産業医や財団法人への個人情報委託について

こんにちは。

医師についてはJIPDECガイドラインにより契約締結、委託先管理は不要とされています。（下記参照）定期健康診断を行う財団法人については明確な指針がありません。調べてわかりましたら、再度投稿します。

http://privacymark.jp/news/2010/0917/index.html

＞トライトン様

こんにちは。
返信ありがとうございます！
ＵＲＬ、確認しました。
医師については、委託先管理は不要となっておりますね！

定期健康診断を行う財団法人については、自分でも調べてみてはいるのですが、答えが見付かっていません・・
もしわかりましたら、お教え下さい･･･！

恐縮ですが、どうぞよろしくお願いいたします。

私も気になったので、先般、Ｐマーク更新の現地審査の審査員の方に質問してみました。回答の主旨は以下の通りです。
Ｐマーク更新を目的としたご心配であれば、委託先として管理しなくても問題はないものと思われます。
当社も委託先として管理しておらず、更新するうえで指摘もありませんでした。

「医師個人に限らず、医療機関としても何らかの守秘義務
等が課せられていると思いますので特に問題ないと思う。ただ、医師ではなく医療機関の事務方に不安があるなら、何らかの調査等の実施を検討してもいい。要は、委託先で問題が発生したとき貴社が困らないように判断すればいい。
ちなみに、今まで審査させていただいた事業者の中に健康診断の委託先を委託先として評価されている事業者は皆無だった。」

＞トライトン様

おっしゃるとおり、Ｐマーク更新を目的とした心配なのです。
なるほど、健康診断を委託する委託先について、委託先管理する必要はなさそうですね。

Ｐマーク更新審査員からすれば、医師に限らず、法令によって守秘義務が課せられている業種の場合は、委託先としての管理はする必要はない、ということなのでしょうか。

当社は、郵便局(現：郵便事業㈱)に、顧客宛のダイレクトメールや商品荷物の配達を委託しています。
ゆうパック、冊子小包、ゆうメールで依頼しています。

郵便局についても、

「郵便法」第八条（秘密の確保）で、"会社の取扱中に係る信書の秘密は、これを侵してはならない。○２郵便の業務に従事する者は、在職中郵便物に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。"

法令で守秘義務が課せられているので、委託先管理は不要、と考えてよいものでしょうか？

度々の相談で恐縮ですが、ご意見頂ければ幸いでございます。

よろしくお願い申し上げます。

ayu*さん

ご紹介したガイドラインにあるように法規制で守秘義務が課されている場合は、委託先選定基準による選定は必要ない、ということで郵便局も同じ扱いでいいと思います。郵便局の立場から考えても各クライアントから契約締結、調査表提出などされるのは現実的でないとも言えますしね。
なお、当社ではヤマト、佐川など宅配業者に宛先データを渡して送付物を依頼していた時期には契約締結、委託先調査を行っていました。ひょっとしたらこれも不要だったかもしれません。その場合でも当社の雛型は受け入れられず、相手方標準の機密保持契約書を締結しました。
御社としても、健診機関、郵便局を委託先として認定はしておき、しかし法規制で守秘義務が課せられていることを根拠に契約締結、調査は省略する、と明文化し、管理責任者の承認をとっておけば、なおさらいいと思います。
当社における、先の現地審査では、メールサービス企業、データセンターなどは委託先として認識は行うよう指摘があり、同様な方法で対処しました。

＞トライトン様

こんにちは。

> 御社としても、健診機関、郵便局を委託先として認定はしておき、しかし法規制で守秘義務が課せられていることを根拠に契約締結、調査は省略する、と明文化し、管理責任者の承認をとっておけば、なおさらいいと思います。

なるほど、そうしておけば、「委託先として認識はしているが、法規制での守秘義務を理由に契約締結・調査を省略している」と説明ができますね。


度々ご回答いただき、本当にありがとうございます。
大変、助かりました！

お教えいただいたように、委託先管理を改善したいと思います。