弁護士 野溝夏生

個人情報取扱事業者の義務(「委託先の監督」編)

個人情報取扱事業者の義務一覧

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

委託先の監督(22条)

個人情報保護法第22条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

「個人データの取扱いの……委託」

「個人データの取扱いの……委託」とは、個人情報取扱事業者たる委託元が、委託先との間で、個人データの入力、編集、出力等の情報処理を行うことを業務内容とする契約を締結し、委託先に当該処理を行わせることをいいます。

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p44
 「契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される。」

「委託を受けた者に対する必要かつ適切な監督を行わなければならない」

個人情報取扱事業者は、法20条にいう「個人データの安全管理のために必要かつ適切な措置を講じ」る一環として、委託を受けた者に対して必要かつ適切な監督を行わなければならないとされています。
前記ガイドラインpp42-43によると、「委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次……に掲げる必要かつ適切な措置を講じなければならない」とされています。

前記ガイドラインp43
 「委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい
 また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認することが望ましい(※4)。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である」

前記ガイドラインp44(※4)
 「委託元が委託先について『必要かつ適切な監督』を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要する。」

前記ガイドラインp44
 「委託先の選定や委託先における個人データ取扱状況の把握に当たっては、取扱いを委託する個人データの内容や規模に応じて適切な方法をとる必要があるが、例えば、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法(口頭による確認を含む。)により確認することが考えられる。」

前記「委託契約の締結」に関し、何らかの形で安全管理措置にかかる委託元と委託先との間の合意内容が客観化できるのであれば、必ずしも委託契約書を取り交わさなければならないということではありません(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」pp27-28(A4-7))。

前記「委託先における個人データ取扱状況の把握」に関し、必ずしも委託元が委託先に立入検査等を行わなければならないわけではありません。
委託する個人データの内容や規模に応じ、適切な方法を講じれば足りるとされています(前記Q&A p28(A4-8))。

なお、委託先は、法律上は、法20条が求める水準の安全管理措置を講じれば足ります(前記Q&A p28(A4-9))。
ただし、委託元と委託先との間の契約において、法20条の水準を超えた安全管理措置の水準が定められている場合、委託先は、法20条の水準の安全管理措置を講じても、契約には違反することになりますから、契約上は、それでは足りないということになります。

ところで、秘密情報を開示する場合もしばしば見受けられますが、個人データの取扱いの委託に関し、委託先の監督の一環として、委託先の従業員等から守秘義務等に関する誓約書等を取得したり、委託先の従業員等の個人情報の提出を求めることがあります。
これらについても、委託先の監督にかかる手法のひとつと考えられますが、法律上これらが義務づけられているわけではありません。
なお、委託元が委託先から委託先の従業員等の個人情報又は個人データの提供を受ける場合には、これに伴い、個人情報の利用目的の通知又は公表等の法律上定められた義務を果たさなければなりません。(以上、前記Q&A pp28-29(A4-11))

前記ガイドラインpp43-44によると、委託を受けた者に対して必要かつ適切な監督を行っていない事例は、次のような事例となります。

まずはお気軽にお問い合わせください。

03-3580-7110

受付: 09:30~18:30 / 土日祝を除く