1. 委任者は、受任者に対し、受任者が個人情報保護法その他法令、一般社団法人日本 IT 団体連盟(以下「認定団体」という。)による認定基準及び本約款の定めを遵 守していることを条件として、自らの個人情報を、自らの利益のために、第4条に定める同意の範囲内で、管理又は利用(第三者提供を含む)する業務を委任する。
■■■【注:個人情報信託サービスに相当するサービス名を記載】
の利用契約約款(モデル約款)
本モデル約款は、典型的な条項を記載したものであり、申請事業者においては、提供しようとするサービスを踏まえた契約約款を作成することが適切である。本モデル約款と比べて委任者の保護が薄くなる場合は、認定基準を満たさなくなることがある。他方、当該サービスにおいて実施していない項目等に関する条項は、記載対象外とすることができるものとする。
第1条(目的)
本約款は、当社(■■■【注:事業者名を記載】。以下「受任者」という。)が、利用者個人(以下
「委任者」という。)からの委任に基づき、委任者の個人情報を、委任者の便益を図るために適正に管理及び利用する■■■【注:個人情報信託サービスに相当するサービス名を記載】につい て、受任者と委任者の間の権利義務を定めることを目的とする。
第2条(定義)
本約款に別段の定めのない限り、本約款に用いる用語の定義は個人情報の保護に関する法律
(以下「個人情報保護法」という。)に定めるところに従う。
第3条(委任及び業務範囲)
1. 委任者は、受任者に対し、受任者が個人情報保護法その他法令、一般社団法人日本 IT 団体連盟(以下「認定団体」という。)による認定基準及び本約款の定めを遵守していることを条件として、自らの個人情報を、自らの利益のために、第4条に定める同意の範囲内で、管理又は利用(第三者提供を含む)する業務を委任する。
2. 本委任の対象となる個人情報(以下「本個人情報」という。)は、受任者が第4条に定める委任者の同意を得た個人情報であって、本約款を内容とする契約が成立した日の前後を問わず、受任者が適法に取得した委任者に関する個人情報を意味する。ただし、受任者は、次の各号に掲げる情報を取り扱うことはできない。
(1) 要配慮個人情報
(2) ■■■【注:個別の個人情報信託サービスにより必要に応じ追記】
第4条(本個人情報の利用目的及び第三者提供に関する同意)
1.受任者は、第3条1項に定める委任に係る業務(以下「本委任業務」という。)の対象となる本個人情報、その取得方法、利用目的及び第三者提供に係る条件について、委任者に通知の上、委任者から予め同意を取得するものとする。
2.受任者は、前項の第三者提供に係る条件について委任者から同意を取得する際には、①提供先第三者(個社名)、その利用目的及び第三者提供の対象となる本個人情報の項目また
は、②それらについての判断基準および判断プロセス、のいずれかについて、委任者に通知の上、委任者から予め同意を取得するものとする。
3.受任者は、前2項に定める同意の取得にあたり、次の各号の義務を負う。
(1) 委任者が本委任業務の対象となる本個人情報、利用目的及び第三者提供に係る条件について選択することが可能となるよう、選択肢を用意すること。
(2) (1)に定める委任者による選択を実効的なものとするために適切なユーザーインターフェイスを提供すること。
(3) (1)(2)に定める選択肢及びユーザーインターフェイスの適切性について、「情報信託機能の認定に係る指針」に規定される「データ倫理審査会」(以下「データ倫理審査会」という。)に説明を行い、助言を受けること。
(4) ■■■【注:受任者が委任者に対し第三者提供に係る条件等を個別に指定できる機能を提供する場合には、その旨を記載】
第5条(第三者提供における受任者の義務)
1.受任者が本個人情報を第三者提供する場合には、受任者は、次に掲げる事項を遵守するものとする。
(1) 受任者は、第三者提供に係る条件の決定にあたって、次に掲げる手続をとるものとする。
① 認定団体による認定基準に準じた基準に従い、適切な提供先第三者を選定すること。
② 第三者提供に係る条件に関して、データ倫理審査会の承認を得ること、及びデータ倫理審査会の当該承認に係る議事録の要旨を 委任者が容易に知りうる状態に置くこと。
③ ②で承認された第三者提供に係る条件並びに当該条件に基づき選定された提供先第三者、その利用目的及び第三者提供の対象となる本個人情報の項目等を公表すること。
④ 提供先第三者に提供した本個人情報の安全管理が図られるよう、提供先第三者に対する必要かつ適切な監督を行うこと。
(2) 受任者は、提供先第三者との間で、次に掲げる事項を含む本個人情報提供契約(以下
「提供先提供契約」という。)を締結するものとする。
① 提供先第三者から他の第三者に再提供することを禁止すること。ただし、情報銀行の認定を受けている事業者に個人情報が提供される場合および、次に掲げる(ア)ないし
(ウ)をすべて満たす場合には、他の第三者に対する再提供を行うことができる1
(ア) 提供先第三者は、再提供先への提供について、再提供先の業種や事業分類(または個社名)と、その利用目的、提供する個人情報の項目、再提供先に対する個人情報の開示等の請求等の窓口を受任者に報告すること
(イ) 委任者と提供先第三者との間に契約が締結され、再提供先への第三者提供については、提供先第三者が委任者から同意取得すること
(ウ) ①再提供先が公的なガイドラインまたは業法の整備がされている分野におけるいわゆるアグリゲーションサービスである場合または、②再提供が委任者の指示のもと、同様ないし類似の内容のサービスへの乗り換えとして行われる場合のいずれかであること。
② 提供先第三者が当該個人情報を共同利用する場合、共同利用先は受任者が当該個人情報を提供する契約を締結した事業者とすること
③ 提供先第三者が利用目的を明示すること及び当該利用目的は第4条1項の定めにより事前に委任者から同意を取得した内容かつ個人の便益が見込まれる利用目的に限定すること
④ 提供先第三者による当該本個人情報の利用期間
⑤ 提供する本個人情報の形式及び提供の方法(セキュリティ要件を含む 。)
⑥ 提供先第三者が安全管理のために必要かつ適切な措置を講じること。提供先第三者
1 個人情報保護法 27 条 5 項に規定する委託提供、合併その他の事業承継に伴う提供、共同利用による提供は、いずれも第三者に対する提供ではない。
はプライバシーマーク又は ISMS 認証取得事業者、FISC 安全対策基準に基づく安全管理措置(以下、「第三者認証等の取得等」という。)を講じている事業者等に限定し、この第三者認証等の取得等を持たない場合は、以下の措置を講ずる。ただし、提供先第三者が第三者認証等の取得等をしていないが、認定団体が認める業種別ガイドラインにおける安全管理措置を遵守している事業者であると認定団体が認める場合に は、第三者認証等の取得等を講じているものとして扱うことができる。
(ア) 情報は受任者が管理し、提供先第三者には転記・複写禁止の契約を締結し、一覧での閲覧や任意検索ができない方法で、一人分のみ検索できる技術的対策を施した上で、必要な情報の閲覧のみができることとする
(イ) 提供先第三者において特定の個人を識別できないよう、当該個人情報に含まれ る記述等の一部の削除処理(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)を行い、提供先第三者に提供する
(ウ) 受任者の監督下で、提供先第三者から第三者認証等の取得等をしている者に個人情報の取扱いを全て委託させる。また、提供先第三者の委託先に対して受任者の監督が及ぶよう提供先第三者と委託先間の委託契約に規定し、提供先第三者に渡る情報は(ア)又は(イ)の条件を満たすものとする
⑦ 本個人情報について、委任者の求めにより受任者が訂正等を行った場合は、訂正等された本個人情報を提供先第三者に提供すること及び、委任者の求めにより提供先第三者が訂正等を行った場合は委任者に対して受任者にその旨連絡するよう依頼すること
⑧ 本個人情報について、受任者又は提供先第三者が利用停止等を行った場合には、利用停止等の対象とされた本個人情報の項目を相手方に通知すること及び委任者が受任者に対し本個人情報の委任を撤回し、提供先第三者が受任者からその旨の通知をから受けた場合には、提供先第三者は直ちに委任者にかかる本個人情報の利用を停止すること
⑨ 提供先第三者において、委任者からの相談窓口を整えていること及び認定団体の定める認定基準に準じた情報セキュリティ対策等を実施していること
⑩ 提供先第三者において、本個人情報の漏えい等が発生した場合には、直ちにその詳細について受任者に報告すること
➃ 提供先第三者が暴力団、暴力団関係企業、総会屋若しくはこれらに準ずる者又はその構成員その他の反社会的勢力ではないこと及び反社会勢力と資本関係又は取引関係がないことを表明・保証すること
⑫ 受任者は、提供先第三者における本個人情報の利用状況その他提供先第三者による提供先提供契約の遵守状況を確認するため又は委任者による提供先第三者に関する苦情の対応のため、必要に応じ、提供先第三者に対する調査の実施及び報告の徴収をすることができること及び利用・管理方法の是正を求めることができること
⑬ 受任者が、認定団体から認定を受けている場合において、その認定を取消された場合には、提供先提供契約が直ちに終了すること
⑭ 提供先第三者が提供先提供契約上の義務に違反した場合又は提供先提供契約が終了した場合には、提供先第三者は本個人情報の利用を停止しこれを削除する等の措置をとること
⑮ 受任者又は提供先第三者において、本個人情報の利用目的が終了し、本個人情報を保有する法令上の必要性がない場合には、提供先第三者は、本個人情報の利用を停
止しこれを削除するものとすること
⑯ 委任者の要配慮個人情報を推知するプロファイリングを行わないこと
2. 受任者は、第三者提供に係る条件に基づく提供先第三者の名称、事業概要、本個人情報の利用目的及び想定される便益の一覧を公開するものとする。
3. 受任者は、委任者より、第三者提供につき、第10条に定める受任者の相談窓口に対して、提供する本個人情報の範囲を変更すること又は特定の提供先第三者に対し提供しないことを求められた場合には、別途定める手続きによりこれに応じるものとする。
第6条(受任者のその他の義務)
1. 受任者は、善良な管理者の注意をもって本委任業務を行うものとする。
2. 受任者は、認定団体の定める認定基準を遵守するものとする。
3. 受任者は、本個人情報に関して、委任者に対し、プライバシーポリシーで定める内容を遵守する義務を負うものとする。なお、プライバシーポリシーの内容が本約款に矛盾又は抵触する場合には本約款の定めによるものとする。
4. 受任者が委任者から本個人情報を取得する際には、個人情報保護法その他法令を遵守し適正に取得するものとする。
5. 受任者は、本委任業務のために共同利用する場合を除き、本個人情報を他の事業者と共同利用してはならないものとする。
6. 受任者は、委任を受けた本個人情報を、委任者に不利益が生じないよう配慮の上、委任者の便益のために利用するものとし、委任者が直接又は間接に便益を享受できるような利用を行うものとする。また、受任者が提供先第三者に対する本個人情報の提供について直接対価を得た場合には、受任者は、対価を受けた事実について、委任者に通知し、又は委任者が容易に知り得る状態に置くものとする。
7. 受任者は、受任者が保有する委任者の個人情報のうち、本約款に基づき受任者が取得した本個人情報とそれ以外の情報を分別して管理しなければならない。
8. 受任者は、情報漏えい等発生の場合、法令の定めに従い個人情報保護委員会への報告、委任者への通知を行うものとする。
9. 受任者は、仮名加工情報を取り扱う場合、その旨を明示し、共同利用は行わず、仮名加工情報の漏えい等の際は、漏えい等の事実の公表を行うものとする。
10. 受任者は、個人関連情報を取り扱う場合、その旨と取り扱う情報の概要、取得元を明示するものとする。
第7条(受任者による第三者からの個人情報の受領)
1. 受任者は、委任者の指示に従い、委任者に関する本個人情報について、当該委任者に関する個人情報を有する第三者(以下「提供元事業者」という。)から受領し、本委任業務の対象とすることができる。
2. 受任者が、前項に定める本個人情報の受領をする場合には、受任者は、提供元事業者との間で、次の事項を含む本個人情報の受領に関する契約(以下「提供元提供契約」という。)を締結するものとする。
(1) 提供元事業者から受領する本個人情報(以下「受領対象本個人情報」という。)の形式及び受領の方法(セキュリティ要件を含む。)
(2) 受任者における受領対象本個人情報の利用範囲及び取扱条件の制限に関する事項
(3) 受任者において、受領対象本個人情報の漏えい等が発生した場合には、直ちにその詳細について提供元事業者に報告すること
3. 委任者は、1項の指示に先立ち、提供元事業者に対して受任者による本個人情報の受領に関する意向を通知し、提供元事業者の了承を得るものとする。
第8条(受任者が提供する機能)
1. 受任者は、委任者の本個人情報がどの提供先第三者に提供されたのかを把握できるよう、当該第三者提供の履歴を閲覧できる機能を提供するものとする。
2. 受任者は、委任者において簡易迅速で負担なく受任者に対する本個人情報の開示等の請求等を行うことを可能とする機能を提供するものとする。なお、仮名加工情報である個人情報の場合は開示等の請求等の対象とならないため、その旨を受任者のウェブサイトへの掲示等により明示するものとする。
3. 前各項に定めるほか、受任者が、委任者の本個人情報のコントロールができるその他の機能を委任者に提供する場合、受任者は、委任者に対し当該機能を受任者のウェブサイトへの掲示等により明示するものとする。
第9条(委任者の義務)
1. 委任者は、受任者が本委任業務を適切に遂行できるよう、その他受任者から、本委任業務の合理的な遂行に必要な範囲で確認などの求めがあった場合には、適切に対応することに努めるものとする。
2. 委任者が提供する本個人情報は、本人の個人情報に限定する(他人の個人情報を提供してはならない)ものとする。
3. 委任者は、委任者自身に関する正確な情報を受任者に提供するよう努めるものとする。提供した情報に変更がある場合(提供先第三者による訂正等の場合を含む。)には、受任者に対し連絡するものとする。
4. 未xx者、xx被後見人等である委任者については、本委任業務の提供を受けるにあたり、法定代理人の同意を得るものとする。
第10条(相談窓口)
委任者に、本委任業務、受任者もしくは提供先第三者につき疑義が生じた場合又は受任者もしくは提供先第三者に対する苦情がある場合に備えて、受任者は相談窓口を設置し委任者に周知するものとする。
第11条(変更)
委任者による本約款の承諾以降に、本約款を変更しようとする場合、受任者は、予め委任者に対して変更内容の通知、説明を行うものとする。
第12条(損害賠償)
1. 受任者が本約款に定める義務に違反して委任者に損害が生じた場合、受任者は、委任者に対して、当該損害を賠償する責任を負うものとする。
2. 本委任業務の実施において、提供先第三者の責めに帰すべき事由により本個人情報の漏えい、滅失又は毀損が発生し委任者に損害が生じた場合には、受任者は、当該損害を賠償する責任を負うものとする。
第13条(免責事項)
1. 受任者は、提供先第三者から委任者に提供される対価(金銭に限らない)の交付又はサービ
ス(以下「対価の交付等」という。)の保証は行わない。
2. 提供先第三者から委任者に提供される対価の交付等については、委任者の判断にて利用されるものであり、提供先第三者からの対価の交付等に起因して委任者に生じた損害に対しては、受任者は責任を負わないものとする。
第14条(契約の期間及び更新)
本委任業務にかかる契約は、■■■【注:適宜記載】をもって終了するものとする。
第15条(本委任の撤回)
1. 委任者は、本委任について、受任者が別途定める手続に従い、いつでもその全部又は一部を撤回(本個人情報の取扱いの停止、本個人情報の訂正は削除を含む。)することができる。ただし、かかる撤回は既に行われた本委任業務には及ばず、将来に向かって効力を有するものとし、当該撤回が受任者に到達以降、直ちに、受任者は、委任者の当該撤回にかかる本委任業務を停止するものとする。
2. 受任者は、委任者から本委任の撤回があった場合には、提供先第三者にその旨を通知するものとし、提供先第三者は、当該通知を受けたのち、直ちに撤回により求められる措置を行うものとする。
第16条(本委任業務にかかる契約の終了)
1. 受任者が、本委任業務を含む個人情報信託サービスとしての事業を終了する場合、受任者は、委任者に対し、相当な期間を定めて当該終了を通知するものとする。
2. 受任者が認定団体から認定を受けている場合において、その認定を取消された場合は、前項と同様とする。
3. 受任者は、委任者に対して相当な期間を定めて通知をすることにより、いつでも本委任業務にかかる契約を解除し終了させることができる。
4. 委任者に第9条その他の本委任契約上の義務の違反があった場合には、受任者は、相当な期間を定めた催告のうえ、義務違反が解消されない場合には、本委任業務にかかる契約を解除することができる。ただし、義務違反が性質上解消不可能なものである場合または委任者・受任者間の信頼関係を失わせるものである場合には、受任者は、直ちに本委任業務にかかる契約を解除することができる。
5. 本委任業務にかかる契約が終了した場合、受任者は直ちに本個人情報の利用を停止し、これを消去するものとする。
6. 本委任業務にかかる契約の終了が1項もしくは2項の事由による場合または受任者の本委任契約上の義務違反に起因する場合において、契約の終了により委任者が損害を被るときは、受任者は当該損害を賠償する責任を負う。
7. 受任者において、本個人情報の利用目的が終了しており、かつ本個人情報を保有する法令上の必要性がない場合、受任者は、本委任業務にかかる契約の存続中であっても本個人情報を消去するものとする。
第17条(準拠法)
本約款は、日本法に準拠し、日本法に従って解釈される。
第18条(合意管轄)
本委託業務にかかる契約に関する紛争については、【注:特定の地方裁判所等を記載】を第x
xの専属的合意管轄裁判所とする。