【執筆者 渡邉雅之】
渡邉雅之弁護士が執筆した『_これ一冊で即対応平成29年施行改正個人情報保護法Q&Aと誰でもつくれる規程集』(第一法規)が刊行されます。
平成28年11月30日に公表された個人情報保護法ガイドラインを基に個人情報委託契約書の雛形を作成いたしましたので公表いたします。
なお、公表済みの規程例は下記のリンク先をご覧ください。
『改正個人情報保護法:個人情報保護指針・個人情報取扱規程など改正法に基づく規程をすべて公開!』
『改正個人情報保護法:中小規模事業者用の個人情報取扱規程・個人情報保護指針を公開』
『改正個人情報保護法:匿名加工情報等取扱規程など公開!』
『改正個人情報保護法:個人情報委託契約書の雛形を公開』
『_改正個人情報保護法:個人情報の保護に係る委託契約書(外国にある第三者に提供する場合)の雛形を公表いたしました。』
【解説】
個人情報保護法22条においては、『個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。』と規定されていますが、この規定については個人情報保護法の全面改正においても改正はありません。
平成28年11月30日に公布された『個人情報の保護に関する法律についてのガイドライン(通則編)』3-3-4 (委託先の監督)においては、「必要かつ適切な措置」として、�@適切な委託先の選定、�A委託契約の締結、�B委託先における個人データ取扱状況の把握が求められています。
「�@適切な委託先の選定」については、「委託先の選定に当たっては、委託先の安全管理措置が、少なくとも法第20条及び本ガイドラインで委託元に求められるものと同等であることを確認するため、「8((別添)講ずべき安全管理措置の内容)」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければならない。」とされています。
「�B委託先における個人データ取扱状況の把握」については、「望ましい」として努力義務ではありますが、(i)委託先における委託された個人データの取扱状況を委託元が合理的に把握すること(定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含む。)、(ii)委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認すること((a)委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、(b)委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等)が求められています。
個人データの委託契約に盛り込む内容は、特定個人情報(個人番号を含む個人情報)の委託先の監督(番号法11条)に関して、「特定個人情報の適正な取扱いに関する ガイドライン(事業者編)」第4−2−�^において定める委託契約の内容(下記)に比べるとシンプルな内容です。
�@秘密保持義務
�A事業所内からの特定個人情報の持出しの禁止
�B特定個人情報の目的外利用の禁止
�C再委託における条件
�D漏えい事案等が発生した場合の委託先の責任
�E委託契約終了後の特定個人情報の返却又は廃棄
�F従業者に対する監督・教育
�G契約内容の遵守状況について報告を求める規定
�H特定個人情報を取り扱う従業者の明確化(努力義務)
�I委託者が委託先に対して実地の調査を行うことができる規定(努力義務)
しかしながら、特定個人情報に関する委託契約の内容は、個人データ一般においても規定することが望ましい事項ですので、作成した雛型においてはこれらの事項も盛り込んでおります。
なお、ガイドラインにおいては、再委託について「事前の報告」または「事前の承認」とされていますが、事前の報告では再委託先のコントロールが不十分となるおそれがあるので、雛型では、「事前の承諾」としております。
_