Contract
個人情報の取扱いに関するモデル契約書(第 3 版)
(令和 4 年 9 月)
【本モデル契約書及びその関連文書の使用について】
本モデル契約及びその関連文書(当該モデル契約の作成に関し当協会により作成されたもの。)を当協会の許可なくセミナー(説明会)の資料として配布及び使用することは禁止いたします。
個人情報の取扱いに関する契約書
委託者:xxx(以下「甲」という。)と受託者:ベンダ(以下「乙」という。)とは、甲が乙に取扱いを委託する個人情報の取扱い条件に関して、次のとおり合意し、契約(以下「本契約」という。)を締結する。
(本契約の適用範囲)
第 1 条 本契約は、以下の各号の契約(以下「原契約」という。)に基づき甲が乙に委託する業務のうち、次条に定める個人データ等を取り扱う業務(以下「本件業務」という。)について、当該個人データ等の取扱い条件を定めることを目的とする。
契約書名/契約締結日 | 委託業務 | |
① | ||
② | ||
③ |
(定義)
第 2 条 本契約において、「個人データ等」とは、個人情報の保護に関する法律 (平成 15 年法律第 57 号、以下「法」という。)第 2 条第 1 項に定める「個人情報」のうち、以下の各号に該当するものをいうものとする。
①法第 16 条第 3 項に定める「個人データ」
②前号のほか、甲乙協議の上特に合意して定めた情報
(個人データ等の取扱いの委託)
第 3 条 甲は、乙による本件業務の遂行上必要な最小限度において、個人データ等の取扱いを乙に委託するものとする。
2.甲は、個人データ等の取扱いを乙に委託する場合は、原則として、当該情報が個人データ等である旨を書面にて乙に示さなければならない。また、甲は、甲が乙に取扱いを委託した情報が、個人データ等に該当するかどうか乙において不明であり、乙が甲に照会したときは、速やかに回答しなければならない。
3.個人データ等の授受担当者、授受媒体、授受方法、授受記録等の方法等は、個人データ等の安全管理の観点から、別途甲乙協議の上書面により定めるとおりとする。
<オプション>
4.本件業務の一環として、甲が乙に対し、個人データ等から仮名加工情報(法第 16 条第 5 項に規定する仮名加工情報データベース等を構成するものに限る。以下同じ。) の作成を委託する場合は、別紙「仮名加工情報作成に関する特則」を適用する。
<オプション>
5.本件業務の一環として、甲が乙に対し、個人データ等から匿名加工情報(法第 16 条第 6 項に規定する匿名加工情報データベース等を構成するものに限る。以下同じ。) の作成を委託する場合は、別紙「匿名加工情報作成に関する特則」を適用する。
(個人データ等の秘密保持)
第 4 条 乙は、本件業務の遂行にあたり甲から取扱いを委託された個人データ等を、甲の書面による事前の承諾を得ることなく、本件業務遂行以外の目的で、加工、利用、複写又は複製してはならないものとし、また、第 7 条に定める再委託先が本件業務の遂行上必要な最小限度において、個人データ等を取り扱う場合を除き、他に開示し又は漏えいしてはならないものとする。
(安全管理措置)
第 5 条 乙は、本件業務の遂行にあたり、個人データ等の漏えい、滅失又はき損(以下「漏えい等」という。)の防止のために合理的と認められる範囲内で、組織的、人的、物理的及び技術的な安全管理のために必要かつ適切な措置(以下「安全管理措置」という。)を講じなければならない。
2.甲及び乙は、前項に定める安全管理措置を徹底するため、本件業務の遂行にあたり個人データ等の取扱いに関する管理責任者を定めるものとする。
3.甲及び乙は、甲が第 1 項に定める安全管理措置に関し、その具体的内容を特に指定しようとする場合、甲及び乙は、本件業務の内容、規模及び対価を考慮し、協議の上、対応を決定するものとする。
(従業者の監督)
第 6 x xは、自己の役員及び従業員(直接的であるか間接的であるかを問わず、乙の指揮監督を受けて本件業務に従事する者をいう。以下「従業者」という。)に対し、個人データ等に関する秘密保持義務を負わせるとともに、その目的外利用を禁止するものとする。
2.乙は、本件業務の遂行上、実際に個人データ等を取扱う従業者の範囲を限定するものとし、当該従業者に対して必要かつ適切な監督を行わなければならない。
3.乙は、従業者が退職する場合、当該従業者に対し、退職後の秘密保持義務に関する誓約書の提出を求めるなど、在任若しくは在職中に知り得た全ての個人データ等の返還又は破棄を義務づけるために合理的に必要と認められる措置を講ずるものとする。
(委託先の監督)
第 7 条 乙は、本件業務の遂行上、個人データ等の取扱いの全部又は一部を第三者(以下「再委託先」という。)に再委託する場合には、再委託する旨、再委託先の名称及び住所等を書面により事前に甲に通知するものとし、また、乙の
責任において、再委託先に対して、本契約で定められている乙の義務と同等の義務(再委託先において、第 5 条に定める安全管理措置を講じることを含む。)を課すとともに、必要かつ適切な監督を行わなければならない。
(本人に対する責任等)
第 8 条 甲は、個人データ等が、法を遵守して適正に取得されたものであることを保証するとともに、乙に個人データ等の取扱いを委託すること(前条の規定に基づき乙から通知された再委託先が外国にある第三者である場合であって、かつ本人の同意を得る必要がある場合の同意の取得を含む。)について個人データ等の主体たる本人に対して責任を負う。
2.乙は、本人から個人データ等の開示、訂正、追加又は削除等の請求を受けた場合、あるいは行政機関、司法機関等、本人以外の第三者から個人データ等の提供を要請された場合、速やかに甲に通知するものとする。この場合、乙は、本人又は本人以外の者の請求又は要請に直接応じる義務を負わず、甲が自己の費用と責任をもって対応するものとする。
(監査)
第 9 条 甲は、乙における安全管理措置の実施状況を確認するために必要な限 度において、乙に対する書面による事前の通知により、報告、資料の提出又は 監査の受入れを求めることができる。この場合、乙は、事業の運営に支障が生 ずるときその他の正当な理由がある場合を除き、甲の求めに応じるものとする。
2.前項の報告、資料の提出又は監査にあたり、乙は甲に対して、乙の営業秘密 (不正競争防止法第 2 条第 6 項に定める営業秘密をいう。)に関する秘密保持義務等について定めた秘密保持契約の締結を求めることができるものとする。
3.甲は、監査のために乙の事業所又はコンピュータセンター等への入館が必要となる場合、乙所定の事務処理及び入退xxに関する規則に従うものとする。
4.乙は、xによる監査が通常の範囲を超えると判断するとき、甲乙協議の上、監査の受入れのために乙が要した費用を甲に請求することができるものとする。
(改善の指示)
第 10 条 甲は、前条による報告、資料の提出又は監査の結果、乙において個人 データ等の安全管理措置が十分に講じられていないと認めたときは、乙に対し、その理由を書面により通知かつ説明した上で、安全管理措置の改善を要請する ことができるものとする。
2.乙は、前項の要請を受けたときは、安全管理措置の改善について甲と協議を行わなければならない。
3.甲の要請する安全管理措置の改善が第 5 条に定める安全管理措置の範囲を超え、かつ本件業務の内容、規模及び対価に鑑み不相応な費用を要するものであるときは、当該改善に係る費用は甲が負担するものとする。
(事故発生時の対応)
第 11 条 乙は、個人データ等の漏えい等の事故が発生したと認識し、又は発生したおそれがあると判断したときは、直ちに甲に報告するものとする。このとき、甲及び乙は、事故の拡大又は再発を防止するために合理的に必要と認められる措置を講じなければならない。
2.前項の場合において、甲及び乙が講ずべき措置については、安全管理措置の実施状況、事故によって個人データ等の本人が被る権利利益の侵害の状況、事故の内容及び規模等に鑑み、甲乙協議の上定めるものとする。
(損害賠償)
第 12 x xは、自己の責に帰すべき事由により、本契約に違反して、個人データ等の漏えい等の事故が発生し、甲に損害が生じた場合、原契約に従ってこれを賠償する責任を負うものとする。
<原契約に損害賠償条項が存在しない場合>
(損害賠償)
第 12 条 乙は、自己の責に帰すべき事由により、個人データ等への漏えい等の事故が発生し、甲に損害が生じた場合、乙の本契約に違反する行為の直接の結果として現実に生じた通常の損害に限り、損害発生の原因となった本件業務の対価を上限として、賠償の責任を負うものとする。
(免責)
第 13 条 乙は、第 5 条に定める安全管理措置を誠実に実施したこと、また、それにもかかわらず個人データ等の漏えい等の事故の発生を回避できなかったことを証明できる場合、その範囲内において、前条に定める損害賠償の責任を免れるものとする。
(有効期間)
第 14 条 本契約の有効期間は、本契約締結の日から本件業務の終了の日までとする。
2.前項の定めにかかわらず、第 4 条、第 8 条、第 12 条、第 13 条、第 15 条、
第 16 条、第 17 条及び第 18 条は、本契約終了後も有効に存続するものとする。
(個人データ等の返還等)
第15 条 乙は、本件業務が終了したとき、又は甲の求めがあるときはいつでも、甲より取扱いを委託された個人データ等(その複製物を含む。)の全部又は一部を甲に返還し、又は記録媒体から消去しなければならない。
(原契約との関係)
第 16 条 本契約に定めのない事項については、原契約の定めるところによる。
(合意管轄)
第 17 条 本契約に関する紛争については、○○地方裁判所を専属的合意管轄裁
判所とする。
(協議)
第 18 条 本契約に定めのない事項又は疑義が生じた事項については、xxxxの原則に従い甲乙協議し、円満に解決を図るものとする。
以上、本契約締結の証として本書 2 通を作成し、甲乙記名押印の上、各 1 通を保有する。
年 月 日
甲:
乙:
<オプション>
仮名加工情報作成に関する特則
甲が個人データ等の委託に伴い、仮名加工情報の作成を乙に委託する場合は、次の各条項に従う。
(加工方法)
第 1 条 甲及び乙は、仮名加工情報の作成に際し、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従った加工方法を協議の上書面により定めるものとする。【参照:法 41 条 1 項】
(照合の禁止)
第 2 条 甲及び乙は、仮名加工情報の作成に際し、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合しないものとする。【参照:法 41 条 7 項】
(安全管理措置)
第 3 条 甲及び乙は、仮名加工情報を作成したときは、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに第1 条の規定により行われた加工の方法に関する情報をいう。以下同じ。)を取得したときは、削除情報等の漏えいを防ぐために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を協議の上書面により定めるものとする。【参照:法 41 条 2 項】
(仮名加工情報取扱事業者の義務)
第 4 x xは、自己の責任において、作成された仮名加工情報について、法第
41 条及び第 42 条に規定する仮名加工情報取扱事業者の義務を負うものとする。
<オプション>
匿名加工情報作成に関する特則
甲が個人データ等の委託に伴い、匿名加工情報の作成を乙に委託する場合は、次の各条項に従う。
(加工方法)
第 1 条 甲及び乙は、匿名加工情報の作成に際し、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従った加工方法を協議の上書面により定めるものとする。
(照合の禁止)
第 2 条 甲及び乙は、匿名加工情報の作成に際し、自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合しないものとする。
(安全管理措置)
第 3 条 甲及び乙は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した情報並びに加工方法に関する情報の漏えいを防ぐために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を協議の上書面により定めるものとする。
(公表等の義務)
第 4 条 甲は、匿名加工情報の作成の委託者として、自己の責任において、法第 43 条第 3 項及び第 4 項に定める公表、同条第 4 項に定める明示等並びに同
条第 6 項に定める苦情の処理等を行わなければならない。
(匿名加工情報取扱事業者の義務)
第 5 条 匿名加工情報は、個人データ等に含まれないものとし、匿名加工情報が作成された後は、xは、自己の責任において、法第 44 条乃至第 46 条に規定する匿名加工情報取扱事業者の義務を負うものとする。