|
<< FAQ一覧に戻る
Q4-1.システム更新の際ベンダーに個人データを預託し、AP開発、DBセットアップを業務委託する場合、当該ベンダーは「第三者」でしょうか?
「委託先」は「第三者」ではありません。従って業務委託する場合、個人情報保護法では、第三者提供に関する本人同意をとる必要はありません。但し、JISQ15001では、委託の有無を収集時に「通知」することになっていますから、貴社がプライバシーマークを取得予定で厳密に運用するとすれば「委託する旨を通知」してください。
<補足>
個人情報保護法とプライバシーマークの認証基準であるJISQ15001には相違点がいくつかありますが、これもその一例です。
つまり、個人情報保護法では委託先は第三者ではなく、目的達成の範囲であれば本人に通知することなく個人データを預託しても良いことになっています。
一方JISQ15001(プライバシーマーク)では収集時の通知項目の一つとして委託の有無を本人に通知し、同意をとることとなっています。
従って、プライバシーマーク取得を目指すのであれば、告知文に含めておいた方が良いでしょう。
<< FAQ一覧に戻る
|
