サーバの保守運用を外注する際の保守委託契約の留意点
IT・情報セキュリティ当社では、サーバの保守運用を外部の業者に委託しています。保守委託契約書をレビューする際にどこに気をつけたら良いでしょうか。
サーバ内のデータに個人データやマイナンバーが含まれている場合、ガイドラインに従った契約とする必要があります。また、客先常駐型の契約やシステムエンジニアリングサービス契約(SES契約)である場合には、偽装請負とならないように注意が必要です。
解説
目次
サーバ内に個人データやマイナンバーが含まれている場合には、保守委託契約が個人情報保護法またはマイナンバー法が定める「委託」に該当する場合と該当しない場合で契約条項の建て付けが変わってきます。また、偽装請負と判断されないような報酬の定め方や運用が必要となります。
これらを踏まえ、本Q&Aでは、保守委託契約をレビューする際のポイントを解説します。
個人情報保護法に基づく対応
個人情報保護法が定める「委託」に該当する場合とは
個人情報保護法22条が定める「委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいいます(個人情報保護委員会「個人情報の保護に関する法律ついてガイドライン(通則編)」(以下「通則ガイドライン」といいます)3-3-4 (※1))。
したがって、個人データの取扱いの委託は行われていないと評価できますので、個人情報保護法上の委託には該当しません(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」(以下「Q&A」といいます)「Q5-35」)1 。
- 委託契約の条項等によって受託者が個人データを取り扱わない旨が定められており、
- 適切なアクセス制御が行われている場合 等
個人情報保護委員会のQ&Aでは、保守サービスが委託にあたる場合とあたらない場合の具体例として以下があげられています(「Q5-35」)。
① 個人データを用いて情報システムの不具合を再現させ検証する場合
② 個人データをキーワードとして情報を抽出する場合
③ システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
④ 保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合
⑤ 保守サービスの受付時等に個人データが保存されていることを知らされていない場合であって、保守サービス中に個人データが保存されていることが分かった場合であっても、個人データの取得を防止するための措置が講じられている場合
⑥ 不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
⑦ 不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人データを再現しないこと等が契約等で明確化されており、再現等を防止するための措置が講じられている場合
⑧ 個人データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
以上に関して、実務的に問題になるのが、通常は個人データを取り扱わないが、例外的に個人データを取り扱っていると評価できる可能性がある作業を行うことがあるケースです。
たとえば、サーバのハードウェアやインフラの保守運用を委託しているケースで、通常は個人データが含まれているデータそのものを取り扱うことはないとされているが、障害発生時にバックアップデータからの復旧を行うことがあり、その際には、個人データが含まれているデータを外部媒体からサーバのHDDにコピーする作業を行ったり、データの検証を行う可能性があるような場合です。
このような場合が、個人情報保護法上の委託にあたるでしょうか。
これを考えるにあたって大きなヒントを与えているのが、上記④です。④は「保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合」には、委託にあたらないとしています。
要するに、委託先の技術者等が、個人データを「取得」(記録・印刷等)してしまう事態を防止する措置を講じているのであれば、「閲覧」可能であったとしても、それは「委託」にはあたらないとされていることになります。
したがって、この措置を契約と運用で盛り込んでおけば、委託にあたらないことになります。バックアップデータから復旧する際に個人データが含まれているデータを取り扱う可能性がある場合には、たとえば、委託元の担当者が必ず立ち会うようにしたうえで、作業そのものが記録される状態に置いておく、といった措置を契約で定めて運用すれば、委託にはあたらないと考えることができるものと思われます。
- 第◯条(甲による立ち会い)
乙は、別紙◯記載の「◯.バックアップデータからの復旧」の作業を行う際には、事前に第◯条に従って甲に通知するとともに、甲の立ち会いの下で作業しなければならない。
個人情報保護法の「委託」にあたる場合の契約条項
(1)委託先に対する「必要かつ適切な監督」
個人情報保護法の委託にあたる場合、個人情報保護法22条に従って、委託先に対する「必要かつ適切な監督」を行う義務があります。
第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
具体的には、通則ガイドライン2に従って、以下の義務を果たす必要があります(通則ガイドライン3-3-4)。
(2)委託契約の締結
(3)委託先における個人データの取扱状況の把握
ここで問題になるのが、(1)~(3)をどの「深さ」まで行うかですが、この点について、通則ガイドライン3-3-4には以下のとおりの記載があります。
つまり、以下のa~dなどの「リスクに応じて」行うことが求められており、それで十分とされているのです。
b. 個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさ
c. 委託する事業の規模及び性質
d. 個人データの取扱状況(取り扱う個人データの性質及び量を含む。) 等
たとえば、「個人データが漏えい等した場合に本人が被る権利利益の侵害の大きさ」(上記b)は、委託する個人データの内容によって大きく異なるはずです。漏えい等した場合に本人が大きなダメージを被ることになる要配慮個人情報やクレジットカード番号などの高リスクな個人データの委託については極めて厳密な措置を講じ、リスクがそれほど高くない個人データの委託についてはその程度に応じた措置を講じるといったように、「深さ」は適切に変えることができるとされています。
(2)安全管理措置に関する契約条項
以上を踏まえ、契約において注意すべき点を検討します。
まず、通則ガイドライン3-3-4によれば、「(1)適切な委託先の選定」としては、委託先の安全管理措置が、委託元に求められている安全管理措置と同等以上であることを確認する必要があるとされています。また、「(2)委託契約の締結」としては、「委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。」とされています。
以上の(1)および(2)を併せて考えると、高リスクな情報の取扱いを委託する契約であれば、通則ガイドラインが定める安全管理措置をチェックリストにして委託先候補に渡して記入してもらい、その結果を契約書に添付して、「別紙記載のとおりの安全管理措置を講じるものとする」といった厳しい条項にすることが考えられるでしょう。
他方、低リスクな情報の取扱いを委託するだけであれば、関連法令やガイドラインに従った取扱いを義務づける条項を設けることで足りるケースもあると思われます。
第◯条(安全管理措置)
乙は、本件業務の遂行にあたり、別紙【ガイドラインの安全管理措置を列挙したものを想定】に記載したとおり、個人情報保護法及び関連法令等に従い、本件個人情報の漏えい、滅失又はき損(以下、「漏えい等」という。)の防止のために合理的と認められる範囲内で、組織的、人的、物理的及び技術的な安全管理のために必要かつ適切な措置(以下、「安全管理措置」という。)を講じなければならない。
2.乙は、別紙に記載した事項に変更があるときは、速やかに当該変更事項を様式Aに従って甲に報告しなければならない。
3.乙が講ずる安全管理措置が不十分であると甲が合理的に認めるときには、甲及び乙は、本件業務の内容、規模及び対価を考慮し、安全管理措置の内容について協議を行うものとする。
【低リスクな場合の条項例】
第◯条(安全管理措置)
乙は、本件業務の遂行にあたり、個人情報保護法及び関連法令等に従い、本件個人情報の漏えい、滅失又はき損(以下、「漏えい等」という。)の防止のために合理的と認められる範囲内で、組織的、人的、物理的及び技術的な安全管理のために必要かつ適切な措置(以下、「安全管理措置」という。)を講じなければならない。
(3)委託先における個人データの取扱状況の把握に関する契約条項
次に、「(3)委託先における個人データの取扱状況の把握」については、「委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。」とされています。
委託契約を締結する際に、監査条項を入れるかどうかが問題になることがありますが、個人情報保護法の通則ガイドライン上は、「定期的に監査を行う」ことは、「等」と記載されていることからわかるとおり例示であり、「望ましい」と記載されているとおり義務ではありません。つまり、監査条項は、ガイドライン上、例示されたうえで「望ましい」とされているため義務ではない条項、ということになります。したがって、高リスクの場合には条項に盛り込むこととし、低リスクの場合にはそこまで要求しない、といった対応になるのが一般的です。
中程度のリスクの場合には年に1回取扱状況についての報告をさせる条項を入れる、低リスクの場合には情報漏えい等の事案が発生した場合に報告させる条項のみとする、といった契約条項にすることが考えられます。
| 条項例 | 高リスク | 中リスク | 低リスク |
|---|---|---|---|
| 第◯条(漏えい事案等の発生時の対応) 乙は、本件個人情報の漏えい等の事案が発生し、又は発生したおそれがある場合には、直ちに甲に報告するものとする。このとき、甲及び乙は、事故の拡大又は再発を防止するために合理的に必要と認められる措置を講じなければならない。 |
◯ | ◯ | ◯ |
| 第◯条(取扱状況の報告) 乙は、甲に対し、本契約締結日から1年が経過するごとに、安全管理措置の実施状況及び本契約内容の遵守状況について様式に従って報告しなければならない。 |
◯ | ◯ | - |
| 第◯条(実地調査) 甲は、安全管理措置の実施状況を確認するために必要な限度において、乙に対する書面による事前の通知により、実地の調査の受入れを求めることができる。この場合、乙は、事業の運営に支障が生ずるときその他の正当な理由がある場合を除き、甲の求めに応じるものとする。 |
◯ | - | - |
個人情報保護法の「委託」にあたらない場合の契約条項
個人情報保護法の「委託」にあたらない場合、当該個人データについて自らが管理するものとしての安全管理措置義務(個人情報保護法20条)を負うこととなりますから、注意が必要です(Q&A「Q5-34」)。
つまり、委託にあたれば委託先の監督の義務を果たせば足りますが、委託にあたらない場合、自社で管理していることになりますので、自らが安全管理措置を果たさなければならないのです。
したがって、契約としては、結局、委託にあたる場合と同様になると考えられます。すなわち、自らが安全管理措置を果たさなければならないため、結局のところ、①適切な安全管理措置を果たしている委託先を選定し、②安全な管理措置を遵守するような委託契約を締結し、③委託先における個人データの取扱状況の把握をしなければなりません。
再委託に関する条項
また、通則ガイドライン3-3-4では、再委託について以下のとおり記載されています。
これを踏まえると、再委託に関する条項を検討するにあたってのポイントは以下の3点になります。
(1) 再委託を行う際の契約条項
まず、再委託を行う際には、(i)委託先からの事前通知を義務づけるか、あるいは(ii)委託元の事前承諾を条件とする条項が「望ましい」ことになります。高リスクの場合には(ii)の条項とするのがよいでしょう。
第◯条(再委託)
乙は、本件業務の遂行上、本件個人情報の取扱いの全部又は一部を第三者(以下、「再委託先」という。)に委託(以下、「再委託」という。)する場合には、甲に対し、再委託する旨、再委託先の名称及び住所、並びに再委託する業務内容を事前に書面により通知し、甲の書面による許諾を得るものとする。
【低リスクな場合の条項例】
第◯条(再委託)
乙は、本件業務の遂行上、本件個人情報の取扱いの全部又は一部を第三者(以下、「再委託先」という。)に委託(以下、「再委託」という。)する場合には、甲に対し、再委託する旨、再委託先の名称及び住所、並びに再委託する業務内容を事前に書面により通知するものとする。
(2)再委託先の監督
次に、再委託先の監督については、(i)委託先が再委託先に対して定期的に監査を行うか、あるいは(ii)委託元が自ら定期的に監査を行うといった条項を設けることが「望ましい」ことになります。もっとも、実務的には、定期的な監査を行う条項を盛り込むのは、前記1-2(3)で述べたとおり、高リスクの場合ということになると思われます。
| 条項例 | 高リスク | 中リスク | 低リスク |
|---|---|---|---|
| 第◯条(再委託) 2.乙は、再委託する場合、再委託先に対して、第◯条に定める安全管理措置その他の本契約に定める乙の義務と同等の義務を課すとともに、必要かつ適切な監督を行わなければならない。 |
◯ | ◯ | ◯ |
| 3.甲は、乙に対し、前項の監督の内容及び状況について、適時に報告を求めることができる。 | ◯ | ◯ | ー |
| 4.乙は、再委託先との委託契約において、再委託先に対して、第◯条が定める実地の調査と同等の調査を甲が再委託先に対して直接行うことができる旨を義務づけなければならない。 | ◯ | ー | ー |
(3)再委託以降の条項
さらに、再委託だけではなく、再々委託以降も同様とする条項が必要となります。
再委託先が再々委託を行う場合以降も、乙は、再々委託先以降に対し、本条が定めるものと同等の義務を課し、監督を行うものとする。
損害賠償に関する条項
2014年に発生した大手通信教育事業会社からの大規模な個人情報漏えい事件では、システム開発の再々委託先の従業員が情報を漏えいし、委託元の会社は260億円もの特別損失を計上するに至っています。
参照:株式会社ベネッセホールディングス「特別損失の計上に関するお知らせ」
このような事例を踏まえると、責任制限条項・免責条項をどこまで盛り込むかは、契約交渉の際の大きなポイントということになります。
また、情報漏えいの損害保険でカバーするこということも考えられるでしょう。
第◯条(損害賠償)
乙は、自己の責に帰すべき事由により、本件個人情報の漏えい等の事故が発生し、甲に損害が生じた場合、[乙の本契約に違反する行為の直接の結果として現実に生じた通常の損害に限り、損害発生の原因となった本件業務[に関する受領済みの対価][に関する◯か月分の対価相当額]を上限として、これを賠償する責任を負うものとする。
マイナンバー法に基づく対応
保守委託契約の対象となるデータに個人番号・特定個人情報(以下「マイナンバー」といいます)が含まれている場合、上記の個人データの取扱いの考え方をベースにしつつも「上乗せ」の措置が必要となります。
まず、「委託」(マイナンバー法11条)にあたる場合とあたらない場合の区別は、個人データの委託と同様です(上記1-1参照)。
次に、委託にあたる場合に必要とされる監督の内容は、「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」第4-2で以下のとおりとされており、個人データの委託と基本的には同じ内容です。
- 委託先の適切な選定
- 委託先に安全管理措置を遵守させるために必要な契約の締結
- 委託先における特定個人情報の取扱状況の把握
ただし、②について、契約内容に含めなければならない規定がガイドラインで定められている点が、大きく異なっています。
- 秘密保持義務
- 事業所内からの特定個人情報の持出しの禁止
- 特定個人情報の目的外利用の禁止
- 再委託における条件
- 漏えい事案等が発生した場合の委託先の責任
- 委託契約終了後の特定個人情報の返却又は廃棄
- 従業者に対する監督・教育
- 契約内容の遵守状況について報告を求める規定 等
- 定個人情報を取り扱う従業者の明確化
- 委託者が委託先に対して実地の調査を行うことができる規定 等
マイナンバーの取扱いを委託する契約については、上記の条項が含まれているかどうかがレビューの際のポイントとなります。
さらに、マイナンバー法は、再委託以降についての規律が、個人情報保護法とまったく異なります。具体的には、マイナンバー法では、法律上、再委託以降については、最初の委託者の許諾が必要であるとされています。
したがって、マイナンバーの取扱いを委託する契約については、再委託以降については、必ず、事前に最初の委託者の許諾を必要とする条項としなければなりません。
偽装請負と評価されないためのポイント
保守委託契約が偽装請負であると評価されないようにすることにも留意が必要です。
保守委託契約では、契約締結時には具体的な作業内容が特定できず、一定時間以内の作業について○円といった料金体系となることが考えられますが、このような場合には特に注意が必要です。
偽装請負と評価されないためのポイントは、厚生労働省「労働者派遣事業と請負により行われる事業との区分に関する基準」(昭和61年労働省告示37号)に記載されていますので、これに従う必要がありますが、保守委託契約についての主要なポイントは以下のとおりです。
- まず、委託先事業主が労働者の作業指示・勤怠指示を行い、委託元はこれを行わない旨を明記します(もっとも、作業場所などは、契約の時点では、ある程度特定しておけばよいと考えられます)。委託元が作業指示をする場合には、委託先事業主の管理責任者に対して作業指示等を行うことにします。
- また、委託料を時間で定めるとしても、その際の算定根拠を人数×単価×労働時間としないように注意します。
- さらに、保守作業を行うための機器等は、委託先が所有する機器を使用するか、機器等の購入・借入れの契約は保守契約とは別途契約することとします。
保守の範囲についての条項
保守委託契約は具体的な作業内容が特定できないケースも多いところですが、契約締結の段階で、できる限り作業内容を特定しておくことがトラブル防止にとって重要です。
対象となるシステムを特定することは通常行われていると思われますが、そのシステムに関する作業の内容についても、「保守」ではなく「改善」にあたる作業については別途費用を徴収する規定を設けることや、バグや脆弱性の修正についてどこまでが無償でどこからが有償かを明確にする規定を設けることが重要です。
たとえば、ソフトウェアシステム納入後のバグについては、当該ライセンス契約やシステム開発契約の瑕疵修補期間内は当該契約により無償となることを確認しておくことや、脆弱性対応については納品時に既知のものについては無償とし、それ以降のものについては有償とするなどの切り分けをする条項が考えられます。
第◯条(脆弱性への対応)
本システムにおけるセキュリティ上の脆弱性は、第◯条に定める修補請求に従って取り扱うものとする。ただし、第◯条が定める引渡時において既知の脆弱性については、乙は無償で適切な措置を講ずるものとする。[なお、脆弱性への対応に過分の費用を要する恐れのある場合には、甲及び乙は別途協議するものとし、両者の合意に基づき対応するものとする。]
その他の条項
その他、保守契約に関する一般的な条項については、経済産業省「情報システムの信頼性向上のための取引慣行・契約に関する研究会」~情報システム・モデル取引・契約書~(受託開発(一部企画を含む)、保守運用)〈第一版〉」に、「情報システム保守運用委託基本モデル契約書」が記載されています。契約書のレビューの際には参考にするとよいと思われます。
牛島総合法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 訴訟・争訟
- ベンチャー