個人情報取扱事業者の義務(「委託者の監督」編)

個人情報取扱事業者の義務一覧

• 「個人情報」
  • 利用目的の特定(個人情報保護法15条)
  • 利用目的による制限(同法16条)
  • 不適正な利用の禁止(改正同法16条の2)
  • 適正な取得(同法17条)
  • 取得に際しての利用目的の通知等(同法18条)
• 「個人データ」
  • データ内容の正確性の確保等(同法19条)
  • 安全管理措置(同法20条)
  • 従業者の監督(同法21条)
  • 委託先の監督(同法22条)(今回取り扱います)
  • 漏えい等の報告等(改正同法22条の2)
  • 第三者提供の制限(同法23条)
  • 外国にある第三者への提供の制限(同法24条)
  • 第三者提供に係る記録の作成等(同法25条)
  • 第三者提供を受ける際の確認等(同法26条)
  • 個人関連情報の第三者提供の制限等(改正同法26条の2)
    ※ 提供されるのはあくまで「個人関連情報」であり、「個人データ(個人情報)」ではありませんが、関連するため記載しています。
• 「保有個人データ」
  • 保有個人データに関する事項の公表等(同法27条)
  • 開示(同法28条)
  • 訂正等(同法29条)
  • 利用停止等(同法30条)
  • 理由の説明(同法31条)
  • 開示等の請求等に応じる手続(同法32条)

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

委託先の監督(22条)

個人情報保護法第22条　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

「個人データの取扱いの……委託」

「個人データの取扱いの……委託」とは、個人情報取扱事業者たる委託元が、委託先との間で、個人データの入力、編集、出力等の情報処理を行うことを業務内容とする契約を締結し、委託先に当該処理を行わせることをいいます。

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p44
　「契約の形態･種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うことを委託すること等が想定される。」

「委託を受けた者に対する必要かつ適切な監督を行わなければならない」

個人情報取扱事業者は、法20条にいう「個人データの安全管理のために必要かつ適切な措置を講じ」る一環として、委託を受けた者に対して必要かつ適切な監督を行わなければならないとされています。
前記ガイドラインpp42-43によると、「委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととして、取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次……に掲げる必要かつ適切な措置を講じなければならない」とされています。

• 適切な委託先の選定
• 委託契約の締結
• 委託先における個人データ取扱状況の把握

前記ガイドラインp43
　「委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい。
　また、委託先が再委託を行おうとする場合は、委託を行う場合と同様、委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと、及び委託先を通じて又は必要に応じて自らが、定期的に監査を実施すること等により、委託先が再委託先に対して本条の委託先の監督を適切に果たすこと、及び再委託先が法第20条に基づく安全管理措置を講ずることを十分に確認することが望ましい(※4)。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様である」

前記ガイドラインp44(※4)
　「委託元が委託先について『必要かつ適切な監督』を行っていない場合で、委託先が再委託をした際に、再委託先が不適切な取扱いを行ったときは、元の委託元による法違反と判断され得るので、再委託をする場合は注意を要する。」

前記ガイドラインp44
　「委託先の選定や委託先における個人データ取扱状況の把握に当たっては、取扱いを委託する個人データの内容や規模に応じて適切な方法をとる必要があるが、例えば、必要に応じて個人データを取り扱う場所に赴く又はこれに代わる合理的な方法(口頭による確認を含む。)により確認することが考えられる。」

前記「委託契約の締結」に関し、何らかの形で安全管理措置にかかる委託元と委託先との間の合意内容が客観化できるのであれば、必ずしも委託契約書を取り交わさなければならないということではありません(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」pp27-28(A4-7))。

前記「委託先における個人データ取扱状況の把握」に関し、必ずしも委託元が委託先に立入検査等を行わなければならないわけではありません。
委託する個人データの内容や規模に応じ、適切な方法を講じれば足りるとされています(前記Q&A p28(A4-8))。

なお、委託先は、法律上は、法20条が求める水準の安全管理措置を講じれば足ります(前記Q&A p28(A4-9))。
ただし、委託元と委託先との間の契約において、法20条の水準を超えた安全管理措置の水準が定められている場合、委託先は、法20条の水準の安全管理措置を講じても、契約には違反することになりますから、契約上は、それでは足りないということになります。

ところで、秘密情報を開示する場合もしばしば見受けられますが、個人データの取扱いの委託に関し、委託先の監督の一環として、委託先の従業員等から守秘義務等に関する誓約書等を取得したり、委託先の従業員等の個人情報の提出を求めることがあります。
これらについても、委託先の監督にかかる手法のひとつと考えられますが、法律上これらが義務づけられているわけではありません。
なお、委託元が委託先から委託先の従業員等の個人情報又は個人データの提供を受ける場合には、これに伴い、個人情報の利用目的の通知又は公表等の法律上定められた義務を果たさなければなりません。(以上、前記Q&A pp28-29(A4-11))

前記ガイドラインpp43-44によると、委託を受けた者に対して必要かつ適切な監督を行っていない事例は、次のような事例となります。

• 個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合
• 個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合
• 再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合
• 契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合

まずはお気軽にお問い合わせください。