Contract

個人情報保護に係る業務委託契約書（案）

株式会社○○○○【委託者】（以下「甲」という。）及び株式会社●●●●【受託者】（以下「乙」という。）とは、第２条に定める業務を甲が乙に委託するにあたり、下記の通り業務委託契約（以下「本契約」という）を締結する。

第１条（用語の定義）

本契約において、以下に掲げる用語の意義は、当該各号に定めるところによるものとする。

(1)「委託業務」とは、第２条に規定する甲が乙に委託する業務の内容をいう。

(2) 「個人情報」とは、「個人情報の保護に関する法律」（平成15年法律第57号、以下「法」という。）第２条第１項に規定する個人情報であって、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。

①当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の近くによっては認識できない方式をいう。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて評された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含む。）

②個人識別符号（法第２条第２項に規定する個人識別符号をいう。）が含まれるもの

(3) 「個人情報データベース等」とは、(i)特定の個人情報をコンピュータ等を用いて検索できるように体系的に構成したもの及び(ii)これに含まれる個人情報を一定の規則に従って整理することにより特定の個人情報を容易に検索することができるように体系的に構成した情報の集合物であって、目次、索引その他検索を容易にするためのものを有するものをいい、利用方法からみて個人の権利利益を害するおそれが少ないものとして次のいずれにも該当するものを除く。

①不特定かつ多数の者に販売することを目的として発行されたものであって、かつ、その発行が法又は法に基づく命令の規定に違反して行われたものでないこと。

②不特定かつ多数の者により随時に購入することができ、又はできたものであること。

③生存する個人に関する他の情報を加えることなくその本来の用途に供しているものであること。

(4)「個人データ」とは、個人情報のうち、個人情報データベース等を構成するものをいう。¹

(5)「事務取扱責任者」とは、乙において委託業務に係る個人データの管理に関する責任を担うものをいう。

(6)「事務取扱担当者」とは、乙において委託業務に係る個人データを取り扱う事務に従事する者をいう。

(7) 「従業者」とは、乙の組織内にあって直接間接に事業者の指揮監督を受けて事業者の業務に従事している者等をいい、雇用関係にある従業員（正社員、契約社員、嘱託社員、パート社員、アルバイト社員等）のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれるものとする。

(8)「第三者」とは、甲及び乙（甲及び乙の役員・従業員を含む。）以外の全てのものをいう。

(9)「管理区域」とは、委託業務に係る個人データを取り扱う情報システムを管理する区域をいう。

(10)「取扱区域」とは、委託業務に係る個人データを取り扱う事務を実施する区域をいう。

第２条（委託業務の内容）

甲が乙に委託する業務の内容は以下のとおりとする。

(1)契約名：○○○○

(2)業務内容：○○○○（以下，「本件業務」という。）

(3)契約期間：平成○○年○○月○○日～平成○○年○○月○○日

第３条（表明・保証）

１．乙は、甲に対し、本契約締結にあたり、本契約締結日時点及び本契約の有効期間中において、以下の事項がxxかつ正確であることを表明し、保証する。

(1)行為能力

乙は、適用法令上、本契約を締結し、本契約に基づく権利を行使し、義務を履行する権利能力及び行為能力を有すること

(2)社内手続

乙は、本契約を締結し、本契約に基づく権利を行使し、義務を履行するために、法令及び定款その他の社内規則に基づき要求される内部手続を適法かつ適正に完了していること

(3)適法性等

本契約を乙が締結し又は乙が本契約に基づく権利を行使し、もしくは義務を履行することは、乙に対して適用のある一切の法令、乙の定款その他の社内規則に抵触せず、乙を当事者とする契約の違反又は債務不履行事由とはならないこと

(4)有効な契約

本契約は、これを締結した甲につき適法、有効かつ拘束力のある契約であること

(5)非詐害性

乙は、現在債務超過ではなく、乙が本契約を締結することは、詐害行為取消の対象とはならず、乙の知りうる限り、本契約について詐害行為取消その他の異議を主張する第三者は存在しないこと

(6)提供情報の正確性

乙が、本契約の締結にあたって、甲に提供した情報は、重要な点において正確であり、かつ、重要な情報は全て甲に提供されていること

２．乙は、甲に対し本契約締結にあたり、乙（乙の役員・従業員を含む。以下本項において同じ）が、暴力団、暴力団員、暴力団員でなくなった時から５年を経過しない者、暴力団準構成員、暴力団関係企業、総会屋等、社会運動等標ぼうゴロ又は特殊知能暴力集団等、その他これらに準ずる者（以下総称して「暴力団員等」という）又は(1)の各号のいずれにも該当しないことを表明・保証するとともに、将来においても乙が暴力団員等又は(1)の各号のいずれにも該当しないこと、自ら又は第三者を利用して(2)の各号のいずれかに該当する行為を一切行わないことを確約し、乙の故意過失を問わず、かかる表明・保証に違反し、あるいはかかる確約に違反した場合には、本契約に基づく取引が停止されることがありえることを異議なく承諾する。これにより乙に損害が生じた場合でも甲に何らの請求は行わず、一切乙の責任とする。また、かかる表明・保証、確約に違反して甲に損害が生じた場合には、その一切の損害を乙（乙の役員・従業員は含まない）は賠償しなければならないものとする。

(1)①暴力団員等が経営を支配していると認められる関係を有すること

②暴力団員等が経営に実質的に関与していると認められる関係を有すること

③自己、自社もしくは第三者の不正の利益を図る目的又は第三者に損害を加える目的をもってするなど、不当に暴力団員等を利用していると認められる関係を有すること

④暴力団員等に対して資金等を提供し、又は便宜を供与するなどの関与をしていると認められる関係を有すること

⑤役員又は経営に実質的に関与している者が暴力団員等と社会的に非難されるべき関係を有すること

(2)①暴力的な要求行為　

②法的な責任を超えた不当な要求行為　

③取引に関して、脅迫的な言動をし、又は暴力を用いる行為　

④風説を流布し、偽計を用い又は威力を用いて甲の信用を毀損し、又は甲の業務を妨害する行為　

⑤その他①ないし④に準ずる行為

第４条（委託料金）

１．甲は第２条の乙に対する委託項目に関する委託料金については、甲・乙間にて別途書面にて合意する。

２．前項に係わる消費税は、別途加算する。

第５条（善管注意義務）

乙は第２条に定める業務を、善良なる管理者の注意義務をもって行うものとする。

第６条（個人データの管理部署・責任者・従事者）²

１．乙は、乙の【○○部】を委託業務を統括管理する部署とする。

２．乙は、【○○部長】を事務取扱責任者とする。

３．乙は、乙の【○○部】の職員の中から事務取扱担当者を選任する。

４．事務取扱責任者は、乙における個人データの目的外利用又は漏えい等が発生しないよう適切な措置を講ずるものとし、個人データに関する乙との連絡窓口となるものとする。

第７条（事務取扱担当者の教育・訓練）³

乙は、事務取扱担当者に対して、委託業務を行うために必要な教育及び訓練をしなければならない。

第９条（個人データの安全管理）

乙は別紙１の【個人情報取扱規程】に従い、委託業務に係る個人データの安全管理を行うものとする。

【代替案】

乙は『個人情報の保護に関する法律についてのガイドライン（通則編）』（以下「ガイドライン」という。）の「8（（別添）講ずべき安全管理措置の内容）」に定める各項目が、委託業務に沿って、確実に実施されることを含め、甲自らが果たすべき安全管理措置と同等の措置が講じなければならない。

第１０条（個人データの持出しの禁止）⁴

乙の事務取扱担当者は、委託業務に係る個人データを、乙の事務所内の管理区域又は取扱区域の外へ持ち出してはならない。

第１１条（個人データの秘密保持義務）⁵

乙は、個人データを、秘密として保持し、法に基づき委託業務を処理する場合又は第三者に委託業務の全部又は一部を再委託をする場合を除き、第三者に提供、開示、漏えい等をしてはならない。

第１２条（個人データの目的外利用の禁止）⁶

乙（事務取扱責任者及び事務取扱担当者を含む。）は、個人データを第２条に定める委託業務の目的以外の目的に利用してはならないものとする。

第１３条（再委託）

１．乙は、『個人情報の保護に関する法律についてのガイドライン（通則編）』「8（（別添）講ずべき安全管理措置の内容）」に定める各項目が、委託する業務内容に沿って、確実に実施されることを含め、甲自らが果たすべき安全管理措置と同等の措置が講じられる再委託先に限定して委託業務の全部又は一部を再委託するものとし、甲の事前の書面による同意を得るものとする⁷。甲は、乙に対して、乙が再委託先をしようとしている者の安全管理措置の状況について書面（再委託先の個人情報取扱規程等を含むがこれに限らない。）により確認を求めることができる。

２．乙は再委託先との間で、本契約と同等の内容の再委託契約を締結しなければならないものとする。再委託契約の中には、再委託先が更に委託業務の全部又は一部を再委託する場合には、甲及び乙の事前の書面による同意を得るものとする規定を置くものとする⁸。

３．甲は、再委託先について、委託業務の全部又は一部の委託を受けた者とみなし、乙が再委託先に対して適切な監督を行っているかどうかを監督するものとする。

第１４条（廃棄）⁹

１．乙は、委託業務に係る個人データが記載された書類等については、保存期間経過後【１年以内】に廃棄する旨の手続を定めるものとする。

２．乙は、委託業務に係る個人データを取り扱う情報システムにおいて、保存期間経過後【１年以内に】当該個人データを削除する情報システムを構築するものとする。

３．乙は、委託業務に係る個人データが記載された書類等を廃棄する場合、焼却又は溶解等の復元不可能な手段を採用するものとする。

４．乙は、委託業務に係る個人データが記録された機器及び電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等により、復元不可能な手段を採用するものとする。

５．乙は、委託業務に係る個人情報データベース等の個人データを削除する場合、容易に復元できない手段を採用するものとする。

６．乙は、委託業務に係る個人データ又は個人情報データベース等を削除した場合、又は電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存するものとすると共に、甲に対して削除又は廃棄したことに関する証明書を交付するものとする。

第１５条（本契約終了後の個人データの返却・廃棄）¹⁰

乙は、本契約が終了した場合は、直ちに、委託業務に係る個人データを甲に返却するものとする。但し、甲の指示があるときは、その指示内容に従い返却・廃棄又はその他の処分をするものとする。

第１６条（漏えい等が発生した場合）¹¹

１．乙は、委託業務に係る個人データを漏えい、滅失又は毀損（以下「漏えい等」という。）をすることがないよう必要な措置を講ずるものとし、乙の支配が可能な範囲において委託業務に係る個人データの漏えい等に関し責任を負うものとする。

２．乙又はその従業者が、漏えい等をした場合又はそのおそれがある場合には、乙は直ちに甲に報告しなければならない。この場合、乙は、速やかに必要な調査を行うとともに、再発防止策を策定するものとし、甲に対し調査結果及び再発防止策の内容を報告する。

３．乙から委託業務の全部又は一部の再委託を受けた者（以下「再委託先」という。）が、委託業務に係る個人データの漏えい等した場合又はそのおそれがある場合には、乙は再委託先をして、直ちに甲及び乙に対して報告させるものとする。この場合、乙は再委託先をして、速やかに必要な調査を行わせるとともに、再発防止策を策定させるものとし、甲に対し調査結果及び再発防止策の内容を報告させるものとする。

４．前２項の場合、xが個人情報保護委員会又は事業所管大臣に漏えい等又はそのおそれがあることを報告する場合であって、甲の要請がある場合には、乙は甲と共同して報告をするとともに、再委託先をして甲と共同して報告をさせるものとする。

５．委託業務に係る個人データの漏えい等に関し、甲の役職員を含む第三者から、訴訟上又は訴訟外において、甲に対する損害賠償請求等の申立がされた場合、乙は当該申立の調査解決等につき甲に合理的な範囲で協力するものとする。

６．前項の第三者からの甲に対する申立が、第１項に定める乙の責任範囲に属するときは、乙は、甲が当該申立を解決するのに要した一切の費用を負担する。

７．委託業務に係る個人データの漏えい等に関し、甲の役職員を含む第三者から、訴訟上又は訴訟外において、乙に対する損害賠償請求等の申立がされた場合、乙は、申立を受け、それを認識した日から５日以内に甲に対し、申立の事実及び内容を書面で通知するものとする。

８．甲が必要と判断するときは、甲は、乙に対し、相当かつ合理的と認められる範囲で前項の申立の解決に関する指示又は援助を行なうことができる。

９．本条の定めは本契約終了後も有効とする。

第１７条（委託業務の遵守状況についての報告）¹²

１．乙は、甲が要求した場合は、年１回（特に必要がある場合はそれ以上）、別に定める委託先モニタリングシートに基づき、委託業務の遵守状況、委託業務に係る個人データの安全管理措置等（再委託先における委託業務の遵守状況、委託業務に係る個人データ安全管理措置等を含む。）を書面で報告するものとし、甲は、乙に対し、書面により委託業務の遵守状況等について確認すると共に、必要な改善を求めることができる。

２．甲及び乙は前項の確認の結果を踏まえ、委託業務に係る個人データの安全管理体制の改善要否を協議し、改善が必要と判断した場合は双方協力のうえ対応するものとする。

第１８条（監査・検査・行政庁等への協力等）¹³

１．甲又は甲の指定した者は、乙に事前に通知し、乙の承諾を得た上でいつでも、乙の業務に支障を生じさせない範囲内において、乙の施設への立入り、必要な書類の閲覧・複写、乙の役員・従業員への事情聴取など、委託業務の処理状況等について監査・検査を実施することができる。乙は、合理的事由のある場合を除き、甲又は甲の指定した者の監査・検査に協力しなければならない。

２．前項の監査・検査の結果、委託業務に係る個人データの安全管理体制の改善が必要と甲が判断した場合、甲は乙に対し、その改善を要請することができる。

３．乙は、甲が要求した場合は、年１回（特に必要がある場合はそれ以上）、乙の費用で、甲が指定又は認める外部機関によるセキュリティ検査を受け、甲の要求する基準を満たさなければならない。

４．乙は、甲の監督当局に対する義務の履行等（甲を対象とした監督当局による検査、報告命令、記録の提出要求に対する対応、その他甲の監督当局に対する義務の履行等）を妨げることがないよう、甲に対する情報提供・資料提出等必要な協力を行わなければならない。

第１９条（損害賠償）

乙の責めに帰すべき理由により甲が損害を受けたとき、乙はその損害額を賠償するものとする。本条の定めは本契約終了後も有効とする。

第２０条（苦情等への対応）　

乙は、委託業務に関し役職員等から苦情等を受けた場合、甲に対し遅滞なく連絡を行うと共に、当該苦情等に関する役職員等から甲への直接の連絡体制を整備するものとする。

第２１条（契約上の地位の譲渡禁止）

甲及び乙は、相手方の事前の書面による承諾なく、本契約上の地位又は本契約上の地位に基づく権利もしくは義務の全部又は一部を第三者に譲渡その他の処分をしてはならないものとする。

第２２条（有効期間・解約）

１．本契約の有効期間は、契約締結日から１年間とし、甲又は乙いずれか一方が期間満了の３ヶ月前までに別段の書面による意思表示をしないときは、さらに１年間自動延長するものとし、以後も同様とする。

２．甲及び乙は、本契約の有効期間中において本契約を解約しようとする場合には、相手方と誠実に協議を行うものとし、協議が整わないと合理的に判断したときは相手方に１ヶ月前までに書面による通知を行なうことにより、本契約を解約できる。

第２３条（契約解除等）

１．甲は、次の各号のいずれかに該当するときは乙に何らの催告をすることなく直ちに本契約を解除することができるものとする。

(１)乙が本契約の内容に違反し、本契約に基づく業務の遂行が困難となるような事態に至ったとき又は自らが甲の本契約違反により損害を被ったとき

(２)乙の故意又は過失により損害を被ったとき

(３)乙の故意又は過失により委託業務に係る個人データの漏えい事案が発生したとき

(４)乙が監督官庁から営業の取消又は停止処分を受けたとき

(５)乙が受ける自ら振り出しもしくは引き受けた手形又は小切手につき不渡り処分を受ける等支払停止状態に至ったとき

(６)乙が、差押、仮差押、仮処分、租税滞納処分を受け又は民事再生手続、会社更生手続の開始、破産手続の開始その他類似する倒産手続の開始、もしくは競売を申立てられ又は自ら民事再生手続、会社更生手続の開始もしくは破産手続の開始その他類似する倒産手続の申立てをしたとき

(７)乙が事業の廃止又は解散の決議をしたとき

(８)その他乙の財産状態が悪化し又はその恐れがあると認められる相当の事由があるとき

(９)乙（乙の役員・従業員を含む。以下本号及び次号において同じ）が、暴力団員等に該当したとき、又は第３条第２項（１）に該当したことが判明したとき

(10)乙が、自ら又は第三者を利用して、第３条第２項（２）に該当する行為をしたとき

２．前１項による解除は、甲が乙に対して損害賠償の請求を行うこと妨げるものではない。

第２４条（管轄裁判所）

本契約に関する甲乙間の紛争については、東京地方裁判所を第xxの専属的合意管轄裁判所とするものとする。

第２５条（準拠法）

本契約は、日本法に従って解釈され、本契約に関する紛争は日本法に従って処理されるものとする。

本契約の証としてxx２通を作成し、甲乙記名捺印のうえ各１通を保有する。

平成　　年　　月　　日

　　　　　　　　甲　　　【住所】

　　　　　　　　　　　　【株式会社○○○○】

　　　　　　　　　　　　【代表者名】

　　　　　　　　乙　　　【住所】

　　　　　　　　　　　　【株式会社○○○○】

　　　　　　　　　　　　【代表者名】

1 法２条６項（個人データの定義）。

2 従業者の明確化（マイナンバーの取扱いに準拠）

3 従業者に対する監督・教育（マイナンバーの取扱いに準拠）

4 事業所内からの個人データの持出しの禁止（マイナンバーの取扱いに準拠）

5 秘密保持義務（マイナンバーの取扱いに準拠）

6 目的外利用の禁止（マイナンバーの取扱いに準拠）

7 GL（通則編）3-3-4(3)においては、「委託元は、委託先が再委託する相手方、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受け又は承認を行うこと」とされているが、事前報告では再委託先の選定やコントロールが弱くなるため、事前承認とした。「適切な委託先の選定」については、

8 番号法10条１項に基づき、再委託先が更に再委託する場合も委託者の許諾が必要となります。特定個人情報ガイドライン第４－２－⑴では、再委託した場合の委託先に対して通知義務等を盛り込むことが望ましいとされている。ここでは、委託先の事前の書面による同意が必要な旨定めています。

9 安全管理措置ガイドライン２．Ｅ．d. 第５項に規定されているとおり、廃棄の作業を委託する場合には、委託先が確実に削除又は廃棄したことについて、証明書等により確認することとされています。

10　委託契約終了後の特定個人情報の返却又は廃棄（マイナンバーの取扱いに準拠）

11　漏えい事案等が発生した場合の委託先の責任（マイナンバーの取扱いに準拠）

12　契約内容の遵守状況について報告を求める規定（マイナンバーの取扱いに準拠）。GL（通則編）3-3-4(3)では、「定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討する。」とされているが、「定期的な監査」よりも、「定期的な報告」の方が現実的であると考えられるため、第17条では定期的な報告・第18条では必要と認めた場合の監査について規定している。

13　委託者が委託先に対して実地の調査を行うことができる規定（マイナンバーの取扱いに準拠）。

- 9 –