ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

委託先に個人情報を取り扱わせる際の契約事項

情報法

委託先に個人情報を取り扱わせる際の契約事項を考えると、意外と考えなければならない点があります。

 

利用

  • 利用目的の特定:委託業務に必要な範囲内に限る等
  • 目的外利用の禁止:目的外利用は原則禁止とするが、例外として、個人情報保護法上可能な目的外利用を禁止するか否かを決定。
  • 複製制限:複製を必要最小限に限り、かつ複製物も保護対象に。

提供

  • 提供制限:再委託先以外への提供不可とするか。司法機関・行政機関への法的義務に基づく提供等以外は、再委託についてもその他の提供についても許可制とするなど。司法機関・行政機関への法的義務に基づく提供等も事前連絡又は事後報告とするなども考えられる。個人情報保護法の提供制限と委託実務の整合を踏まえる。

再委託

  • 再委託:①禁止、又は②事前承諾制、又は③特定の再委託先のみ契約書で承諾、又は④事後報告制、又は⑤自由にOK。
  • 再委託先が問題等を生じた場合の委託先の責任。

従業者等の監督

  • 利用者の限定:必要最小限の役職員等。NDAに倣っても良い。
  • 従業員・委託先等の教育・監督・義務

安全管理

  • 漏えい時の対応・責任
  • 安全管理措置:通則GLや特定分野GLの項目ごとに規定!通則編GL3-4-4(1)で10の各項目について事前確認が必要であることに留意。組織体制を定めたり、責任者・担当者の指名・名簿管理等も考えられる。持出・作業場所・記録媒体管理・紙紛失防止・誤送信防止などにも留意。委託内容によっては正確性の確保(法22)にも留意。
  • 破棄・返却:復元できない廃棄又は返却。廃棄証明書等。

その他

  • 海外取扱い制限:事前承諾制とする、法32条1項4号・28条対応を誰がどのように行うか、必要な協力を行う等
  • 個人関連情報関連:個人データとして取得しない(精査要)
  • 取得:個人情報の取得元が委託元以外である可能性がある場合には適正取得保証、利用目的通知等を誰が行うかなどの対応が必要。
  • 開示等:委託元が対応するが必要な協力を行う。苦情等あれば、委託元に速やかに通知。
  • 法・GL:遵守。法改正・GL改訂時に必要な協力
  • 監査・報告徴収:監査・報告を受けて安全管理措置等を見直せることも規定すると良い。

 

通則GL3-4-4

https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-4-4

委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない(※3)。

(1)適切な委託先の選定
委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第23条及び本ガイドラインで委託元に求められるものと同等であることを確認するため、「10((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない

(2)委託契約の締結
委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい

(3)委託先における個人データ取扱状況の把握
委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい

また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい(※4)。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である。

 

金融分野GL第10条第3項

https://www.ppc.go.jp/files/pdf/230401_kinyubunya_GL.pdf

金融分野における個人情報取扱事業者は、個人データを適正に取り扱っていると認められる者を選定し委託するとともに、取扱いを委託した個人データの安全管理措置が図られるよう、個人データの安全管理のための措置を委託先においても確保しなければならない。なお、二段階以上の委託が行われた場合には、委託先の事業者が再委託先等の事業者に対して十分な監督を行っているかについても監督を行わなければならない

具体的には、金融分野における個人情報取扱事業者は、例えば、以下を実施すること。

① 個人データの安全管理のため、委託先における組織体制の整備及び安全管理に係る基本方針・取扱規程の策定等の内容を委託先選定の基準に定め、当該基準を定期的に見直さなければならない

なお、委託先の選定に当たっては、必要に応じて個人データを取り扱う場所に赴く方法テレビ会議システム等(映像と音声の送受信により相手の状態を相互に認識できる方法をいう。)を利用する方法を含む。以下同じ。)又はこれに代わる合理的な方法による確認を行った上で、個人データ管理責任者等が適切に評価することが望ましい

② 委託者の監督・監査・報告徴収に関する権限、委託先における個人データの漏えい等の防止及び目的外利用の禁止、再委託に関する条件並びに漏えい等事案が発生した場合の委託先の責任を内容とする安全管理措置を委託契約に盛り込むとともに、定期的に監査を行う等により、定期的又は随時に当該委託契約に定める安全管理措置等の遵守状況を確認し、当該安全管理措置を見直さなければならない

なお、委託契約に定める安全管理措置等の遵守状況については、個人データ管理責任者等が、当該安全管理措置等の見直しを検討することを含め、適切に評価することが望ましい

委託先が再委託を行おうとする場合は、委託元は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、委託先に事前報告又は承認手続を求め、かつ、直接又は委託先を通じて定期的に監査を実施する等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと及び再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。