個人情報の収集やAI分析を外部事業者に依頼する場合の「委託」の考え方と注意点
IT・情報セキュリティ当社(委託元)は、外部事業者(委託先)に委託のうえで、当社顧客から個人情報(個人データ)を収集し、そのAIによる分析結果のみを受領したいと考えています。この場合、個人情報保護法上、「委託」にあたるのでしょうか。また、委託にあたる場合、同法上、どのような点に注意したらよいでしょうか。
委託元が、委託先が取り扱うデータの中身をまったく把握していない場合であっても、委託契約上、委託先によるデータ利用が制限されている場合には、個人情報保護法の「委託」に該当する可能性があります。この場合、委託元は安全管理措置の一環として、委託先の監督義務を負いますので、データの性質に応じた管理体制を整えることが重要です。
また、委託先による委託の範囲を超えるデータ利用は、第三者提供や契約違反に該当するおそれがありますので、そのような事態が生じないようデータ利用の範囲は適切に設定する必要があります。加えて、委託先による突合等は、委託の性質上、実施できません。
そのほかにも、①安全管理措置に関する情報の開示、②外国にある事業者への委託、③漏えい等の際の対応義務、④保有個人データへの対応義務などの点について、目を配る必要があります。
解説
目次
- 本稿における個人情報保護法の条文番号は、2022年4月1日施行の令和3年改正個人情報保護法における条文番号を意味します。
- 本稿において引用するガイドラインは、「個人情報の保護に関する法律についてのガイドライン(通則編)」(平成28年11月、令和3年10月一部改正)を指します。
個人情報保護法における「委託」の位置づけ
ある個人情報取扱事業者(委託元)が、第三者(委託先)に対し、個人データの取扱いを「委託」する場合、委託先は、個人情報保護法27条1項の「第三者」に該当しません(同法27条5項1号)。したがって、①同意取得・オプトアウト手続および②トレーサビリティ規制の対応は不要です。そのため、外部事業者への個人データの提供が想定され、かつ、本人からの同意取得が困難な場合に「委託」構成の採否を検討することは、実務上、少なくありません。
「委託」該当性
「委託」とは、「契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせること」をいい、その例として「個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等」があります(個人情報保護法ガイドライン通則編3−4−4)。
もっとも、具体的な場面で、ある個人データの取扱いが「委託」に該当するのかが問題になることがあります。
委託元に個人データへのアクセスが限定されている場合
たとえば実務では、企業が外部事業者に対して(店内カメラなどにより)個人データの収集および分析を依頼し、外部事業者がAIなどを用いて分析した結果のみの提供を受けるというスキームを構築する場合があります。このような事案では、委託元が受領するのは非個人情報である解析結果であるため、そもそも、個人データの取扱いを委託していないのではないかということが問題になりえます。
この論点について、個人情報保護委員会は、外部事業者のみが個人データを取扱い、依頼元の事業者が一切個人データの取扱いに関与しない場合は、「通常、当該個人データに関しては取扱いの委託をしていないと解されます」として、外部事業者自身が個人データの取扱主体になると説明しています。
一方、次のいずれかに該当する場合には、委託をしていると評価しうる旨述べています(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A(以下、Q&A)」(令和4年4月1日更新)A7−36)。
- 委託元が個人データの内容を確認できる場合
- 契約上、委託元に個人データの取扱いに関する権限が付与されている場合や、委託先における個人データの取扱いについて制限が設けられている場合
そのため、個人データの取扱いにあたって「委託」構成の採否を検討する際には上記の各観点も踏まえて検討することが重要であり、設例のケースでも、委託元が取り扱われる個人データにアクセス可能か、また、具体的にどのような取扱権限が委託先に与えられているかにより、委託該当性が左右されることになります。
実務上は、設例のケースでは、委託先によるデータ利用に制限をかけることが少なくありません。このような場合には、仮に、委託元が、委託先が収集する個人データの内容を把握していなくても、全体として、個人データの取扱いを委託していると評価されるでしょう。他方、委託元が、委託先の収集した個人データを確認できず、かつ、当事者間の契約においても、委託先による個人データの取扱いが定められていないような場合には、委託に該当しないことになるでしょう(この場合には、委託先から委託元へのデータ移転は第三者提供に該当する場合があるでしょう)。
委託先による個人データへのアクセスが限定されている場合
設例とは離れますが、たとえば、配送事業者や通信事業者等といった外部事業者は、配送や通信を依頼された中身について詳細を把握していないことから、中身にあたる個人データの取扱いに合意している場合等を除いては、配送や通知などは、一般的には委託に該当しません(Q&A A7−35)。
また、委託は第三者「提供」の存在を前提とするため、そもそも「提供」行為がなければ、委託の該当性を検討する実益は多くはありません。特に、クラウドサービスについては、同サービスの提供事業者において個人データを取り扱わないことになっている場合、具体的には、①契約条項によって、委託先がサーバに保存された個人データを取り扱わない旨が定められており、②適切にアクセス制御を行っている場合等には、「提供」にはあたらず、ひいては委託にも該当しません(Q&A A7−53)。このことは単純なハードウェア・ソフトウェアの保守サービスにも該当します(Q&A A7−55)。
「委託」の方法
委託元は、委託元自らが講ずべき安全管理措置と同様の措置を委託先が講じられるように、監督責任を負います(個人情報保護法25条)。この監督責任は「取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)などに起因するリスクに応じて行うべき」とされています(Q&A A5−11)。
安全管理措置としては、一般に委託契約1を締結し、かつ実質的にも監督を行うことが求められますが、前者については、「委託元・委託先の双方が安全管理措置の内容について合意をすれば法的効果が発生」するため、「当該措置の内容に関する委託元・委託先間の合意内容を客観的に明確化できる手段であれば、書式の類型を問」わないと解されています。(Q&A A5−8)。
また委託元は、実質的な監督を行えれば足り、立入検査などの監査条項を含めることは必須ではありません(Q&A A5−9)。加えて、委託元の内規を遵守するよう覚書を締結する必要が常に必要となるわけでもありません(Q&A A5−11)。
委託先による利用範囲
委託による場合、委託先は、委託元から委託された範囲内でのみ、委託された個人データを取り扱うことができます。仮に委託された範囲を超える場合には、委託元から委託先へのデータ移転は、委託によるものではなく、法令または解釈等による例外的な場合を除き、第三者提供に該当するため注意が必要です。また、私法上の効果として委託契約違反による法的責任を負う場合もあるでしょう。
個人情報保護委員会のガイドラインやQ&Aでは、次の各場面を「委託された業務以外に当該個人データを取扱う事例」に該当し、委託として処理できない場面と整理しています。
- 自社の営業活動等のために利用すること(Q&A A7−37)
- 委託された業務の範囲を超えて統計情報や匿名加工情報に加工すること(Q&A A7−38およびA15−19)
- 委託元の利用目的の達成に必要な範囲を超えて、委託元から提供された個人データを自己の分析技術の改善のために利用すること2(Q&A A7−39)
- 委託元から取扱いの委託を受けた個人データを利用して取得した個人データを、委託された業務以外に利用すること(Q&A A7−40)
- 委託に伴って提供された個人データを、委託先が独自に取得した個人データまたは個人関連情報と本人ごとに突合すること(Q&A A7−41)
加えて、複数事業者の個人データを取り扱う場合にも、次のとおり、いくつか留意点があります。分別管理や突合禁止がその主な内容ですが、これらは、委託の本質的な要素であり、仮に委託元が委託先に対して、個人データの混在した管理や突合を許可した場合であっても、委託の枠組みのもとでは許容されない可能性が高いでしょう。
なお、突合については、個人データ間の突合のみならず、委託に伴って提供された個人関連情報との突合が禁止されている点には留意が必要です。個人関連情報は、個人情報、匿名加工情報および仮名加工情報のいずれにも該当しない生存する個人に関する情報(個人情報保護法2条7項)を意味する幅広い概念です。そのため、委託により受領した個人データについては、基本的に突合できないものとしてスキーム構築をすることが必要でしょう。
- 委託先は、その分別管理をしなければならない(Q&A A7−37事例2)。
- 各委託元から委託に伴って提供を受けた個人データを本人ごとに突合することはできない(Q&A 7−43①)。ただし、複数の提供先からの指示に基づきこれら提供先から提供された個人データを、本人ごとに突合することなく、サンプルとなるデータ数を増やす目的3で合わせて1つの統計情報を作成することは可能である(Q&A A7−43②)。
- 複数の会社から匿名加工情報の作成の委託を受けた場合、各個人情報の取扱い及び匿名加工情報の作成については、各委託者の指示に基づきその範囲内で独立した形で行う必要があり、異なる委託者から委託された個人情報を突合したり、組み合わせたりすることはできない(Q&A A15−18)。
設例のケースでは、委託先による取扱いの範囲は、委託元との間の委託契約で制限されることになりますので、その範囲設定については疑義がないようにすることが重要でしょう。特に実務では、委託先がベンダである場合、自己の分析技術の改良利用の可否が問題になることが少なくありませんが、委託元の利用目的の達成に必要な範囲を超えるような利用の場合には、委託ではなく第三者提供に該当する可能性もあるため注意が必要です。
その他「委託」にまつわる留意点
安全管理措置に関する情報の開示
令和2年改正により、個人情報取扱事業者は、原則として、個人データに関して講じた個人情報保護法23条の安全管理措置の内容を「本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)におくこと」が求められるようになりました(個人情報保護法32条、個人情報保護法施行令10条)。そして、個人情報保護法24条の従業者監督および同25条の委託先監督義務は、安全管理措置が具体化したものであり、上記の開示対象に含まれます(Q&A 9−4)。そのため、委託先に求めた安全管理措置の内容については、委託元が、本人の知り得る状態に置く必要があります。
この点、個人情報保護委員会は、「本人の知り得る状態については、本人の求めに応じて遅滞なく回答する場合を含むため、講じた措置の概要や一部をホームページに掲載し、残りを本人の求めに応じて遅滞なく回答を行うといった対応も可能であるが、例えば、『個人情報の保護に関する法律についてのガイドライン(通則編)』に沿って安全管理措置を実施しているといった内容の掲載や回答のみでは適切ではない」(個人情報保護法ガイドライン(通則編3−8−1−(1) )としており留意が必要です。
外国にある事業者への委託
保有個人データを外国で取り扱う場合には、令和2年改正により、安全管理措置の内容に「外的環境の把握」が追加されたことには注意が必要です。
具体的には、委託元は委託先の所在する外国の個人情報の保護に関する制度等を把握したうえで、委託先の監督その他の安全管理措置を講ずる必要があり、かつ、その内容を本人の知り得る状態に置く必要があることから(Q&A A10−24)、結果として、外国の法制度の内容の開示が必要になります。個人情報保護委員会がそのウェブサイトで主要な国の法制度について情報開示をしていますので4、その内容を案内するなどが簡便な場合が多いと思われます(ただし、具体的な事案によっては、その案内のみでは不十分な場合もあるでしょう)。
なお、安全管理措置に関する情報開示は、外国にある事業者への個人データに関する提供(個人情報保護法28条)とは別個の義務であるため、たとえば、クラウドサービスを利用している等、第三者「提供」がない場合でも適用されます。外国にある当事者に個人データの取扱いを委託する場合には、原則として、外国の法制度等について情報開示が可能な体制を整える必要があります。
また、外国にある事業者に対し、日本国内のユーザ向けのアプリ等の開発を依頼する場合には、当該外国にある事業者には、個人情報保護法が域外適用され、利用目的の公表等の対応が必要になる場合もあります。そのため、委託元としては、これらの対応を委託先が果たしているかにも注意する必要があるでしょう。
漏えい等の際の対応義務
令和2年改正により、個人情報取扱事業者はその取り扱う個人データの漏えい、滅失、毀損(以下、「漏えい等」といいます)その他の個人データの安全の確保にかかる事態のうち、以下のケースが生じたときには、速報および確報の方法により、当該事態が生じた旨を、個人情報保護委員会に報告しなければならないことになりました(個人情報保護法26条1項、個人情報保護法施行規則7条および8条ならびに個人情報保護法ガイドライン(通則編)3−5−1)。また、本人への漏えい等の通知も必要になります(同法26条2項)。
- 要配慮個人情報の漏えい等が発生し、又は発生したおそれがある事態
- 不正アクセス等による漏えい等が発生し、又は発生したおそれがある事態
- 財産的被害のおそれがある漏えい等が発生し、又は発生したおそれがある事態
- 1,000件を超える漏えい等が発生し、又は発生したおそれがある事態
この対応主体は、原則として、漏えい等が発生し、または発生したおそれがある個人データを取り扱う個人情報取扱事業者ですが、委託先による漏えい等については、委託先は委託元に報告すれば足ります(同法26条1項)。
保有個人データへの対応義務
個人データのうち、個人情報取扱事業者が、本人またはその代理人から請求される開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止に応じる権限を有するものは「保有個人データ」に該当します(個人情報保護法16条4項)。
保有個人データに関しては、個人情報取扱事業者に対して、これに関する事項の公表(個人情報保護法32条)や、本人が識別されるものについては開示請求などへの対応義務などが課せられています(同法33条~39条)。
保有個人データに関する対応は、事案によるものの、通常は、委託元がその対応義務者になります。たとえば、「委託元が、個人データを受託処理する個人情報取扱事業者である委託先に対し、自らの判断で当該個人データの開示等を行う権限を付与していないとき(委託元・委託先間で何ら取決めがなく委託先が自らの判断で開示等をすることができない場合も含む。)は、本人に対する開示等の権限を有しているのは委託元」と解されていますので(Q&A A1−56)、委託元において適切に対応できるように体制を整えておく必要があります。
まとめ
以上を踏まえると次のとおりです。
- 委託元が、委託先が取り扱うデータの中身をまったく把握していない場合であっても、委託契約上、委託先によるデータ利用が制限されている場合には、個人情報保護法の「委託」に該当する可能性がある。
- 委託に該当する場合、委託元は安全管理措置の一環として、委託先の監督義務を負うため、データの性質に応じた管理体制を整えることが重要である。
- 委託先による委託の範囲を超えるデータ利用は、第三者提供や契約違反に該当するおそれがあるため、そのような事態が生じないようデータ利用の範囲は適切に設定する必要がある。また、委託先による突合等は、委託の性質上、実施できないため留意が必要である。
- 委託に関しては、①安全管理措置に関する情報の開示、②外国にある事業者への委託、③漏えい等の際の対応義務、④保有個人データへの対応義務などの論点があるため十分に検討する必要がある。
-
委託契約の記載内容としては、旧法下のものではありますが、経済産業省「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成29年5月30日廃止)35頁および36頁が参考になるでしょう。 ↩︎
-
個人情報保護委員会は「委託元の利用目的の達成に必要な範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用することができます」と回答しており、その範囲は「委託された業務の範囲」に限定されていません。もっとも、いずれにせよ、委託業務の範囲外の利用は、一般的には、委託契約に違反するため、事実上は委託された業務の範囲内に利用範囲が限定される場合が少なくないでしょう。 ↩︎
-
多くの場合には個人データに対して何らかの加工を施したうえで統計情報を作成する(あるいは統計情報の組み合わせにより統計情報を作成する)などの対応が必要になるとは思われます。 ↩︎
-
個人情報保護委員会「外国における個人情報の保護に関する制度等の調査」(令和4年1月24日) ↩︎
西村あさひ法律事務所
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 国際取引・海外進出
- 訴訟・争訟
- ベンチャー