1 個人データの管理を委託する場合のルールは3つ
2 適切な委託先を選定する
3 委託契約を締結する
4 委託先における個人データ取扱状況を把握する
5 (参考)個人データの取り扱いの委託は第三者提供ではない
1 個人データの管理を委託する場合のルールは3つ
個人データの取り扱いの全部または一部を外部に委託する場合、守らなければならないルールが3つあります。具体的には
- 適切な委託先を選定する
- 委託契約を締結する
- 委託先における個人データ取扱状況を把握する
です。以降でポイントを確認していきましょう。
2 適切な委託先を選定する
委託先の選定に当たっては、委託先が、自社と同等あるいはそれ以上の安全管理措置を講じていることを確認することが求められます。
そのため、「個人情報の保護に関する法律についてのガイドライン(通則編)」の「10 (別添)講ずべき安全管理措置の内容」に定める各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認しなければなりません。詳しくは次のウェブサイトをご覧ください。
■ガイドライン10 (別添)講ずべき安全管理措置の内容■
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a10
3 委託契約を締結する
委託契約には、当該個人データの取り扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先の双方が同意した内容を定めます。そうするとともに、「委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい」とされています。
例えば、次のような事項が盛り込まれた契約を締結するとよいでしょう(ここで委託者は委託元、受託者は委託先を指します)。
- 委託者および受託者の責任の明確化
- 個人データの安全管理に関する事項
- 再委託に関する事項
- 個人データの取扱状況に関する委託者への報告の内容および頻度
- 契約内容が遵守されていることを委託者が、定期的に、および適宜に確認できる事項
- 契約内容が遵守されなかった場合の措置
- 事件・事故が発生した場合の報告・連絡に関する事項
- 契約終了後の措置
なお、委託契約の締結と言っても、必ず「業務委託契約書」を取り交わさなければならないわけではありません。委託元、委託先の双方が安全管理措置の内容について合意をすれば法的効果が発生するので、合意内容を客観的に明確化できるなら、書式は問われません。例えば、委託先から委託元への誓約書の差入れや、覚書や合意書などの取り交しでも問題ありません。
4 委託先における個人データ取扱状況を把握する
委託契約で定める内容と重複するところがあるかもしれませんが、委託先における委託された個人データの取扱状況を把握するために、「定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい」とされています。
5 (参考)個人データの取り扱いの委託は第三者提供ではない
個人情報保護法では、法令に基づく場合などの例外を除いて、「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」とされています。
一方、委託については、「第三者に該当しないものとする」とされています(この他に第三者に該当しないものとして、事業の承継、共同利用もあります)。そのため、委託元は、あらかじめの本人の同意または第三者提供におけるオプトアウトを行うことなく、委託先に対して、個人データを提供することができます(その代わりに、委託先に対する監督責任が課されます)。
個人データの取り扱いを委託する先は他の者(=第三者)なのだから、「第三者提供なのでは?」と理解に苦しむかもしれませんが、
個人データの提供先は個人情報取扱事業者とは別の主体として形式的には第三者に該当するものの、委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱うことに合理性があるため、第三者に該当しないものとする(ガイドライン3-6-3 第三者に該当しない場合)
というルールなのです。
以上(2024年12月更新)
pj60128
画像:pixabay