個人情報委託契約書の雛形について(連載第4回)
弁護士法人三宅法律事務所
弁護士 渡 邉 雅 之
個人情報保護法22条においては、『個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。』と規定されていますが、この規定については個人情報保護法の全面改正においても改正はありません。
平成28年10月4日に公表された『個人情報の保護に関する法律についてのガイドライン(通則編)(案)』3-3-4 (委託先の監督)においては、「必要かつ適切な措置」として、①適切な委託先の選定、②委託契約の締結、③委託先における個人データ取扱状況の把握が求められています。
「①適切な委託先の選定」については、「委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第20条及び本ガイドラインで委託元に求められるものと同等であることを確認するため、「8((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。」とされています。
「③委託先における個人データ取扱状況の把握」については、「望ましい」として努力義務ではありますが、(i)委託先における委託された個人データの取扱状況を委託元が合理的に把握すること(定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含む。)、(ii)委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認すること((a)委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、(b)委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等)が求められています。
個人データの委託契約に盛り込む内容は、特定個人情報(個人番号を含む個人情報)の委託先の監督(番号法11条)に関して、「特定個人情報の適正な取扱いに関する ガイドライン(事業者編)」第4-2-⑴において定める委託契約の内容(下記)に比べるとシンプルな内容です。
|
しかしながら、特定個人情報に関する委託契約の内容は、個人データ一般においても規定することが望ましい事項ですので、作成した雛型においてはこれらの事項も盛り込んでおります。
なお、ガイドラインにおいては、再委託について「事前の報告」または「事前の承認」とされていますが、事前の報告では再委託先のコントロールが不十分となるおそれがあるので、雛型では、「事前の承諾」としております。