今回は、契約の一般条項ということで、個人情報保護条項について見てみたいと思います。
主に業務委託契約を締結する際、個人情報の取扱いについてどのような条項を入れるべきか、悩んだことがある方もいるかもしれません。本記事では、契約書における個人情報保護条項の基本と、押さえておきたいチェックポイントを解説します。
ではさっそく。なお、引用部分の太字、下線、改行などは管理人によるものです。
メモ
このカテゴリーでは、インハウスとしての法務経験からピックアップした、管理人の独学や経験の記録を綴っています。
ネット上の読み物としてざっくばらんに書いており、感覚的な理解を掴むことを目指していますが、書籍などを理解する際の一助になれば幸いです。
個人情報保護条項とは
個人情報保護条項とは、主として業務委託契約などにおいて、業務遂行のため委託元が有する個人データの委託を行う場合に、その取扱いについて定めた条項のことです。
主として業務委託のケースが多いと思いますがそれに限定されるわけではなく、個人データの委託を伴う場合に定めておくべき条項、というイメージです。
特に通称めいたものが決まっているわけではありませんが、ここでは個人情報保護条項と表記します
ニュースなどで、委託先やさらにその先の再委託先の従業員が、顧客情報を不正に持ち出して名簿業者に売却・漏えいした、といった事件を聞いたことがあると思います。個人情報の漏えいを含むインシデントは、多額の損害賠償対応(原因調査、顧客への補償、システム復旧など)につながり得るだけでなく、企業の社会的な信用を失墜させるレピュテーションリスクを伴います。
もし委託先が漏えいを起こした場合、委託先への監督が不適切だった等として、委託元自らも個人情報保護法違反や、本人に対する法的責任を問われる可能性があります。
法律が求める委託先の監督(個情法25条)
個人情報保護法では、個人データの取扱いを委託する場合、委託先に対して必要かつ適切な監督を行わなければならないと定められています(法25条)。
▽個情法25条
(委託先の監督)
第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報保護委員会のガイドラインによると、この監督には以下の3つのステップが求められます(通則ガイドライン3-4-4)。
つまり、契約書に個人情報の保護について定めることは、法律が求める監督義務を果たすための重要なステップといえます。
-
-
個人情報保護法|「個人データ」に関する義務~安全管理措置・委託先の監督・第三者提供の制限など
続きを見る
個人情報保護条項の記載内容
では、実際に契約書にはどのような条項を盛り込めばよいのでしょうか。
個人情報保護条項も、NDAと秘密保持条項の関係と同じように、いわゆる個人情報保護に関する覚書(個人情報の委託を伴う場合に契約書とは別途覚書を交わしたもの)の圧縮バージョンのような側面があります。そのため、記載内容の考え方は、基本的に個人情報保護覚書のそれが参考になります。
したがって、個人情報保護覚書で書くような記載要素を参考に、基本的なポイントは押さえつつ、縮めた表現をとったり、取捨選択するようなイメージで検討するのがよいと思います。
対象情報の定義や法令等の遵守
まず、保護すべき対象情報や法令等の遵守義務など一般的な内容をチェックします。
- 義務の対象範囲の設定:個人情報保護法で監督が求められるのは個人データ
- 法令・ガイドラインの遵守義務:受領した当事者が、個人情報に関する法令およびガイドラインを遵守する旨
ただ、対象情報の範囲としては、契約上は個人データに限定せず、委託元が指定する個人情報全般に広げたり、あるいは電気通信事業者であれば特定利用者情報(電気通信事業法27条の5)なども含めるといった対応も考えられます。
目的外利用・加工等の禁止
大前提的な内容ですが、委託した業務の遂行目的以外で、受託者が個人データを使用、加工、複写・複製することを禁じる定めを入れます。委託したデータを勝手に使われないためのルールです。
- 目的外利用・加工等の禁止:本契約の遂行のためにのみ使用・加工・複写等を認め、委託契約範囲外での加工、利用、複写、複製を禁止
担当者・責任者の通知
対象情報を誰が扱うかを明確にします。
- 担当者・責任者の通知義務:データを受領した側は、直ちに個人情報の取得、移送、利用、保管、廃棄を行う担当者および責任者を選任し、その氏名、役職、連絡先を書面で委託元に通知すること(変更時も同様)
安全管理措置
委託先に対して、安全管理措置を講じることを義務づけます。
- 安全管理措置:組織的、人的、物理的および技術的な面から、安全管理措置の内容を具体的に定める(扱う個人データのリスクが高い場合などは、必要に応じて、最低限講ずべきセキュリティ措置を別紙の形式で指定するなども考えられる)
ただ、コスト負担の考慮の観点からすると、委託を受ける側から見れば、過大な措置を一方的に押し付けられるおそれもあるため、安全管理措置の内容は業務の規模や性質、費用等を考慮して協議決定する旨の内容にしたり、合理的な範囲といった枕詞をつけるなどの調整も考えられます(力関係によることが多いかと思います)。
また、外国での取扱いの事前通知を求めることも考えられます。クラウドサービスの利用や再委託などで、委託先が外国で個人データを取り扱う場合には、事前に当該外国の名称を委託元に通知させ、その国の制度を把握した上で安全管理措置を講じることを義務づけるなどが考えられます。
従業者の監督と秘密保持
実際にデータに触れるのは、委託先の従業員(役員や派遣社員、アルバイトなども含む)です。委託業務のために個人データへアクセスする必要がある者だけにアクセスを限定し、それらの者に対して在職中・退職後を問わず秘密保持義務を課すことや、情報セキュリティ研修を受講させることを条項に盛り込みます。
- アクセス権の制御:役員、従業員、派遣社員、アルバイトなどを問わず、委託業務の目的のためにアクセスする必要がある者にのみアクセスを許容するよう定める
- 秘密保持義務:データにアクセスするすべての従業者に対し、在職中および退職後を問わず秘密保持義務を課すこと(必要に応じて誓約書の提出を義務づけるなども)
- 教育の実施:情報セキュリティに関する研修を定期的に受講させる旨
再委託の制限と監督
知らない間に再委託されていてそこから情報が漏れるという事態を防ぐため、再委託をする場合は事前の書面による同意(または事前通知と承認)を必要とするのが一般的です。また、再委託先にも本契約と同等の安全管理義務を負わせ、再委託先の義務違反については委託先(直接の契約相手)に責任を持たせるようにします。
- 事前の報告・承認:再委託を行う場合は、事前に委託元の書面による同意(承認)を得るか、委託元が指定する基準を満たす適切な業者を選定した上で、再委託先の名称・住所・業務内容を事前に書面で通知させる
- 同等以上の義務の賦課:再委託先に対して、本契約で委託先が負うものと同等以上の義務(安全管理措置を含む)を課すこととする
- 委託先の連帯責任:再委託先による義務の遵守について、直接の委託先が一切の責任を負うことを明記する
報告義務と監査(立入り検査含む)
委託先の監督は、契約書に書いたから安心、ではありません。委託元の求めに応じた報告、あるいは年に1回以上(あるいは半期ごとなど)の定期的な報告などを義務づけます。また、委託元が立入り検査を含む監査を行える権利を留保しておくのが望ましいです。
- 随時・定期の報告:委託元の求めに応じた報告、あるいは例えば毎年6月末日及び12月末日など、個人データの取扱状況や管理状況に関する定期的な報告(内容と頻度)を義務づける
- 監査および立入り検査の権利:委託元が必要と認める場合、自らまたは第三者を通じて、委託先の施設内への立ち入りを含む監査を行える権利や、ログなどの資料提出を求める権利
- 是正要求への対応:報告や監査の結果、委託元から指示や是正要求があった場合には、受託者がそれに応じて必要かつ適切な措置を講じる義務
特に厳格な取扱いが必要なケースでは、第三者監査の受入れ、つまり委託先自身の費用で、第三者による情報セキュリティ監査を定期的に受け、その結果を報告させる条項も考えられます。
事故発生時の対応と損害賠償
万が一、情報漏えい等が発生してしまった場合、被害拡大を防ぐためには初動が重要です。委託先に対して事態を知ったときには直ちに(あるいは48時間以内などに)報告するといった迅速な通知義務や、自らの費用での原因究明・再発防止策の実施義務を定めます。
- 迅速な通知義務:漏えい等(またはそのおそれ)を知った場合、直ちにあるいは48時間以内など具体的な時間を区切って詳細を委託元に通知(報告・連絡)すること
- 原因究明と再発防止の実行:委託先自身の費用負担において、直ちに原因や影響範囲を調査し、委託元が満足する内容の再発防止策を遅滞なく策定・実行し、報告すること
- 公表等の禁止と協力:委託元に無断で事態を公表することを禁じたり、漏えいの拡大・再発防止のために双方で協力して措置を講じること(費用負担は別途協議など)を定めたりすることも考えられます
また、インシデントにより委託元に損害が生じた場合(弁護士費用や顧客への補償費用など含む)の賠償責任についてもあらかじめ定めておく場合もあります。
- 損害賠償の範囲:委託先の責めに帰すべき事由で漏えい等が発生し損害が生じた場合の損害賠償の範囲をあらかじめ定める(弁護士費用などを含めた一切の損害を賠償させる旨など)
- サイバー保険の加入:指定するサイバー保険等に加入し、契約期間中これを維持することを義務づける条項を入れることも考えられます
終了時の措置(返還・消去・廃棄)
委託契約が終了した後の個人データの返還、消去、または廃棄に関する具体的な措置を定めます。
結び
個人情報保護条項は、まず個人情報保護法上のルール(委託先の監督)を前提として知っておく必要があります(知らない場合、そもそも気づかない)。
また、他の一般条項と同様ですが、単なる定型文と考えず、基本的なポイントを押さえておいた上で必要に応じてカスタムするというイメージで検討するのがよいと思います。契約書の長い・短いにかかわらずよく入っているオーソドックスな内容は、法令遵守という一般論、目的外利用の禁止、安全管理措置、報告義務と監査、終了時の措置あたりかと思います(管理人の個人的経験)。
加えて、個人情報保護条項については、契約書作成だけでなく、契約成立後の委託先管理(定期的な監査や状況確認)もあることを意識しておくことが、より良いリスク管理に繋がるといえます。
[注記]
本記事を含む一連の勉強記事は、過去の自分に向けて、①自分の独学や経験の記録を見せる、②感覚的な理解を伝えることを優先する、③細かく正確な理解は書物に譲る、ということをコンセプトにした読みものです。ベテランの方が見てなるほどと思うようなことは書かれていないほか、業務上必要であるときなど、正確な内容については別途ご確認ください。また、法改正をはじめとした最新の情報を反映しているとは限りませんので、ご注意ください。
主要法令等・参考文献
民法(債権関係)改正の資料
- 部会資料1~88-2(民法(債権関係)部会資料)(法務省HP)
- 中間試案補足説明(「民法(債権関係)の改正に関する中間試案の補足説明」)(法務省HP)
- 中間試案パブコメ(部会資料71)(平成25年12月27日付意見募集の結果)(e-Govパブコメ)
- 要綱(「民法(債権関係)の改正に関する要綱」)(法務省HP)
- 民法の一部を改正する法律案(国会提出法案)(法務省HP)
- 民法の一部を改正する法律(債権法改正)について(法務省HP)
参考文献
当サイトではアフィリエイトプログラムを利用して商品・サービスを記載しています
参考文献image
