本報告書に収録したモデル契約書等は、平成19年3月30日に改定版が公表された「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」、並び に JISQ15001:2006 「日本工業規格 個人情報保護マネジメントシステム -要求事項」に基づき改定された「情報サービス産業 個人情報保護ガイドライン(第4版)」(平成18年
概 要
-平成 18 年度報告書-
「個人情報保護モデル契約と解説」
(社)情報サービス産業協会 取引・市場委員会 契約部会(以下「本部会」という。)では、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)が平成17年4月に全面施行されて以来、更に高まりつつある個人情報の保護に関する社会的要請に応えるには、ユーザ企業等との契約において適切かつ明確な役割分担を合意することが必要であるとの認識に立ち、個人情報の取扱いに関する受託契約上の課題についての調査研究活動を行い、個人情報保護モデル契約書及びその逐条解説を作成した。
本報告書に収録したモデル契約書等は、平成19年3月30日に改定版が公表された「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」、並びに JISQ15001:2006 「日本工業規格 個人情報保護マネジメントシステム -要求事項」に基づき改定された「情報サービス産業 個人情報保護ガイドライン(第4版)」(平成18年
6月22日)など最新の動向を反映させたものとなっている。
1.活動の目的
ユーザ企業等と情報サービス事業者との個人情報保護契約は、取り扱う個人情報の特性に応じて、必要な安全管理措置の内容を具体的に合意し、それぞれの責務を明確にするために有益である。ところが、昨今、ユーザ企業等から個人情報の安全管理措置にかかる責任分担を考慮せず、一方的に情報サービス事業者に損害賠償請求の責務を負担させるような契約の締結が要請されるようになった。
本部会では、ユーザ企業等との適切な責任分担に係る合意のもとで、個人データ等を取り扱う役務を提供することができる環境を整備することを目的として、2つの活動を行った。まず、個人情報の保護を図るためにユーザ企業等との契約で取り決めるべき事項についての考え方(提言)を整理した。次に、この提言を踏まえ、ユーザ企業等との合意形成のベースとして利用できるモデル契約書を策定し、その逐条解説を準備した。
2.本報告書の構成
本報告書は、第1部、第2部及び補論で構成する3部構成をとっている。
第1部では、個人情報の取扱いに関する受託契約上の課題を抽出し、個人情報の適切な保護のためにユーザ企業等と締結する契約の内容に関する考え方を整理した(第2章)。論点の整理にあたって参照した法令、ガイドライン、規格等及び裁判例についても、論点ごとに参照情報として収録した(第3章)。このうち、個人情報の漏えい事案に係る損害賠償請求事件の裁判例については、同部の巻末に第4章としてとりまとめた。
第2部では、第1部において整理した考え方を踏まえ、個人情報の取扱いに際してユーザ企業等と締結する契約のモデル条項、その逐条解説及び関連する書式を収録した。
第1部、第2部ともに情報サービス事業者がユーザ企業等から個人情報の取扱いを受託する取引に関するものであるが、実際には、情報サービス事業者の同業者間取引が多い現
1
状にある。このため、情報サービス事業者間で本契約を利用する場合の留意事項を補論として巻末に置いた。
3.各部の概要
(1)第1部 個人情報の取扱いに関する受託契約上の課題【要旨】
①契約・個人情報の範囲
個人情報の取扱いに関する受託業務の内容、対象となる個人データ等の範囲及び個人データ等の授受方法をできる限り特定することにより、責任の所在を明確化する必要がある。また、ユーザ企業には、委託業務の実施に必要のある個人データのみを情報サービス事業者に取り扱わせるべく協力を求める必要がある。
②安全管理措置等
経済産業分野ガイドラインの記載事項を目安として、これを越える追加的な安全管理措置については、ユーザ企業等と情報サービス事業者との明確な合意によってのみ情報サービス事業者に義務が生じる。
③再委託
情報サービス事業者がユーザ企業等から預託された個人情報の取扱いを第三者に再委託しようとする場合、その旨をユーザ企業等に報告することが望ましい。
④監査
ユーザ企業等の監査に際して、不必要な個人情報や情報サービス事業者のノウハウ等がユーザ企業等に流出する危険を防止するため、ユーザ企業等に守秘義務を課す必要がある。また、ユーザ企業等の監査に対応することにより過大な負荷が想定されるサービスへの配慮も必要である。
⑤損害賠償
個人情報の漏えい等の事故が発生した場合、情報サービス事業者の責に帰すべき事由と関係のない費用も含め、当該事故から生じる一切の負担を情報サービス事業者に転嫁できる契約の締結をユーザ企業から求められることがあるが、情報漏えい等の事故に起因するものであっても、他の情報サービスに関する債務不履行と同様に損害の範囲を通常・直接・現実のものに限定することに合理性がある。個人情報の漏えい等の事故を防止するには、ユーザ企業等と情報サービス事業者とが協力して必要かつ適切な安全管理措置を講じることが必要であり、漏えい等のリスクに関して、情報サービス事業者だけが全ての責任を負担することは妥当ではなく、損害分担の目安として賠償限度額を定めることにも合理性がある。なお、弁護士費用の負担や懲罰的な賠償金、損害賠償の予約等に応じる理由は見当たらない。
⑥従業員個人の誓約書
請負契約の場合でも、受託者の従業員個人の誓約書の提出が求められるケースが増加しているが、ユーザ企業等との間に雇用関係が推認され、指揮命令系統が混乱しているとして、偽装請負と認定されるおそれがある。従業員個人からの誓約書提出先は、あくまでも雇用関係のある情報サービス事業者とすべきである。
⑦従業員の退職後における管理監督
退職後の従業員の行為に対する結果責任を負うこととなる契約を承諾することは、
2
情報サービス事業者の合理的な管理範囲を超えていることから望ましくない。但し、退職後の秘密保持義務に関する契約締結を従業員に求めるなどの措置を講じることを求めることは可能である。
(2)第2部 個人情報の取扱いに関するモデル契約と解説【要旨】
第1部で整理した考え方を基礎として、個人情報の取扱いに関するモデル契約(以下
「本契約」という。)を作成した。ユーザ企業等との間に個人情報データベースの構築、保守及び管理業務に関する業務委託契約(以下「原契約」という。)が成立していることを前提とする。情報サービス事業者において個人情報の取扱いが発生しない業務(ソフトウェアの使用許諾等)や労働者派遣契約などユーザ企業等の指揮命令下で役務が提供される場合は、本契約を利用するのは適当ではない。各条項の概略は、以下のとおり。
①本契約の適用範囲(第1条)
本契約の趣旨を明確にするとともに、本契約の対象となる業務を規定する原契約の定義によって、対象となる業務内容を具体的に特定する規定。
②定義(第2条)
本契約において取扱いの対象となる「個人データ等」の範囲を明確にする規定。
③個人データ等の取扱いの委託(第3条)
個人データ等の取扱いの委託にあたり、授受の際の注意等を定めた規定。授受に際して、ユーザ企業等は、個人データ等である旨を書面で示すなど管理対象となる情報を明確にする義務を負う。
④個人データ等の秘密保持(第4条)
個人データ等の第三者への開示、漏えいの禁止など秘密保持について定め、従業員等に対しても秘密保持義務を課すことを明確にした規定。従業員等の退職に関する措置についても定めている。
⑤安全管理措置(第5条)
法第20条(安全管理措置)に対応する規定。第2項では両者協議のうえ安全管理措置の具体的内容を定めることができることを示している。
⑥管理、監督(第6条)
法第21条(従業者の監督)及び第22条(委託先の監督)に対応する規定。
⑦本人に対する責任等(第7条)
個人データ等の主体である本人との関係において、ユーザ企業等の責任を定め、情報サービス事業者は本人に対して直接義務を負わない旨を定めた規定。
⑧監査(第8条)
委託先の監督義務の一環としてのユーザ企業等の監査権限を認めつつも、監査にあたりユーザ企業等が遵守すべき内容を定めた規定。
⑨改善の指示(第9条)
監査(第8条)の結果、ユーザ企業等が個人データ等の安全管理措置について改善の必要を認めた場合の改善の方法、費用負担等について定めた規定。改善の内容は、契約当事者間の協議の対象である。
⑩事故発生時の対応(第10条)
3
個人データ等の漏えい等の事故が発生した場合の報告など契約当事者がとるべき対応について定めた規定。
⑪損害賠償(第11条)
情報サービス事業者の責に帰すべき事由により本契約に違反したことにより個人データ等の漏えいの事故が発生し、ユーザ企業等に損害が生じた場合の賠償責任について定めた規定。損害賠償条項については原契約の定めに従うものとしている。
⑫免責(第12条)
情報サービス事業者が安全管理措置を誠実に実施していたことを証明できる場合には、その範囲で第11条の損害賠償責任を免れることを明確化した規定。
⑬有効期間(第13条)
本契約終了後も引き続き効力を有する規定を明確化した規定。
⑭個人データ等の返還等(第14条)
本件業務が終了したときの個人データ等の返還又は消去について定めた規定。
⑮原契約との関係(第15条)
本契約は個人情報に関する原契約の特約と位置づけられるため、本契約に定めがない事項については原契約が適用される旨を明確にした規定。
⑯合意管轄(第16条)
契約当事者間に紛争が生じた場合の合意管轄裁判所をあらかじめ定めた規定。
⑰協議(第17条)
本契約に定めがない事項や疑義が生じた場合、当事者間で協議することを定めた規定。
(3)補論
情報サービス事業者が委託者として、ユーザ企業等から受託した個人データ等を他の情報サービス事業者(以下「再委託先」という。)に再委託する場合、ユーザ企業等と締結した契約との整合性を図る必要がある。
このような観点から情報サービス事業者がユーザ企業等から取扱いを委託された個人データ等に関して、再委託先と個人情報の取扱いに関する契約を締結する際に本契約を見直すべき点をまとめた。特に、第1条~第3条、第6条及び第7条については、そのまま利用することが難しく、見直しが必要である。
4.備考
本契約は、ユーザ企業等が委託先に対して必要かつ適切な監督を行う義務(法第22条)を負っていることを踏まえ、ユーザ企業等が法令及び経済産業分野ガイドラインに定める委託者としての責務を十分に果たすことができる内容としていることから、ユーザ企業等での採用を期待したい。
また、本契約では、個人データ等の内容・種類等に応じ、ユーザ企業等と情報サービス事業者間の協議で定めるべき事項(第2条第2号、第3条第3項、第5条第2項)については、具体的合意内容を文書で取り交わすことが望ましい。
以 x
x報告書は、平成 19 年 5 月JISA 会員に各1 部送付した他、希望者に有償で配布しています。
申込方法・価格についてはxxxx://xxx.xxxx.xx.xx/xxxxxx/ をご参照下さい。
4
個人情報の取扱いに関するモデル契約書
(平成 19 年 5月)
※本モデル契約書とその逐条解説は
JISA 平成 18 年度報告書「個人情報保護モデル契約と解説」に収録されています。
【本モデル契約書及びその関連文書の使用について】
本モデル契約及びその関連文書(「報告書」「報告書概要」等、当該モデル契約の作成に関し当協会により作成されたもの。)を当協会の許可なくセミナー(説明会)の資料として配布及び使用することは禁止いたします。
個人情報の取扱いに関する契約書
委託者:xxx(以下「甲」という。)と受託者:ベンダ(以下「乙」という。)とは、甲が乙に取扱いを委託する個人情報の取扱い条件に関して、次の通り合意し、契約(以下「本契約」という。)を締結する。
(本契約の適用範囲)
第1条 本契約は、以下の各号の契約(以下「原契約」という。)に基づき甲が乙に委託する業務のうち、次条に定める個人データ等を取り扱う業務(以下「本件業務」という。)について、当該個人データ等の取扱い条件を定めることを目的とする。
契約書名/契約締結日 | 委託業務 | |
① | ||
② | ||
③ |
(定義)
第2条 本契約において、「個人データ等」とは、個人情報の保護に関する法律(平成15年法律第57号、以下「法」という。)第2条第1項に定める「個人情報」のうち、以下の各号に該当するものをいうものとする。
①法第2条第4項に定める「個人データ」
②前号のほか、甲乙協議の上特に合意して定めた情報
(個人データ等の取扱いの委託)
第3条 甲は、乙による本件業務の遂行上必要な最小限度において、個人データ等の取扱いを乙に委託するものとする。
2.甲は、個人データ等の取扱いを乙に委託する場合は、原則として、当該情報が個人データ等である旨を書面にて乙に示さなければならない。また、甲は、甲が乙に取扱いを委託した情報が、個人データ等に該当するかどうか乙において不明であり、乙が甲に照会したときは、速やかに回答しなければならない。
3.個人データ等の授受担当者、授受媒体、授受方法、授受記録等の方法等は、個人データ等の安全管理の観点から、別途甲乙協議の上書面により定める通りとする。
(個人データ等の秘密保持)
第4条 乙は、本件業務の遂行にあたり甲から取扱いを委託された個人データ等を、甲の書面による事前の承諾を得ることなく、本件業務遂行以外の目的で、加工、利用、複写又は複製してはならないものとし、また、第6条第3項に定める再委託先が本件業務の遂行上必要な最小限度において、個人データ等を取り扱う場合を除き、他に開示し又は漏えいしてはならないものとする。
2.乙は、自己の役員及び従業員(直接的であるか間接的であるかを問わず、乙の指揮監督を受けて本件業務に従事する者をいう。以下「従業員等」という。)に対し、個人データ等に関する秘密保持義務を負わせるとともに、その目的外利用を禁止するものとする。
3.乙は、従業員等が退職する場合、当該従業員等に対し、退職後の秘密保持義務に関する誓約書の提出を求めるなど、在任若しくは在職中に知り得た全ての個人データ等の返還又は破棄を義務づけるために合理的に必要と認められる措置を講ずるものとする。
(安全管理措置)
第5条 乙は、本件業務の遂行にあたり、個人データ等の漏えい、滅失又はき損(以下「漏えい等」という。)の防止のために合理的と認められる範囲内で、組織的、人的、物理的及び技術的な安全管理のために必要かつ適切な措置(以下「安全管理措置」という。)を講じなければならない。
2.甲及び乙は、甲が前項に定める安全管理措置に関し、その具体的内容を特に指定しようとする場合、本件業務の内容、規模及び対価を考慮し、協議を行うものとする。
(管理、監督)
第6条 甲及び乙は、前条に定める安全管理措置を徹底するため、本件業務の遂行にあたり個人データ等の取扱いに関する管理責任者を定めるものとする。
2.乙は、本件業務の遂行上、実際に個人データ等を取扱う従業員等の範囲を限定するものとし、当該従業員等に対して必要かつ適切な監督を行わなければならない。
3.乙は、本件業務の遂行上、個人データ等の取扱いの全部又は一部を第三者(以下「再委託先」という。)に再委託する場合には、再委託する旨、再委託先の名称及び住所を書面により事前に甲に通知するものとし、また、乙の責任において、再委託先に対して、本契約で定められている乙の義務と同等の義務(再委託先において、第5条に定める安全管理措置を講じることを含む。)を課すとともに、必要かつ適切な監督を行わなければならない。
(本人に対する責任等)
第7条 甲は、個人データ等が、法を遵守して適正に取得されたものであることを保証するとともに、乙に個人データ等の取扱いを委託することについて個人データ等の主体たる本人に対して責任を負う。
2.乙は、本人から個人データ等の開示、訂正、追加又は削除等の請求を受けた場合、あ xxは行政機関、司法機関等、本人以外の第三者から個人データ等の提供を要請された場 合、すみやかに甲に通知するものとする。この場合、乙は、本人又は本人以外の者の請求 又は要請に直接応じる義務を負わず、甲が自己の費用と責任をもって対応するものとする。
(監査)
第8条 甲は、乙における安全管理措置の実施状況を確認するために必要な限度において、乙に対する書面による事前の通知により、報告、資料の提出又は監査の受入れを求めることができる。この場合、乙は、事業の運営に支障が生ずるときその他の正当な理由がある場合を除き、甲の求めに応じるものとする。
2.前項の報告、資料の提出又は監査にあたり、乙は甲に対して、乙の営業秘密(不正競争防止法第2条第6項に定める営業秘密をいう。)に関する秘密保持義務等について定めた秘密保持契約の締結を求めることができるものとする。
3.甲は、監査のために乙の事業所又はコンピュータセンター等への入館が必要となる場合、乙所定の事務処理及び入退xxに関する規則に従うものとする。
4.乙は、xによる監査が通常の範囲を超えると判断するとき、甲乙協議の上、監査の受入れのために乙が要した費用を甲に請求することができるものとする。
(改善の指示)
第9条 甲は、前条による報告、資料の提出又は監査の結果、乙において個人データ等の安全管理措置が十分に講じられていないと認めたときは、乙に対し、その理由を書面により通知かつ説明したうえで、安全管理措置の改善を要請することができるものとする。
2.乙は、前項の要請を受けたときは、安全管理措置の改善について甲と協議を行わなけ
ればならない。
3.甲の要請する安全管理措置の改善が第5条に定める安全管理措置の範囲を超え、かつ本件業務の内容、規模及び対価に鑑み不相応な費用を要するものであるときは、当該改善に係る費用は甲が負担するものとする。
(事故発生時の対応)
第10条 乙は、個人データ等の漏えい等の事故が発生したと認識し、又は発生したおそれがあると判断したときは、直ちに甲に報告するものとする。このとき、甲及び乙は、事故の拡大又は再発を防止するために合理的に必要と認められる措置を講じなければならない。
2.前項の場合において、甲及び乙が講ずべき措置については、安全管理措置の実施状況、事故によって個人データ等の本人が被る権利利益の侵害の状況、事故の内容及び規模等に鑑み、甲乙協議の上定めるものとする。
(損害賠償)
第11x xは、自己の責に帰すべき事由により、本契約に違反して、個人データ等の漏えい等の事故が発生し、甲に損害が生じた場合、原契約に従ってこれを賠償する責任を負うものとする。
<原契約に損害賠償条項が存在しない場合>
(損害賠償)
第11条 乙は、自己の責に帰すべき事由により、個人データ等への漏えい等の事故 が発生し、甲に損害が生じた場合、乙の本契約に違反する行為の直接の結果として現 実に生じた通常の損害に限り、損害発生の原因となった本件業務の対価を上限として、賠償の責任を負うものとする。
(免責)
第12条 乙は、第5条に定める安全管理措置を誠実に実施したこと、また、それにもかかわらず個人データ等の漏えい等の事故の発生を回避できなかったことを証明できる場合、その範囲内において、前条に定める損害賠償の責任を免れるものとする。
(有効期間)
第13条 本契約の有効期間は、本契約締結の日から本件業務の終了の日までとする。
2.前項の定めにかかわらず、第4条、第7条、第11条、第12条、第14条、第15条及び第16条は、本契約終了後も有効に存続するものとする。
(個人データ等の返還等)
第14条 乙は、本件業務が終了したとき、又は甲の求めがあるときはいつでも、甲より取扱いを委託された個人データ等(その複製物を含む。)の全部又は一部を甲に返還し、又は記録媒体から消去しなければならない。
(原契約との関係)
第15条 本契約に定めのない事項については、原契約の定めるところによる。
(合意管轄)
第16条 本契約に関する紛争については、○○地方裁判所を専属的合意管轄裁判所とする。
(協議)
第17条 本契約に定めのない事項又は疑義が生じた事項については、xxxxの原則に従い甲乙協議し、円満に解決を図るものとする。
以上、本契約締結の証として本書2通を作成し、甲乙記名押印のうえ、各1通を保有する。年 月 日
甲:
乙: