|
<< FAQ一覧に戻る
Q3-37.給与を管理するため、税理士事務所に社員の個人情報を委託しています。プライバシーマークの申請に向けて、【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】について記載した委託契約書による契約の締結を依頼したのですが、次の理由で文書での契約を拒否されました。
・税理士としては、顧問契約をした時点で「守秘義務」が発生している。
・契約書内の「事故発生時の損害賠償」「セキュリティに関する社内教育」「監査の受け入れ」に同意できない。
そもそも、税理士・弁護士等の職業は契約締結の義務はないのでしょうか。またこういった場合、契約を締結せずに委託を行ってよいのでしょうか。
プライバシーマークの取得ご予定とのことですから、JIS Q15001、個人情報保護法、経済産業分野のガイドラインを基にご助言いたします。
最も詳細な経済産業分野のガイドラインでは委託契約書に織り込むべき項目として以下のように記述しています。
◇ ◇ ◇
■ 個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項
a 委託者及び受託者の責任の明確化
b 個人データの安全管理に関する事項
:個人データの漏えい防止、盗用禁止に関する事項
:契約範囲外の加工、利用の禁止
:委託契約範囲外の複写、複製の禁止
:委託契約期間
:委託契約終了後の個人データの返還・消去・廃棄に関する事項
c 再委託に関する事項
:再委託を行うに当たっての委託者への文書による報告
d 個人データの取扱状況に関する委託者への報告の内容及び頻度
e 契約内容が遵守されていることの確認 (例えば、情報セキュリティ監査等も含まれる。)
f 契約内容が遵守されなかった場合の措置
g セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
◇ ◇ ◇
先ず、個人情報の預託を伴う業務委託に際しては、一般的に以下の3種の契約を締結すると思います。
(1)業務委託契約
(2)秘密保持契約
(3)個人情報保護覚書
これらの(1)(2)(3)を一通で済ませようとすると、本件のように職業としての守秘義務をすでに負っており、違反の際は刑法で裁かれるような職業の場合は契約全体が拒否されるケースもあります。
したがって、本件の場合は(1)(2)を締結し、要件をカバーしてください。
その上で、「事故発生時の損害賠償」は(1)に織り込んでください。これは通常の業務委託契約に含まれる事項ですから、税理士側も特に拒否する理由はないと思われます。
「監査の受け入れ」は特に必須項目ではありませんから、決算打合せ時に管理状況について確認させて頂くこととし、議事録等を記録として残し、「e 契約内容が遵守されていることの確認 」をカバーしてください。必ずしも監査必須ではありません。
但し、Pマーク申請直前の全体監査時は、社内の安全管理体制の一貫として委託先選定基準をはじめとする各種事項について監査しておかなくてはなりません。
「セキュリティに関する社内教育」や「税理士事務所と事務所従業者との間の守秘義務誓約書の取得」は、基本的な事項として税理士事務所内で実施してもらわなくてはなりません。元々、JIS Q15001で求められる委託先選定基準の「基準」項目であるわけですから、これを満足していない委託先は選定基準を満たしていないということになり、取り引きすること自体が難しくなります。
税理士事務所内の全事務員が税理士資格を持っていればよろしいのですが、単なる事務所員である場合は守秘義務を負っている訳ではありません。
税理士事務所には、個人情報保護法の遵守をする上で、経済産業分野のガイドライン、国家規格としてのJIS Q15001で実施が求められていることを説明し、可能な範囲で協力してもらわねばなりません。これらの契約がなされておらず、プライバシーマーク審査時にJIS Q15001不適合となった場合、改善しない限り取得不可能です(ただし、この部分が全くチェックされない場合もあります)。
いずれにしても、求められている内容は自社の事業形態、個人情報がもつ重要性等に照らして決めなくてはなりません。決して一律に求められている訳ではないことにご留意下さい。
<< FAQ一覧に戻る
|
