• ベストアンサー
  • 困ってます

取引先のPマークの取得について

社員2名で情報システムの開発業務を営んでいる者です。 取引先の「Pマーク」における外注業者(弊社等)の影響範囲についてお伺いします。 主要取引先が「Pマーク」を取得を目指すことになりました。 なお、弊社では個人情報は基本的に扱ってませんので、「Pマーク」取得の予定はありません。 あえて、個人情報と言えば、その主要顧客からごくたまに頂く(せいぜい年に1回程度)顧客データだけでしょう。 基本的に納品したシステムのテストデータとして(実際の生データの方が精度の高いテストを行えるため)利用してました。 今後、取引先のPマーク取得に伴い、そういった生データを頂けなくなること、また、既に頂いた生データは破棄することは仕方ないことであると考えておりました。 ところが、取引先からの要求は、「Pマーク」取得とほぼ同等の個人情報管理を行っていることでした(様々な体制整備やドキュメント整備、情報管理など・・。体制っていっても2人しかいないのですが・・)。 取引先がおっしゃるには、「Pマーク」取得の条件として、発注先も「Pマーク」取得と同等の体制が整っていることがあるためだそうです。 「Pマーク」自体は非常に有効性のある認定制度であるとは思いますが、弊社にとってはそのメリットは殆ど皆無であると考えてますので全く取得の意思はありませんが、やはり「Pマーク」取得業者と取引を行うためには「Pマーク」取得と同等な体制整備が必要なのでしょうか? 上述の顧客データを一切破棄し、「Pマーク」を取得する取引先の個人情報の流出するリスクをシャットダウンするだけではダメなのでしょうか? 少々釈然としない気持ちでいます。

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数425
  • ありがとう数8

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.2

ご質問の趣旨は、取引先から要求として出されている水準が、Pマーク認定そのものが求める水準なのか、取引先が自己で設定している水準なのかということだと思います。 取引先が「お宅もPマークが取れる水準の体制作りをしてくれ」といってきているのだとしたら、それはその取引先が自己で設定しているものである可能性が高いといえます。 以前やっていた会社で、Pマーク取得活動を自分が中心になって申請までやりました。Pマークのコンサルもお願いして、いろいろやりました。 その中で、取引先に対しては、社外ゆえに強制は出来ないから、取引先選定基準を設けて、それに基づいて取引先を選定し、取引先との基本契約には個人情報の取扱に関する規定を盛り込み、個人情報取扱責任者を届け出てもらう、また、個人情報のデータのやり取りは、漏洩・破壊・改ざん等のない方法で行うよう取り決め、データ受け渡しの記録もちゃんと取って残すように、といったところが、コンサルからのアドバイスとして、要求されました。 だから、取引先がPマーク取得、或いはそれと同等の管理体制を敷いてなければならないということはありません。 Pマーク取得企業と取引される場合は、 1.個人情報管理規程を設ける。 2.その内容としては、主なところを思い出すままに書いてみますと: ・取り扱う個人情報を定義し、その利用目的を明確にする。 ・個人情報の目的外利用を禁止する。 ・個人情報の漏洩・破壊・改ざんが起きないよう具体的な対策を定め、運用する。 ・個人情報取扱責任者を任命し、その責任と職務を明らかにしておく。また、個人情報を取り扱う人間を限定し、それらの人間からは、個人情報保護・秘密保持の念書をとる。 ・万一、個人情報の漏洩・破壊・改ざんが生じた場合の対応とその手順を予め決めておく。 といった程度でしょうか。(正確なところは、PマークのサイトやPマーク/個人情報保護関連の書籍等を参考にしてください。) Pマークを取得する場合は、この何倍もの方針、規程や細則を作って運用しなければなりません。私のいた会社では20以上の方針・規程・細則類を作成し、運用しました。(運用して内部監査にかけてからでないと、Pマーク申請できませんので。) お取引先のようなPマーク取得準備中の会社さんに対しては、「データがもらえなくて不便になるけど仕方ありませんねぇ」という消極策で対応するより、「うちはPマーク取るつもりはありませんけど、これこれこういう風に基本的なところはきちんと押さえて管理してますから」と自ら積極的にアピールするほうが、ご面倒でも得策では無いでしょうか。 というのは、上にも申し上げたように、取引先選定基準を先方は制定することになりますので、取引を継続するためには、その選定基準に合致する条件を整えておく必要があるからです。

参考URL:
http://privacymark.jp/

共感・感謝の気持ちを伝えよう!

質問者からのお礼

ありがとうございます。 大変参考になりました。 その後、Pマーク取得会社と取引がある友人やPマーク取得コンサルを行っている友人等、複数人にも聞きましたが、やはり、Pマーク取得の規定として、弊社のように個人情報を取り扱っていない取引先までそれが及ぶことではない、と言うことでした。 ただ、あえて、再度申し上げたいことは、弊社自体は、個人情報を一切扱っておらず、取引先とも個人情報を扱う業務は請け負ってはいない、ということです。 ただ、実質、テストデータとして頂いたことのある生データに個人情報が含まれておりますが、これは、請負業務の本質ではありません。 従って、再度、取引先と細かい打ち合わせをした上で、基本的には個人情報は「もらわない、持っていかない」ことにより、情報漏洩リスクはシャットダウンされることで、落としどころを見いだすと共に、GoGoTigersさんのおっしゃるとおり、上記のようなネガティブな対応だけでなく、「上記の対策で御社にとって弊社からの情報漏洩リスクはなくなりますが、このような対応を社内的に行うつもりです」というポジティブなアピールを行いたいと思います。 大変有用なアドバイス、重ね重ねありがとうございました。

関連するQ&A

  • Pマーク

    Pマークを目印に業者は選べますか?Wikipediaに「Pマークを取得しているからといって個人情報の安全な取り扱いが行われているとは限らないので、注意が必要である」と書いてあり混乱しています。それからJIS Q 15002とか、JIPDEC JIS 15001などは何でしょうか?名称ですか?色々な呼び名?があり過ぎてそこも混乱しています。

  • Pマーク取得と「添付ファイルにパスワード」問題

    PマークかJAPHICの取得を検討しておりまして詳しい方よろしければご教示いただけますとありがたいです。 個人情報をメールで送るときは添付ファイルにパスワードをかけているかどうか、というのが必須だそうなのですが、これは本当に審査で求められるのでしょうか? どう考えてもセキュリティ的に有効と考えられないので、普段やらないですし、今後もやりたくないです。 なお弊社ではファイル送信はDropboxでリンクを送っています。ダウンロード期限だけ設定しておりパスワードは設定していないです。 非合理だと思っても合格したければ、とりあえず従っとけ・・・ということになるのでしょうか。。

  • SOHOのPマーク取得の必要性と取得費用

    社員15名で、個人情報は5000件以上もっています。 このようなSOHOがPマークを取得する必要性はあるのでしょうか?(ないよりあったほうが良いのでしょうが・・・) 取得するメリットとデメリットを分かりやすく教えてもらえれば助かります。 また取得費用はどの程度でしょうか?

その他の回答 (1)

  • 回答No.1
  • h-seria
  • ベストアンサー率44% (198/442)

メリットとデメリットとして考えるのであればご指摘の取引先における御社の売り上げを考慮するべきではないかと存じます。 ご指摘の企業との取引に対する依存度が高い場合は取引先の要求を満たす為の企業努力は必要でしょうし、デメリットとして考えると言うのであれば取引が無くなる事を覚悟の上で現状体制で臨む事を相手企業に通達する事になるのでしょう。 ご指摘の文章を拝読する限り、相手先の企業は当然と言うべき要求を行っている様にも思えます。 情報は見えない環境下でプロテクトをかける必要があり企業努力として取引先が情報管理体制の向上を進める場合関係企業に対する同レベルのプロテクトを求める事は理不尽とはいえない状況であると考えられます。 相手企業が求める同レベルと言う体制を形で証明して欲しいと言う要求は、裏を返せば貴方の業務を1企業として捕らえていると言う事になり、企業対企業の場合に対する原則論から言葉上や信頼関係だけではなく責任の所在管理も含めた情報管理体制の確立を要求されていると言う事ではないかと思います。 >少々釈然としない気持ちでいます。 上記の様な意見ではなく企業として取引を続行する事が必要な場合には取引先企業に対する信頼と実績確保の為に要求には答える必要があるかもしれません。 企業間取引を行う場合、情報に関する業務であれば今後、情報をとりまく環境の変化に応じて益々形ある実証が求められる事態に遭遇する事になるのではないでしょうか… そんな気がします。 それでは。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

大変参考になるご回答、ありがとうございます。 少々誤解が生じている部分を感じましたので訂正させて頂きます。 基本的に弊社にとって、「現状体制で臨む」という選択肢はありません。 取引先の「Pマーク」の取得ための努力は必要であると考えております。 要するに、取引先の「Pマーク」の取得ために今後、一切生データの授受は禁止する、また、誓約書を提出する等は必要不可欠でしょう。 ところが、取引先の「Pマーク」の取得と関係のない弊社の内部統制までも、「Pマーク」の取得条件として盛り込まれているかどうかが質問の内容でした。 基本的には、取引先の顧客満足に応じることが使命でありますので、可能な限り要望には応じるつもりでおります。 もちろん、「Pマーク」の取得条件としてではなく、取引先の方針として、同等の管理体制が必須となるのであれば応じるつもりです。 その取引先の要求が、「Pマーク」の取得条件としてのものか、あるいは、取引先の方針としてものかを確かめる意味での質問でした(取引先は『「Pマーク」の取得条件として』とおっしゃってますが・・)。 乱文失礼いたしました。

関連するQ&A

  • プライバシーマーク(Pマーク)について

    下記のご質問にお答え頂けますでしょうか。 ご回答よろしくお願いいたします。 1.企業が個人情報を漏洩させてしまうとその事業者が「6カ月の懲役もしくは30万円の罰金」が課せられますが、Pマークを取得している企業が個人情報を漏洩させてしまうと懲役の年数・罰金の金額は軽減されるのでしょうか? Pマークを取得している企業は法的に守られるので、例え個人情報を漏洩させてしまっても罰則が軽減されると聞いたことがありますので。。 2.近年で個人情報を漏洩させて問題になった企業(有名な企業)を教えてください。又、その企業が罰せられた内容も教えてください 3.PマークとISMSの対象ついて Pマークは企業全体が対象で、ISMSはその企業の部署単位で取得可能ですが、審査時に対象となるのは、その部署のメンバーが企業全体の情報資産の管理をしていることを示さなければいけないでしょうか。もし、企業内で複数の部署がISMSを取得していれば、その企業の情報資産の管理が分担されるから部署毎の負担も減るものなのでしょうか? 対象がよく分かりません。。

  • Pマーク取得のための社内テスト

    Pマーク更新にともなって、従業員に対して個人情報の保護に関する簡単なテストを来月行う予定です。 前回までは○×形式の問題だったのですが、形式化していることもあり今回から穴埋め式(回答は選択式)で作成したいと思っています。 Pマーク取得の担当に今年度から任命され、どのような問題を作成したらいいかとても困っています。 参考になるサイト等ありましたら教えていただけますでしょうか? (問題と解答が両方のっているとありがたいのですが。。。)

  • Pマーク-対象範囲のあいまいなものについて

    宜しくお願い致します。 現在小規模の自社のため、独力でPマークの取得に取り組んでいます。 現在個人情報の棚卸し中なのですが、過去の見積もりや納品書などに付いている 社名や肩書き、氏名などは個人情報には当たらないのでしょうか。 また、名刺でも検索できるようになっていれば個人情報、そうでなければ該当しない、という認識で合っていますでしょうか? お詳しい方、宜しければご教授ください。 宜しくお願い致します。

  • 取引先担当者に個人情報を聞く

     上司に取引先担当者のフルネームと住所を聞いてくれないかと言われました。 相手の方とはプライベートのお付き合いはありません。 どういった目的でそういったことを聞くのかと聞いても答えてくれませんでした。 知らないしそういったことを聞くことはできないと答えたのですが・・・  時節柄、お中元を送るのかと思わないでもないのですが、取引先の職場には菓子折りを持ってご挨拶に回っています。 私にはどうしても非常識だと思えてならないのですが、個人情報を聞くこと、また個人宛に何かをすることが社会的に適当なのかどうかを教えて下さい。

  • Pマーク取得 建物の設備はどうしたらいいのでしょう

    社長と私二人だけの中小(小?)企業に勤務しているものです。 Pマーク取得しよう!との話が浮上したものの、会社のはグループ会社の間借り で事務所と建物の入り口の鍵も自宅のものよりも簡単な感じで、セキュリティゼロ 状態です。 ただ、今後移転を考えているためそのタイミングでしっかりセキュリティ強化とPマーク 取得にふさわしい設備に整えたいと思っておりますが、具体的にどの程度必要 なのか、ネット検索などしてもあまりしっくりきません。 ■現在(一応)あるものは:    ・鍵付き書類ロッカー    ・シュレッダー      …です。 個人情報を取り扱っているため、ロッカーには施錠をし、件数等は記録しています。 シュレッダーは会社の規模からするとかなり大きいものです。 入口のセキュリティ、事務所(PCなど個人情報を管理する部屋)等のセキュリティ、 使用する機器などに関しても具体的にどのようにしたらいいか、ご存知でしたら どなたかぜひ教えてください。

  • 取引先の送別会に伺うのですが・・・

    取引先の方が異動になられ送別会に出入業者を含む関係先(数社?)にもご案内をいただきお邪魔することになりました。 (私は出入り業者に属します) もちろん会費制ではありますが 贈り物、或いは 幾らかお包み(この場合寸志でしょうか?)するべきか、悩んでいます。 ご助言いただければ幸いです。 以下、取引先との関係、送別会の情報について ご説明します。 4~5年前から年に数度のお取引させていただくお客様です。 お目にかかる頻度も少なく個人的なお付き合いがあるわけでもありませんが、依頼連絡をくださるのが、今回異動される管理職の方(2名)です。 連絡の内容は、大体において顧客でイレギュラーな問題が発生した時に調査や調達、といったフレキシブル(便利やさん)な内容です。 今現在、丁度受注中の案件も抱えています。 送別会の会場は大きな宴会場もあるようなところです。 弊社以外の方の社外の方は当然、私よりずっと関係の深い方々だと推測されます。 お取引先様のスタッフは30人程度はいらっしゃいますが私の存じ上げているのは移動される方含め5人程度です。 当日は自分の会社の誰かを連れて参加することも出来ないので、一人参加です。 ご連絡を下さった方に、却ってお気遣いいただいては、とも思ったのですが、当日以外にお二人にご挨拶する機会がとれそうにない(あちらもこちらも)と推測されるので参加することにしました。 どうぞよろしくご助言お願いします。

  • Pマークの社内テストについて

    いつもお世話になっております。 Pマーク更新にともなって、従業員に対して個人情報の保護に関する簡単なテストが行われました。なのですが、個人情報保護責任者の部長さんより回答も渡されて、それを写すように指示が出されました。 これって不正ですか? バレたらPマーク取り消しなのでしょうか?

  • 取引先との守秘義務違反はどこまで?

    (1)取引先の連絡先は同じ課の社員に流すのは? 企業同士と言えど、対個人なのでしょうか。 上司の場合はよいとか、同じ役職の人同士だからよいとかあるのでしょうか。 例: 営業課私:管理課顧客情報リストに連絡先「常連さん」を登録。取引契約書を収納。 営業課佐藤氏:「常連さん様こんにちは、弊社取引先だから連絡させていただきました。」 取引先とはいえ見ず知らずの人から連絡が来るのは不適切か。 (2)相談電話をその話題の専門の別の会社の人に相談会社名を出して相談するのは? 取引契約していない案件だから会社名をを出しても構わないのでしょうか。 出来れば出さないほうがよいでしょうか。 例: 常連取引先A→私:今度太陽光パネル沢山仕入れたいんだけど、よい商品ある? 私→A:ちょっと詳しくないんで調べてみます。(実際は詳しいが) 私→常連パネル仕入れ先B:A社でこのような話があるのだけど、協力してもらえる? やはり企業名を出さずにすべきでしょうか。 企業名をだすことで問題になるのはなにでしょうか。

  • 会社の主要取引先銀行変更

    会社の主要取引先銀行変更がなった時には、顧客先、取引先へ主要取引先銀行変更の通知書(旧新の銀行情報記載して)を出すのが一般的だと思っていたのですが、上司は出す必要はないと言われました。 一般的な常識としてはどうなのでしょうか。

  • 派遣先の取引先での決まりごとはどこまで守るべきか?

    派遣先に個人情報おしえますか?http://oshiete1.goo.ne.jp/qa3668717.html でご意見いただいたものです。 お礼は順に書いていきます。 実は もうひとつ困ったことが起きました。 派遣先の取引先にマスコミの会社があります。 個人情報について 派遣で仕事し始めました。 取引先にマスコミがあり、(営業ではないのですが) お使いをたのまれます。 そのお使い先ですが マスコミなゆえ セキュリティーが厳しく出入りの業者に入館証を携帯させてます。 その入館証ですが、家の住所を入館証発行申請書にかかなくてはならないのです。 派遣の仕事なので、家の住所を仕事では公開したくないのですがどうしたらいいでしょう。 今の派遣は正社員のつかの間の代理人にすぎないので、 半年後には首きられます。 派遣先の正社員の人に入館証を作る手続きをしていただくので 結局その申請書を提出すること=派遣先にも 私の個人情報が流れてしまいます。 これでは 派遣でしごとをする意味がないです。 さらに派遣先の人も 「この派遣さん、どーせ半年後にはいなくなるけと゛入館証つくったほうがいいかしら?作った方がいいよね?」 みたいな話を正社員同士でしていたのを聞いて腹が立ったのて゛いやなのですが どうやって派遣会社にもおねがいしたらいいでしょうか ちなみにお使いが発生すること、お使い先の企業で 身分証明書が必要で その発行に個人情報を記載しなくてはならないこと は契約の時に聞いてません。 お使い自体は嫌ではないのですが 個人情報は徹底的に非公開にしたいです。