この記事では、弁護士が、個人情報の取扱いを他社に委託する場合に取り交わす契約書(覚書)の作り方をひな形条文つきで解説します。
個人情報の取扱いに関する覚書を今すぐ準備しないといけない方は必見です。
個人情報の取扱いに関する覚書とは
BtoBの商流の中で、個人情報の取扱いを第三者に委託することは、実務上頻繁に発生します。
たとえば、コールセンター業務を、これを専門とする他社に委託する場合や、販促キャンペーンの一部を切り出して他社に委託する場合など、さまざまな場面が考えられます。
このような場合に、個人情報の取扱いを適切に委託すれば、個人情報の第三者提供とはみなされず、顧客からいちいち第三者提供に関する同意を取得する必要がなくなります(実務上、個人情報の第三者提供に関する同意をもれなく顧客から取得することには非常に工数がかかるため、まずは委託のスキームで個人情報の取扱いを他社に委ねることが検討されます。)。
個人情報保護法
(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。(中略)
5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。
一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合(以下略)
ここでは、個人情報の取り扱いを他社に委託する場合に必要となる契約書をご紹介します。
各条項の解説
個人情報の定義
「個人情報」の範囲については、さまざまな定義が可能ですが、一般的には、個人情報保護法における個人情報の定義と同旨としておくことで足りるでしょう。
第○条(定義)
本覚書において、「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより当該個人を識別できることとなるものを含む。)をいう。また、本覚書において特に記載がない場合、「個人情報」は本業務に基づき甲が乙に預託し、又は乙が自ら収集する個人情報を指すものとする。
管理責任者の定め
個人情報保護法上、個人情報の取扱いの委託にあたっては、委託先に対する監督責任が発生します。
個人情報保護法
(委託先の監督)
第二十五条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
監督責任を適切に履行するためには、漠然と「監督する」というだけでは機能しません。
委託先における責任者を定め、責任者と適切なやりとりをしていれば管理責任を遵守したという主張ができるように、体制を整えておく必要があります。
第○条(管理責任者)
1 乙は、本覚書締結後遅滞なく、甲の指定する書面により、個人情報の管理責任者の氏名及び連絡先を甲に通知するものとする。
2 乙が前項の管理責任者を変更しようとするときは、甲の指定する書面により、遅滞なく甲に通知するものとする。
個人情報の秘密保持義務
委託を受けた個人情報を、みだりに第三者に開示したり提供しないよう、委託先の秘密保持義務を設定します。
従業員数の多い企業であれば具体的な部署名などを指定して、当該部署以外では取扱い禁止にするなど規定することも考えられます。
ここでは部署など指定しない場合の文例を紹介します。
第○条(秘密保持)
1 乙は、甲の事前の書面による承諾なく、個人情報を第三者に開示し、又は提供してはならない。
2 乙は、本業務に従事する最小限の役員及び従業員以外の者に、個人情報の取扱いをさせてはならない。
3 乙は、本業務に従事する役員及び従業員のうち個人情報を取り扱う役員及び従業員に対し、その在職中及びその退職後においても、個人情報を秘密に保持するよう義務づけるものとし、甲が求めたときは当該役員及び従業員より個人情報の取扱いに関する誓約書等を提出させるものとする。
目的外使用の禁止
個人情報の利用は、委託者が個人情報の取得にあたり事前に顧客に公表した目的以外では禁止されています。
そのため、委託先に対しても、当該利用目的を遵守するように、念の為に契約上の義務を明記しておきます。
第○条(目的外利用の禁止)
1 乙は、個人情報を本業務遂行以外のいかなる目的にも利用してはならない。
2 前項にかかわらず、乙は、個人情報の主体たる個人(以下「本人」という。)に対して通知、公表又は明示された個人情報の利用目的を超えて、個人情報を利用してはならない。
安全管理義務
個人情報保護法に基づき、委託元は、顧客に対して、個人情報を適切に取り扱うための安全管理措置を講じなければなりません。
個人情報保護法
(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
そこで、委託先に対しても、同様の安全管理義務を講じるように、契約において、法的な義務を設定する必要があります。
第○条(個人情報の管理)
1 乙は、個人情報を取り扱うにあたり、個人情報の漏洩、滅失又は毀損を防止するため、必要かつ適切な安全管理措置を講じなければならない。
2 乙は、甲の指示に従い、個人情報を正確かつ最新の内容に保たなければならない。
3 乙は、甲が個人情報の管理方法につき指示を行ったときは、これに従わなければならない。
4 甲は、乙に事前に通知の上乙の事業所に立ち入り、乙における個人情報の管理状況を調査することができる。
5 甲が、個人情報の管理方法について乙に改善を申し入れた場合、乙はこれに従わなければならない。
再委託の禁止
法的には、個人情報の取扱いの委託先が、さらに別の第三者に対して当該個人情報の取り扱いを委託することは可能です(再委託)。
しかしながら、上記のとおり個人情報の取扱いの委託については、個人情報保護法による厳格な統制のもとにおかれているため、委託元の預かり知らないところでみだりに第三者に対する再委託や再再委託が発生すると、委託元が個人情報の安全管理義務を履行できなくなる恐れがあります。
そこで、契約において、原則として再委託を禁止し、合意があった場合に限って再委託を許すという設定が考えられます。
第○条(再委託)
1 乙は、甲の事前の書面による承諾を得ずに、本業務を第三者に再委託してはならない。
2 乙が前項の承諾を得て本業務を第三者に再委託する場合は、再委託先との間で本覚書と同等の内容の契約を締結し、その写しを甲に提出しなければならない。
3 前項の場合といえども、乙は本覚書に基づき乙が負担する義務を免れず、再委託先の行為についても一切の責任を負う。
事故発生時の対応、責任
万が一、個人情報の漏洩事故が発生してしまった場合、どのような対応をするのか。
委託者に損害が発生した場合に、何をどこまで賠償可能とするのか。
これらのことについても契約書に明示するようにしましょう。
ここでは、広い範囲で委託者から受託者に対して賠償を請求する場合の文言をご紹介します。
第○条(事故)
1 乙において個人情報の紛失、破壊、改竄、漏洩等の事故が発生し、又はそのおそれがある事実が判明したときは、乙は直ちにその旨を甲に報告し、甲の指示に従って直ちに対応措置を講じるものとする。(中略)
2 前項の事故が乙の本覚書の違反に起因する場合において、甲が情報主体又は甲の顧客等から損害賠償請求その他の請求を受けたときは、甲は、乙に対し、その解決のために要した費用(弁護士費用その他の損害賠償を含むがこれに限定されない。)を合理的な範囲で求償することができる。なお、当該求償権の行使は、甲の乙に対する損害賠償請求権の行使を妨げるものではない。
3 第1項の事故が乙の本覚書の違反に起因する場合は、乙は、前2項のほか、当該事故の拡大防止や紛争解決のために行うべき必要な措置について、甲の別途の指示に従うものとする。
一般条項
以上が骨格となる部分ですが、以上の他、一般的な契約に含まれる条項を挿入しましょう。
一般条項の具体的な内容については、以下の記事を参考にしてください。
個人情報の取扱いに関する覚書を作成するときに気をつけること
以上、個人情報の取扱いに関する覚書を作成するときに気をつけるべきことは
- 個人情報の定義
- 管理責任者の定め
- 個人情報の秘密保持義務
- 目的外利用の禁止
- 安全管理義務
- 再委託の禁止
- 事故発生時の対応、責任
です。
なお、今回紹介したひな形条文については、いくつかの質問に答えるだけで法律文書を自動生成できるウェブサービス「KIYAC」(キヤク)に搭載されているひな形(ご提供:弁護士法人飛翔法律事務所 吉本侑生先生)を利用しました。KIYACを使えばこれらのひな形条文を利用した個人情報の取扱いに関する覚書を数分程度で作成できますので、手元に契約書ひな形がない人は是非利用してみてくださいね。