取引先の企業がPマークを取っていて、その取引先の従業員が
5000人以上いる、ということですよね?
このような場合、個人情報保護に関しての責任は取引先にあります。
取引先があなた(の会社)に対して検査・指導や守秘義務契約の締結などを通して
取引先の社員と同レベルで個人情報の取り扱いを適切に行っている
ことを確認できればOKです。
取引先に求められない限り、必ずしもPマーク取得の必要はありません。
それから、当該システムと関連機材に個人情報が含まれていない場合には
何をしようとPマークに絡むお咎めはありません。
(監査員とコンサルタントがそう言ってました。口頭なのでソースは出せませんが)
http://www.jisa.or.jp/privacy/faq/faq-guideline03-j.html
こちらのQ38, Q39は、Pマーク取得者が個人情報を外部に預託する場合の例です。
外注先がPマークを取っている必要は無く、「十分な個人情報の保護水準を満たしている者を選定」すれば良いということですね。
また、蛇足ですが、システムをいじったとしても、取引先が持っている個人情報に触れることがなければ、Pマークとは無関係なのでまったく問題ありません。
1万人の顧客情が入っている歯医者さんの顧客管理システムを操作して自動メール送信システムを作る場合もですか?
必ずしもPマークを取得している必要は無いと思われます。
実際に、私が勤める会社は今でこそPマーク取得していますが、取得以前もPマーク取得企業のシステムに関わっていました。
ただし、情報(特に個人情報)漏洩について事前に契約を締結する事を求められる事が多いでしょう。
最近はPマーク取得企業が増えたこともあり、取得済みである事が取引条件になってきている会社も多いので、勿論Pマークを取得するに越した事はありません。
1万人の顧客情が入っている歯医者さんの顧客管理システムを操作して自動メール送信システムを作る場合もですか?
1万人の顧客情が入っている歯医者さんの顧客管理システムを操作して自動メール送信システムを作る場合もですか?