「個人情報保護法⑧」

本日、ブログを担当するシステム開発課の鈴木です。

前回は「個人情報取得時における利用目的」について記載しました。
今回は「個人情報取得における委託契約」について記載します。

　「個人情報の保護に関する法律」（個人情報保護法）では、個人情報取扱事業者に対し、
保有する個人情報を安全に管理することを求めています。
それは、自社内の管理体制のみならず委託先の監督義務についても言及しており、
業務委託先の安全管理体制に対する監督を怠れば法に抵触するということになっています。

　しかし、個人情報保護法の中では、あまり具体的な対策には言及されていません。
「委託先の監督」という点で、どのような対策を取っておくことが重要なのでしょうか。

『委託先の監督義務』
　個人情報保護法では、個人情報取扱事業者に対し、以下のように委託先の監督義務をうたっています。

　　第二十二条（委託先の監督）
　　　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、
　　　その取扱いを委託された個人データの安全管理が図られるよう、
　　　委託を受けた者に対する必要かつ適切な監督を行わなければならない。

　この「必要かつ適切な監督」とは具体的にはどんなことなのでしょうか。
　経済産業省のガイドラインでは以下のように解説しています。

　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、
　法第20条に基づく安全管理措置を順守させるよう、
　受託者に対し必要かつ適切な監督をしなければならない。
　　（中略）
　「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、
　必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むと
　ともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。

　このガイドラインから読み取れることが2点あります。
　　・個人情報の取り扱いについて委託元が求める安全管理措置を明記したうえで、契約を交わすこと
　　・契約内容が順守されているかを定期的に確認すること

　安全管理措置を明記した契約を交わす
　　委託元として委託先に求める安全管理措置を検討する必要があります。
　　これらは当然のことながら、自社で行っている安全管理措置を基準とし、
　　それと同等のものを委託先にも求めていくことが考えられます。

　　時に、この「安全管理措置」が行われているという証明（お墨付き）ということで
　　「プライバシーマーク」（Ｐマーク）といった認証制度を委託先選定の基準とする場合が
　　あります。Ｐマークは、JIS Q 15001（個人情報保護に関するコンプライアンス・プログラムの
　　要求事項）に準拠した対策がされているかどうかを審査し、認定するという制度です。

　　Ｐマークで求められる安全管理対策は、「安全管理措置として何をすればよいのか」という
　　指標になっており、こういった指標を用いて安全管理のレベルを判断することができます。
　　この安全管理のレベルを「委託先の選定基準」とすることができます。
　　個人情報取扱事業者は、委託先の選定基準を持ち、その選定基準をクリアした業者にのみ
　　個人情報を委託すべきであり、法もこれを求めています。

　　なお、「Pマーク取得」「ISMS取得」といったチェック項目も1つの基準ではありますが、
　　それだけでなく委託先が具体的にどのような安全管理措置を取っている企業なのか、
　　ということをチェックできることが重要です。
　　そのような契約書は、パートナー選定の幅を広げる選択肢の1つになると思います。

　契約内容が順守されているかを定期的に確認する
　　いわゆる「監査をする」ということです。委託元が委託先の状況を定期的に確認（監査）
　　することは、委託先の了解の下で行われるべきことですので、契約書にも盛り込んで
　　おきましょう。監査そのもののやり方や程度はそれぞれであると思いますが、いずれにしても
　　委託元は、委託先が約束事の安全管理をどのように行っているかを、確認することが必要です。

　　個人情報保護に関する契約において、「監査」の項目を抜くことはできないと考えてください。
　　とはいえ、監査の方法については、相談の余地がありますので、契約書の記載内容も含め、
　　双方協議のうえ決定します。

『事故時の責任分担』
　JIS Q 15001では、委託処理に関して以下のような要求があります。

　　4.4.4.3　個人情報の委託処理に関する措置
　　　事業者が、情報処理を委託するなどのために個人情報を預託する場合は、
　　　十分な個人情報の保護水準を満たしている者を選定する基準を確立しなければならない。
　　　また、契約によって、次に示す内容を規定し、その保護水準を担保しなければならない。
　　　a)　個人情報に関する秘密保持
　　　b)　再委託に関する事項について
　　　c)　事故時の責任分担
　　　d)　契約終了時の返却及び消去
　　　当該契約書などの書面又はこれに代わる記録を、個人情報の保有期間にわたって保存しなければ
　　　ならない。

　このようにJIS Q 15001では、事故時の責任分担についても契約書に盛り込むことを要求して
　います。
　具体的には、委託先または再委託先が情報を漏えいした場合、
　どの程度の責任（賠償責任）を負うかという内容を盛り込むことになります。

　契約書の中に、「すべての責任」「全額」といった文言を見ることがありますが、
　個人情報の漏えいに関しては被害額というのは想定することが難しく上限を決めることも難しいとされ　ています。
　それ故、「全額」の補償をすることが現実的ではないことも事実なのです。

　漏えい事故・事件というのは、十分な安全管理対策を行っていたとしても、可能性は0％になり得ない
　ものです。
　逆にいえば、100％の安全管理対策はありません。
　委託元としては、委託先に責任を移転したい気持ちがありますが、
　委託元として無理な契約を交わすことのないように慎重に検討しましょう。
　もちろん、できる限りの安全管理対策を怠らないことはいうまでもありません。

『再委託について』
　経済産業省のガイドラインでは、再委託について以下のような記述があります。
　　また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託を
　　した際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じた場合は、
　　元の委託者がその責めを負うことがあり得るので、再委託する場合は注意を要する。

　必要かつ適切な監督」の中には、再委託という観点も含まれています。
　委託された業務を孫請け会社へ委託する、ということは珍しくありません。
　経済産業省のガイドラインでは、この再委託先に個人データの全部または一部を委託する場合は、
　第20条に基づく安全管理措置を順守させるよう求めています。

　　第二十条（安全管理措置）
　　　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の
　　　個人データの安全管理のために必要かつ適切な措置を講じなければならない。

　個人情報保護法では、具体的な「必要かつ適切な措置」については言及していません。
　より具体的な内容は、経済産業省のガイドラインに見ることができます。
　ガイドラインでは、これらの項目について、さらに細かい対策について触れていますが、
　すべての項目について「望まれる事項」として記されています。

　いずれにせよ、安全管理対策について法的にどこまで行わなくてはならない、
　ということは定められていないわけです。
　非常にあいまいではありますが、実際、漏えい事故を起こし、裁判で「適切だったかどうか」を裁かれ　て、初めてそれが適切だったかどうかが評価されるということになります。

　それ故、企業としてはより強固な安全管理措置を取る方向性として、
　JIS Q 15001の要求事項などを参考にしていくことが望ましいといえます。
　安全管理措置の内容は、第5回で紹介します。

　では、再委託先についての不適切な監督とはどのような場合でしょうか。
　以下の事例を見ると、再委託先が漏えいなどを起こしたときが問題であるとしています。
　事故が起こってからでは遅いわけですから、漏えいなどが起こらないように管理することが大切です。

　　【受託者に必要かつ適切な監督を行っていない場合】
　　　　事例1）　個人データの安全管理措置の状況を契約締結時及びそれ以後も定期的に把握せず
　　　　　　 　　 外部の事業者に委託した場合で、受託者が個人データを漏えいした場合
　　　　事例2）　個人データの取扱いに関して定めた安全管理措置の内容を受託者に指示せず、
　　　　　　 　　 結果、受託者が個人データを漏えいした場合
　　　　事例3）　再委託の条件に関する指示を受託者に行わず、かつ受託者の個人データの取扱状況の
　　　　　　 　　 確認を怠り、受託者が個人データの処理を再委託し、結果、再委託先が個人データを
　　　　　　　　 漏えいした場合

　事例3に「再委託の条件に関する指示を受託者に行わず」とありますので、
　委託元はその再委託先との契約の内容までも関与する必要があるということになります。

　また、以下のような項目もガイドラインには記されています。

　　個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
　　・委託者及び受託者の責任の明確化
　　・個人データの安全管理に関する事項
　　　1.個人データの漏えい防止、盗用禁止に関する事項
　　　2.委託契約範囲外の加工、利用の禁止
　　　3.委託契約範囲外の複写、複製の禁止
　　　4.委託契約期間
　　　5.委託契約終了後の個人データの返還・消去・廃棄に関する事項　　
　　・再委託に関する事項
　　　1.再委託を行うに当たっての委託者への文書による報告
　　・個人データの取扱状況に関する委託者への報告の内容及び頻度
　　・契約内容が順守されていることの確認（例えば、情報セキュリティ監査なども含まれる。）
　　・契約内容が順守されていなかった場合の措置
　　・セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

　契約書を作成する際には、上記項目を考慮する必要があります。
　「Ｐマーク」や「ISMS」というチェック項目があれば、委託先を監督したことになると安易に
　考えない方がよいということです。

『再委託先との契約内容の確認』
　委託元が、委託先と再委託先との契約内容に関与することが重要であると解説してきました。
　では、再委託先との契約内容をきちんと把握するにはどうしたらよいでしょうか。
　一番明確なのは、その契約書そのものを目にすることです。

　多くの場合、契約書には契約金額なども記載されることがあります。
　金額が書かれた時点で、それを第三者に見せることはできなくなります。
　ですから、個人情報保護関連の契約を行う場合、金額の書かれた契約書とは別の書面にて
　個人情報の取り扱いについての契約を取り交わすことをお勧めします。
　これにより、再委託先と取り交わした契約内容の確認が容易にできるようになります。

　委託元は、自社と委託先とが取り交わす契約書を、委託先と再委託先の契約に使用することを
　求めることもできます。
　評価先チェックシートや、金額記載のない個人情報の取り扱いに関する契約書など、
　実際に見ることができる契約書として用意しておくことをお勧めします。

次回は「安全管理」について記載したいと思います。