|
<< FAQ一覧に戻る
Q3-8.個人情報に関係する業務委託の際、以下の3種類の契約書を交わすことが望ましいと聞きました。
(1)委託基本契約+個別委託契約
(2)秘密保持契約
(3)個人情報覚書
当社では、業務委託契約書を締結する際に、条文の中に「秘密保持」と「個人情報保護」の条文を入れています。このようなオールインワンの契約方法でも構わないでしょうか?
業務委託契約書を締結する際に、条文の中に「秘密保持」と「個人情報保護」の条文を入れる事でガイドライン、あるいはJISQ15001等での委託時の義務規程の内容をうまくカバーできるのであればかまいません。
しかし厳密に個人情報保護ポリシー、セキュリティポリシーに従い契約によってその保護水準を担保しようとすると、業務委託契約書に一文を入れる程度では済まないことがほとんどですので、以下の「契約に盛り込むことが望まれる事項」の内容を織り込んだ契約書を作成することが必要です。(但し業種、業態により内容に差があると思います)。
<経産省ガイドラインにおける契約内容例>(解説)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、法第20条に基づく安全管理措置を遵守させるよう、受託者に対し必要かつ適切な監督をしなければならない(電話帳、カーナビゲーションシステム等の取扱いについての場合を除く。)。その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。 「必要かつ適切な監督」には、委託契約において、当該個人データの取扱に関して、必要かつ適切な安全管理措置として、委託者、受託者双方が同意した内容を契約に盛り込むとともに、同内容が適切に遂行されていることを、あらかじめ定めた間隔で確認することも含まれる。
なお、優越的地位にある者が委託者の場合、受託者に不当な負担を課すことがあってはならない。 また、委託者が受託者について「必要かつ適切な監督」を行っていない場合で、受託者が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより、何らかの問題が生じた場合は、元の委託者がその責めを負うことがあり得るので、再委託する場合は注意を要する。
【個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項】
・委託者及び受託者の責任の明確化
・個人データの安全管理に関する事項
:個人データの漏えい防止、盗用禁止に関する事項
:契約範囲外の加工、利用の禁止
:委託契約範囲外の複写、複製の禁止
:委託契約期間
:委託契約終了後の個人データの返還・消去・廃棄に関する事項
・再委託に関する事項
:再委託を行うに当たっての委託者への文書による報告
・個人データの取扱状況に関する委託者への報告の内容及び頻度
・契約内容が遵守されていることの確認 (例えば、情報セキュリティ監査なども含まれる。)
・契約内容が遵守されなかった場合の措置
・セキュリティ事件・事故が発生した場合の報告・連絡に関する事項
<< FAQ一覧に戻る
|
