(2) 提供方法: 【注:提供環境のセキュリティ要件(ネットワーク経由でデータ提供する場合の VPN の設定、提供個人データを受領するパソコンやサーバの特定や 当該パソコン等の管理責任者等の限定等)や、当社が特定提供先に提供する場合などにおける仕組みや手法などを別途定める】
■■■【注:個人情報信託サービスに相当するサービス名を記載】
にかかる個人データ提供契約(モデル契約)
本モデル契約は、典型的な条項を記載したものであり、申請事業者においては、提供しようとするサービスを踏まえた契約書を作成することが適切である。本モデル契約と比べて利用者個人の保護が薄くなる場合は、認定基準を満たさなくなることがある。他方、当該サービスにおいて実施していない項目等に関する条項は、記載対象外とすることができるものとする。
第1条(目的)
本契約は、当社(■■■【注:事業者名を記載】)が運営する■■■【注:個人情報信託サービスに相当するサービス名を記載】(以下「本サービス」という。)に関して、当社と、当社が本サービスの利用者個人の個人データ(当社が提供先第三者(以下「特定提供先」という。)に提供するデータであって、当社にとって個人データに該当するが、特定提供先にとって個人データに該当しないデータを含む)を提供する特定提供先との間の権利義務を定めることを目的とする。
第2条(定義)
本契約に別段の定めのない限り、本契約に用いる用語の定義は個人情報の保護に関する法律
(以下「個人情報保護法」という。)に定めるところに従う。
第3条(提供データ、提供の方法)
本サービスに関して特定提供先に提供される個人データ(以下「提供個人データ」という。)の形式および提供方法は、以下のとおりとする。
(1) 形式:【注:データ形式を別途定める】
(2) 提供方法: 【注:提供環境のセキュリティ要件(ネットワーク経由でデータ提供する場合の VPN の設定、提供個人データを受領するパソコンやサーバの特定や当該パソコン等の管理責任者等の限定等)や、当社が特定提供先に提供する場合などにおける仕組みや手法などを別途定める】
第4条(利用目的)
1. 特定提供先は、次項に定める本サービスの実施の目的の範囲でのみ、提供個人データを利用するものとする。
2. 特定提供先における利用目的は次のとおりとする。なお、当該利用目的は、当社が提供個人データに係る本人から事前に同意を取得した内容であり、かつ、当該本人の便益が見込まれるものに限定されたものとする。
(1) 【注:利用目的を具体的に記載】 ※健康・医療分野の要配慮個人情報を取り扱う場合には、「『情報銀行』認定申請ガイドブック」の 4.4 認定の対象となる情報銀行
(2)-2.健康・医療分野の要配慮個人情報を取り扱うサービスに係る要件に関する規定を記載
第5条(法令遵守)
当社及び特定提供先は、提供個人データを、個人情報保護法、その他法令、一般社団法人日本 IT 団体連盟(以下「認定団体」という。)による認定基準及び本契約の定めに従って取り扱うものとする。
第6条(提供個人データの取扱いの訂正等)
1. 当社は、提供個人データの内容について、利用者個人からの請求に基づく訂正等を行った場合には、訂正もしくは追加された提供個人データを特定提供先に提供し、また、消去された提供個人データの項目を特定提供先に通知するものとする。
2. 特定提供先は、提供個人データの内容について、利用者個人からの請求に基づく訂正等を行った場合には、利用者個人に対し当社にその旨を連絡するよう依頼するものとする。
第7条(提供個人データの利用停止等)
1. 当社は、提供個人データについて、利用者個人からの請求に基づく利用停止等を行った場合には、利用停止等された提供個人データの項目を特定提供先に通知し、当該通知を受けた特定提供先は速やかに当該提供個人データの利用停止等を行うものとする。
2. 特定提供先は、提供個人データについて、利用者個人からの請求に基づく利用停止等を行った場合には、利用停止等された提供個人データの項目を当社に通知し、当該通知を受けた当社は速やかに当該提供個人データの利用停止等を行うものとする。
3. 当社は、利用者個人から委任の撤回があった場合には、利用停止を行い、かつ、利用停止された提供個人データの項目を特定提供先に通知し、当該通知を受けた定提供先は、速やかに利用者個人にかかる当該提供個人データの利用を停止するものとする。
4. 当社又は特定提供先において、提供個人データの利用目的が終了し、当該提供個人データを保有する法令上の必要性がない場合には、特定提供先は、当該提供個人データを消去するものとする。
第8条(対価)
1. 特定提供先は、提供個人データの利用の対価として、本サービスの利用者個人に対して、対価(金銭に限らない)を交付し、又はサービスを提供(以下「対価の交付等」という。)するものとする。
2. 特定提供先が対価の交付等の義務を怠るときは、当社は、特定提供先に代わって本サービスの利用者個人に対して、対価の交付等を行うことができる。この場合、特定提供先は当該対価の交付等に要した費用の総額について、当社からの求償に応じるものとする。
第9条(提供個人データの保証)
1. 当社は、特定提供先に対し、当社が提供個人データを適法、適正な方法により取得したことを保証する。
2. 当社は、特定提供先に対し、当社が前項により取得した提供個人データの内容が当社の知る
限りにおいてxxであることを保証する。
第10条(責任制限等)
1. 特定提供先は、提供個人データの利用に起因または関連して本サービスの利用者個人その他の第三者との間で紛争、クレームまたは損害賠償請求(以下「紛争等」という。)が生じた場合には、速やかに当社に対して書面により通知するものとし、紛争等が当社の行為に起因する場合には当社において当該紛争等を解決するものとする。但し、特定提供先の通知の内容については利用者個人の権利利益に配慮して行うものとする。
2. 特定提供先は、特定提供先に帰責事由があり、前項に定める紛争等に起因または関連して当社が損害、損失または費用(合理的な弁護士費用を含む)を被った場合、当社に対して、当該損害等を補償する。ただし、当該紛争等が当社の帰責事由に基づく場合、その限度で補償額を減額するものとする。
第11条(利用状況の検証)
1. 当社は、特定提供先に対し、当該特定提供先による提供個人データの利用状況その他特定提供先による本契約の遵守状況を確認するため又は利用者個人による特定提供先に関する苦情の対応のために必要な利用状況の報告・資料提出等を求めることができる。
2. 前項に基づく報告等が本契約の遵守状況の確認等のために十分ではないと判断した場合、当社は、【注:日数を記載】営業日前に書面による通知をすることを条件に、特定提供先の事業所等において、当該特定提供先による提供データの利用状況等の調査を実施することができるものとする。
3. 前各項に基づく報告等の結果、当社において必要があると判断した場合、当社は、特定提供先に対する提供個人データの利用・管理方法の是正要求を行うことができるものとし、当該是正要求を受けた特定提供先は、速やかに是正を行うものとする。
第12条(情報セキュリティ等)
1. 特定提供先は、本契約の有効期間中、次の各号に定めるところに従って提供個人データを保管・管理するものとする。
(1)認定団体による当社に係る認定基準に準じた基準を遵守していること。
(2)提供個人データを取り扱うに当たり、漏えい、滅失、毀損等のリスクに対し、必要かつ適切な安全管理措置を講じていること。
(3)当社の指示に従い、提供個人データを正確かつ最新の状態で管理していること。
(4)提供個人データを他の情報と明確に分別し、善良な管理者の注意をもって保管・管理していること。
(5)特定提供先が、プライバシーマーク又はISMS認証を取得していない、FISC 安全対策基準に基づく安全管理措置を講じていない等として当社が求める場合は、以下の措置を講ずる。
① 情報は当社が管理し、特定提供先には転記・複写禁止の契約を締結し、一覧での閲覧や任意検索ができない方法で、一人分のみ検索できる技術的対策を施した上で、必要な情報の閲覧のみができることとする。
② 特定提供先において特定の個人を識別できないよう、当社が当該個人情報に含まれる記述等の一部の削除処理(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)を行い、特定提供先に提供する。
③ 当社の監督下で、特定提供先から第三者認証等の取得等をしている者に個人情報の取扱いを全て委託させる。また、特定提供先の委託先に対して当社の監督が及ぶよう特定提供先と委託先間の委託契約に規定し、特定提供先に渡る情報は①又は
②の条件を満たすものとする。
第13条(委託)
1. 特定提供先は、当社の事前の書面による承諾を得ることなしに、第4条に定める利用目的を達成するための業務(以下「本業務」という。)を第三者に委託してはならない。
2. 特定提供先が前項に基づき当社の承諾を得て本業務を第三者に委託する場合は、十分な個人情報の保護水準を満たす委託先を選定するとともに、当該委託先との間で本契約と同等の内容を含む契約を締結し、その写しを当社に提出しなければならない。
3. 特定提供先が1項に基づき当社の承諾を得て本業務を第三者に委託する場合といえども、特定提供先は本契約に基づき特定提供先が負担する義務を免れない。
第14条(個人データの再提供の制限)
特定提供先は、①前条に基づく委託の場合、②合併その他の事由による事業の承継に伴って個人データを提供する場合であって、第4条で定める利用目的の範囲内で提供個人データを取り扱う場合、③情報銀行の認定を受けている事業者に提供する場合および④次に掲げる(ア)ないし
(ウ)のすべてを満たす場合を除き、提供個人データを再提供してはならないものとする。
(ア) 特定提供先は、再提供先への提供について、再提供先の業種や事業分類(または個社名)と、その利用目的、提供する提供個人データの項目、再提供先に対する個人情報の開示等の請求等の窓口を利用者個人に報告すること
(イ) 当社と特定提供先との間に契約が締結され、再提供先への第三者提供については、特定提供先が利用者個人から同意取得すること
(ウ) ①再提供先が公的なガイドラインまたは業法の整備がされている分野におけるいわゆるアグリゲーションサービスである場合または②再提供が利用者個人の指示のもと、同様ないし類似の内容のサービスへの乗り換えとして行われる場合のいずれかであること。
第15条(共同利用)
特定提供先は、当社が個人情報の提供先として契約した事業者を除いて、当社を含む他の事業者との間で提供個人データを共同利用してはならないものとする。
第16条(インシデント)
1. 特定提供先は、提供個人データの漏えい等が発生した場合には、当社に対して速やかにその詳細を報告するものとする。
2. 特定提供先による提供個人データの漏えい等に際しては、特定提供先は、個人情報保護委員会への報告および利用者個人への通知を行うと共に、二次被害の防止、原因究明、利用者個人への適切な情報開示に向けて努力するものとし、当社の調査に協力するものとする。
3. 当社は、特定提供先による提供個人データの漏えい等について、当社が合理的と考える範囲及び金額で利用者個人の損害を補てんすることができる。この場合、特定提供先は、当該補てんの総額について当社からの求償に応じるものとする。
第17条(相談窓口)
特定提供先は、第6条の請求、第7条の請求及び第10条の紛争その他、特定提供先における提供個人データの取り扱いに関する相談窓口を設置するものとする。
第18条(秘密保持義務)
1. 当社および特定提供先は、本契約を通じて知り得た、相手方の秘密情報(相手方が開示にあたり、書面・口頭・その他の方法を問わず、秘密情報である旨を表示した上で開示した情報
(以下「秘密情報」という。なお、提供個人データは「秘密情報」には含まれない。))を、秘密として保持し、相手方の書面による事前の承諾なしに第三者に開示、提供、漏えいし、また、秘密情報を本契約に基づく権利の行使または義務の履行以外の目的で利用してはならない。ただし、法令上の強制力を伴う開示請求が公的機関よりなされた場合は、その請求に応じる限りにおいて、開示者への速やかな通知を行うことを条件として開示することができる。
2. 次の(1)~(5)のいずれかに該当する情報は、秘密情報にあたらないものとする。
(1)開示の時点で既に秘密情報の開示を受けた当事者(以下「被開示者」という。)が保有していた情報
(2)秘密情報に依拠することなく被開示者が独自に生成した情報
(3)開示の時点で公知の情報
(4)開示後に被開示者の責めに帰すべき事由xxxxに公知となった情報
(5)正当な権利を有する第三者から秘密保持義務を負うことなく開示された情報
3. 被開示者は、本契約の履行のために必要な範囲内に限り、上記1に基づく秘密保持義務を遵守させることを前提に、自らの役職員または法律上守秘義務を負った自らの弁護士、会計士、税理士等に対して秘密情報を開示することができる。
4. 秘密保持義務は、本契約が終了した後も継続する。
第19条(反社会的勢力の排除)
当社及び特定提供先は、互いに自らが反社会的勢力(警察庁のガイドラインまたはモデル契約書に示される者をいう)に該当しないこと並びに反社会的勢力と資本関係または取引関係を有しないことを表明し、保証する。
第20条(不可抗力)
本契約の契約期間中において、天災地変、戦争、暴動、内乱、自然災害、停電、通信設備の事故、クラウドサービス等の外部サービスの提供の停止または緊急メンテナンス、法令の制定改廃その他、本契約当事者のいずれの責に帰すことができない事由よる本契約の全部または一部の履行遅滞もしくは履行不能については、当社および特定提供先は責任を負わない。
第21条(解除)
1. 当社及び特定提供先は、相手方に次の各号の事由が生じた場合には、通知催告を要することなく直ちに本契約を解除することができる。
(1) 当社において、認定団体から認定を受けている場合において、その認定が取り消されたとき
(2) 営業停止、営業許可の取り消し等の処分を受けるなどして事業継続が困難になったとき
(3) 破産手続開始、民事再生手続開始、会社更生手続開始、特別清算手続開始の申立てがあったとき
(4) 差押、仮差押え、仮処分等の強制執行を受けたとき
(5) 支払停止もしくは支払不能となったとき、または手形が不渡りとなったとき
(6) 解散、合併または営業の全部もしくは重要な一部の譲渡を決議したとき
2. 当社及び特定提供先は、相手方が本契約の義務に違反し、相当な期間を定めて催告したにも関わらず、期間内に違反状態が解消されないときは、本契約を解除することができる。
第22条(契約の期間及び更新)
本契約の有効期間は、■■■【注:適宜記載】をもって終了するものとする。
第23条(契約終了後の措置)
1. 特定提供先は、本契約の終了後、提供個人データを保存するという法的要求事項がない場合は、提供個人データを利用してはならず、当社が別途指示する方法で、速やかに受領済みの提供個人データ(複製物を含む)を全て廃棄または消去しなければならない。
2. 当社は、特定提供先に対し、提供個人データが全て廃棄または消去されたことを証する書面の提出を求めることができる。
第24条(準拠法)
本契約は、日本法に準拠し、日本法に従って解釈される。
第25条(合意管轄)
本契約に関する紛争については、【注:特定の地方裁判所等を記載】を第xxの専属的合意管轄裁判所とする。