|
<< FAQ一覧に戻る
Q3-16.生産業者と交わす契約書(販売斡旋契約書)には「情報の二次利用禁止」としか謳われておりませんので、契約書を改訂しようと思います。
当社はプライバシーマーク(Pマーク)を取得していますので、Pマークを取得している他業者の契約書を確認したところ、「個人情報を法律に基づく事由によるほか、第三者に開示・提供してはならない」としか記載されていません。
生産業者は当社監督下にある委託先に該当します。契約書への必要事項はこの程度の文面で秘密保持契約を締結している、と解釈できるでしょうか?それとも、別紙で個人情報保護だけの契約書が必要でしょうか?
経済産業分野のガイドライン「委託契約について」をご覧下さい。
◇ ◇ ◇
【法第22条】
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、その取扱いを委託された個人データの安全管理が図られるよう委託を受けた者に対する必要かつ適切な監督を行わなければならない。
【経済産業分野のガイドライン】
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう、受託者に対し必要かつ適切な監督をしなければならない(電話帳、カーナビゲーションシステム等の取扱いについての場合を除く。)。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。
「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。
なお、優越的地位にある者が委託者の場合、受託者に不当な負担を課すことがあってはならない。 また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じた場合は、元の委託者がその責めを負うことがあり得るので、再委託する場合は注意を要する。
注
【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
・委託者及び受託者の責任の明確化 ・個人データの安全管理に関する事項
:個人データの漏えい防止、盗用禁止に関する事項
:契約範囲外の加工、利用の禁止
:委託契約範囲外の複写、複製の禁止
:委託契約期間
:委託契約終了後の個人データの返還・消去・廃棄に関する事項 ・再委託に関する事項
:再委託を行うに当たっての委託者への文書による報告
・個人データの取扱状況に関する委託者への報告の内容及び頻度
・契約内容が遵守されていることの確認(例えば、情報セキュリティ監査なども含まれる。)
・契約内容が遵守されなかった場合の措置 ・セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
◇ ◇ ◇
以上です。しかし、これはあくまでも法に基づく(経済産業分野のガイドライン)対応例です。
貴社はPマーク取得事業者ですから、JIS Q15001に基づく措置を個人情報保護基本規程や運用マニュアルで定義しているはずです。Pマーク付与事業者として、自社の規程、マニュアルに沿って実施されないと、次回審査をパスできない可能性もあります。そのことにご留意下さい。
今回のような事例とその対応策は本来、貴社の規程集、マニュアルに記述されていなければなりません。もし記述されていない場合や、記述されているにもかかわらず貴社がその手順に従っていないのであれば「監査」での改善指摘事項となり、改善措置をとらなければならない事項です。
貴社のPマーク主管部門にこれらの状況を報告し、相談されることを強くおすすめします。個人情報保護法は完全施行されておらず「判例」がなく「相場」が形成されていません。従って絶対正解がない領域が多いのです。そのような領域は、企業として統一された対応が必要です。
<< FAQ一覧に戻る
|
