まず、委託は リスク が高いとの認識が必要かと思います(委託先管理は自社にあり)。 　JIS Q 15001 でも 個人情報保護保護法 でも同じですが、何故「委託先管理」の項目が、 「安全管理」とは別立てになっているかということを考えると、 委託自体がリスクなんだと思います。 社内での作業と違って

• 目が行き届かない
• セキュリティレベルが自社より高いとは限らない
• 自社以外の物件もあり、搬入などで同業他社が立ち入ることもあり得る
• 　　　：

　防衛庁や郵政公社での事故では、委託先の方が注目を浴びましたが、 「何故その会社を選んだのか？」というように、 委託元の方の責任が全くないわけでもないかと思います。 コストや納期ばかり焦点を当てていては、 結果的に「安かろう悪かろう」ということになるかもしれません。 セキュリティ要件も含めたコストバランスに拠って 委託先を選定 しないといけないかと思います。 オフショアで委託先が海外の事業者のケースを考えた場合、 両者の適用法律が違うために、 もしかしたら委託先に損害を請求できないケースも出てくるかもしれません。 よって、

• 委託契約雛型
• 委託先選定基準 と判断基準
• 委託先の実施状況の確認の有無

• プライバシーマークを取得していること

　評価基準の面で見ると、例えば 安対制度 では細かい実施基準が書かれてあったので、 認定のための「ものさし」は、 事業者の規模とか業務内容が異なっても不変で共通だったと思います。 ただし、マネジメントシステムの規格では、 業種や規模と共に “リスクに応じて”ものさしが変わるので、 認定しているか否かだけでは詳細のことはわからないと思います。 そもそも委託については、

• 委託物件は委託元に管理責任がある
• JIS よりも委託契約(民法)が優先する
• 上記２つの理由により、 JIS Q 15001:1999 の 4.4.2.5 では適用除外になっている(と解説 3.9 を読む限り、そういう風にも読める)

• 個人情報の大切さがわかる
• コンプライアンス・プログラム(CP) の遵守が身に染みている
• 秘密保持の締結について拒否反応がない

　最後に、委託先選定基準は１個だけではなく、 委託の目的や用途やセキュリティレベルなどに合わせて何種類か用意する必要があるでしょう。 また、委託契約書には、JIS Q 15001 に書かれていること以外に、 「監査を行う権利」も盛り込んでおいた方がいいでしょう。