお年をお迎えください