改正個人情報保護法に対応した個人情報委託契約書はどのように作成するべきか
IT・情報セキュリティ改正個人情報保護法に対応した個人情報委託契約書はどのように作成するべきでしょうか。
平成28年10月4日に公表された「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」3-3-4 (委託先の監督)において「必要かつ適切な措置」として、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握が求められます。
詳細は以下の解説と、末尾に掲載した契約書の例を参照ください。
解説
個人情報保護法ガイドライン(案)の公表
個人情報保護法22条においては、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」と規定されていますが、この規定については個人情報保護法の全面改正においても改正はありません。
平成28年10月4日に公表された「個人情報の保護に関する法律についてのガイドライン(通則編)(案)」3-3-4 (委託先の監督)においては、「必要かつ適切な措置」として、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握が求められています。
適切な委託先の選定
「①適切な委託先の選定」については、「委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第20条及び本ガイドラインで委託元に求められるものと同等であることを確認するため、「8((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。」とされています。
委託先における個人データ取扱状況の把握
「③委託先における個人データ取扱状況の把握」については、「望ましい」として努力義務ではありますが、以下の事項が求められています。
( i ) 委託先における委託された個人データの取扱状況を委託元が合理的に把握すること(定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含む。)
( ii ) 委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認すること
( a ) 委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと
( b ) 委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等
個人データの委託契約には何を盛り込むべきか
個人データの委託契約に盛り込む内容は、特定個人情報(個人番号を含む個人情報)の委託先の監督(番号法11条)に関して、「特定個人情報の適正な取扱いに関する ガイドライン(事業者編)」第4-2-⑴において定める委託契約の内容(下記)に比べるとシンプルな内容です。
- 秘密保持義務
- 事業所内からの特定個人情報の持出しの禁止
- 特定個人情報の目的外利用の禁止
- 再委託における条件
- 漏えい事案等が発生した場合の委託先の責任
- 委託契約終了後の特定個人情報の返却又は廃棄
- 従業者に対する監督・教育
- 契約内容の遵守状況について報告を求める規定
- 特定個人情報を取り扱う従業者の明確化(努力義務)
- 委託者が委託先に対して実地の調査を行うことができる規定(努力義務)
しかしながら、特定個人情報に関する委託契約の内容は、個人データ一般においても規定することが望ましい事項ですので、以下の契約書例においてはこれらの事項も盛り込んでいます。
なお、ガイドラインにおいては、再委託について「事前の報告」または「事前の承認」とされていますが、事前の報告では再委託先のコントロールが不十分となるおそれがあるので、例では、「事前の承諾」としています。
個人情報委託契約書の例
個人情報委託契約書の例は以下を参照ください。
- 関連書籍
- これ一冊で即対応 平成29年施行改正個人情報保護法 Q&Aと誰でもつくれる規程集
- 著者:渡邉雅之
- 定価:本体:2,600円+税
- 出版社:第一法規株式会社
無料会員にご登録いただくことで、続きをお読みいただけます。
90秒で登録完了
弁護士法人三宅法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 人事労務
- 危機管理・内部統制
- ファイナンス
- 国際取引・海外進出
- 訴訟・争訟
- 不動産
- 資源・エネルギー
- ベンチャー