|
<< FAQ一覧に戻る
Q3-9.情報産業分野でデータセンターを運営しています。顧客企業から業務委託に伴って預託された個人データと当社の保有個人データを、当社の個人情報保護体制や仕組みの中で同一に扱うべきでしょうか?
貴社も顧客企業も個人情報取扱事業者であるとの前提で考えれば、受託業務内にある個人データは貴社が個人情報取扱事業者たるかどうかを決める5,000件に含めるべき個人データであり、当然貴社が保護義務を負う個人データです(但し開示や修正、利用停止に応じる権限を持つ「保有個人データ」ではありません)。その保護レベルは委託元企業と契約(委託契約、秘密保持契約、個人情報覚書、SLA:サービスレベルアグリーメント等)で取り決められているはずです。
また、JISQ15001では、企業で保有する個人情報全てについて均一・同一の扱いをすることを要求していません。具体的にそれぞれの個人データの機密性、完全性、可用性などを確保することを推奨するものです。顧客企業から受託した個人データと貴社内の個人データを同様に扱うかどうかは、前述の契約内容や個人情報の価値やリスクを把握し、業務の遂行過程でどのような脅威や脆弱性に直面しているのか、また、それぞれの情報の情報主体本人と顧客企業、更に貴社の関係を考慮し個別に扱うべきと考えます。
特にデータセンターによるアウトソーシングビジネスが貴社のコア事業であるなら、受託業務に伴う個人データは自社データよりも数段高いレベルのセキュリティ基準で取り扱いをすることをお勧めします。
<< FAQ一覧に戻る
|
