情報サービス事業においては、情報の保護と利活用が企業活動の根幹に深く係わる。この前提を踏まえ、情報サービス産業協会(JISA)では、かねてより、個人情報保護に 関するユーザとの契約のあり方について検討を重ねてきた。その成果として、個人データ等の安全管理に係る適切な責任分担を規定し、個人情報保護リスクの低減を図ることに 資する「個人情報の取扱いに関するモデル契約書」及び「特定個人情報の取扱いに関するモデル契約書」を策定してきた。
個人情報保護契約の見直しについて
情報サービス産業協会 ビジネス委員会 法務・契約部会
情報サービス事業においては、情報の保護と利活用が企業活動の根幹に深く係わる。この前提を踏まえ、情報サービス産業協会(JISA)では、かねてより、個人情報保護に関するユーザとの契約のあり方について検討を重ねてきた。その成果として、個人データ等の安全管理に係る適切な責任分担を規定し、個人情報保護リスクの低減を図ることに資する「個人情報の取扱いに関するモデル契約書」及び「特定個人情報の取扱いに関するモデル契約書」を策定してきた。
今般、個人情報の適正な取扱いを確保しつつ、個人に関する多種多様な情報の利活用を通じてイノベーションを推進し、社会課題の解決や豊かな国民生活に寄与することへの期待に貢献するため、最新法令等を踏まえ、従前モデルの見直しを行った。
本稿では、見直しにより作成した個人情報保護モデル契約(第 3 版)及び特定個
人情報保護モデル契約(第 2 版)の特徴について紹介する。
1.個人情報保護モデル契約(第 3 版)について
(1)個人情報保護モデル契約に関する基本的な考え方
令和 4 年 4 月 1 日施行の改正個人情報保護法や関連ガイドラインを踏まえ、情報サービス事業における個人データの取扱いの受託契約に関し、個人情報保護モデル契約(第 2 版、平成
29 年 5 月)の見直しを行った。見直しにおいては、上記改正法により、仮名加工情報に関する新たな制度が設けられたため、その点を考慮した。他には、モデル契約書で引用している個人情報保護法の条文番号を修正する微調整が必要であったが、総じて基本的な考え方は変わらないため、一部変更した上で以下のとおり再掲すること
とする。
①契約・個人情報の範囲
個人情報の取扱いを伴う受託業務の内容、対象となる個人データ等の範囲及び個人データ等の授受方法をできる限り特定することにより、責任の所在を明確化する必要がある。また、委託元には、委託業務の実施に必要のある個人データのみを委託先に取り扱わせるべく協力を求める必要がある。
②安全管理措置等
ガイドラインの記載事項を目安として、これを越える追加的な安全管理措置については、委託元と委託先との明確な合意によってのみ委託先である情報サービス事業者に義務が生じる。
③再委託
委託先が委託元から委託された個人情報の取扱いを第三者に再委託しようとする場合、その旨を委託元に報告することが望ましい。
④監査
委託元による監査に際して、不必要な個人情報や委託先自身のxxxx等がユーザ企業等に流出することを防止するため、委託元にも守秘義務を課す必要がある。また、委託元の監査に対応することにより過大な負荷が想定される場合への配慮も必要である。
⑤損害賠償
個人データの漏えい等の事故が 発生した場合、委託先の責に帰す べき事由と関係のない費用も含め、当該事故から生じる一切の負担を 委託先に転嫁できる契約の締結を 委託元から求められることがある が、情報漏えい等の事故に起因す るものであっても、一般の債務不 履行と同様に損害の範囲を通常・ 直接・現実のものに限定すること に合理性がある。個人データの漏 えい等の事故を防止するには、委 託元と委託先とが協力して必要か つ適切な安全管理措置を講じるこ とが必要であり、漏えい等のリス クに関して、委託先だけが全ての 責任を負担することは妥当ではな く、損害分担の目安として賠償限 度額を定めることにも合理性があ る。なお、懲罰的な賠償金、損害 賠償の予約等に応じる理由は見当 たらない。また、故意又は重大な
過失による場合を除き、弁護士費用の負担に応じる理由は見当たらない。
⑥委託先の従業者個人の誓約書
請負契約の場合でも、委託先の 従業者個人の誓約書の提出が求め られるケースがあるが、指揮命令 系統が混乱しているとして、偽装 請負と認定されるおそれがある。 従業者個人からの誓約書の提出先 は、あくまでも雇用関係のある情 報サービス事業者とすべきである。委託先における従業者監督の義務 が履行されていることのエビデン スとして、委託元に対し、かかる 誓約書の写しを提示することにつ いては、差し支えない。
⑦退職した従業員の管理監督
退職後の従業員の行為に対する責任を負うこととなる契約を承諾することは、委託先の合理的な管理範囲を超えていることから望ましくない。但し、退職後の秘密保持義務に関する契約の締結を従業員に求めるなどの措置を講じることを定めることは可能である。
(2)個人情報保護モデル契約(第 3 版)
【要旨】
前述の基本的な考え方に基づき 作成した「個人情報保護モデル契約」 (第 3 版)(以下(2)において「本契約」という。)の対象となる取引では、委託元との間に個人情報データベー スの構築、保守及び管理業務に関する業務委託契約(以下(2)において
「原契約」という。)が成立していることを前提とする。
①本契約の適用範囲(第 1 条)
本契約の趣旨を明確にしつつ、 本契約の対象となる業務を規定す る原契約を参照して、対象となる 本件業務を具体的に特定する規定。
②定義(第 2 条)
本契約において取扱いの対象となる「個人データ等」の範囲を明確にする規定。
③個人データ等の取扱いの委託(第
3 条)
個人データ等の取扱いの委託にあたり、授受の際の注意等を定めた規定。授受に際して、委託元は、個人データ等である旨を書面で示すなど管理対象となる情報を明確にする義務を負う。匿名加工情報の作成を委託元から求められる場合のオプション条項(第 5 項)に加え、仮名加工情報の作成を委託元から求められる場合のオプション条項として、第 4 項を追加した。
④個人データ等の秘密保持(第 4 条) 個人データ等の第三者への開示、
漏えい、目的外利用の禁止など秘密保持について定めた規定。
⑤安全管理措置(第 5 条)
法第23 条(安全管理措置)に対応
する規定。第 3 項では両者協議の うえ本件業務の内容等を考慮して 安全管理措置の具体的内容を定め ることができることを示している。
⑥従業者の監督(第 6 条)
法第24 条(従業者の監督)に対応
する規定。第 3 項には、従業者の退職に際して誓約書の提出を求めるなどの措置についても定めている。
⑦委託先の監督(第 7 条)
法第25 条(委託先の監督)に対応し、再委託の通知等を定めた規定。
⑧本人に対する責任等(第 8 条)
個人データ等の主体である本人との関係において、委託元の責任を定め、情報サービス事業者は本人に対して直接義務を負わない旨を定めた規定(外国の第三者に委託する場合であって、本人の同意が必要となる場合を含む)。
⑨監査(第 9 条)
委託先の監督義務の一環として のユーザ企業等の監査権限を認め つつも、監査にあたりユーザ企業 等が遵守すべき内容を定めた規定。
⑩改善の指示(第 10 条)
監査(第 9 条)の結果、ユーザ企業等が個人データ等の安全管理措置について改善の必要を認めた場合の改善の方法、費用負担等について定めた規定。
⑪事故発生時の対応(第 11 条)
個人データ等の漏えい等の事故が発生し、又はそのおそれがある場合の報告など契約当事者がとるべき対応について定めた規定。
⑫損害賠償(第 12 条)
委託先の責に帰すべき事由により本契約に違反したことにより個人データ等の漏えいの事故が発生し、委託元に損害が生じた場合の
賠償責任について定めた規定。損害賠償条項については原契約の定めに従うものとしている。
⑬免責(第 13 条)
委託先が安全管理措置を誠実に実施していたことを証明できる場合には、その範囲で損害賠償責任を免れることを定めた規定。
⑭有効期間(第 14 条)
本契約終了後も引き続き効力を有する条項を定めた規定。
⑮個人データ等の返還等(第 15 条)本件業務が終了したときの個人
データ等の返還又は消去について定めた規定。
⑯原契約との関係(第 16 条)
本契約は個人情報に関するxx 約の特約と位置づけられるため、 本契約の不記載事項については原 契約が適用される旨を定めた規定。
➃合意管轄(第 17 条)
契約当事者間に紛争が生じた場合の合意管轄裁判所をあらかじめ定めた規定。
⑱協議(第 18 条)
本契約に定めがない事項や疑義が生じた場合、当事者間で協議することを定めた規定。
⑲仮名加工情報作成に関する特則
(オプション条項)
委託元が委託先に仮名加工情報の作成を求めたときにオプションとして追加する附則。委託先は、仮名加工情報取扱事業者には当たらないものとして、仮名加工情報の作成時に留意すべき事項(個人
情報保護委員会で定める基準に従った加工方法の合意、削除情報等の安全管理措置)を定めるとともに、作成した仮名加工情報に接する機会のある事業者であることを踏まえ、他の情報との照合禁止についても注意喚起のために文言に加えた。
⑳匿名加工情報作成に関する特則
(オプション条項)
委託元が委託先に匿名加工情報の作成を求めたときにオプションとして追加する附則。
(3)備考
本契約は、委託元が委託先に対して必要かつ適切な監督を行う義務(法第 25 条)を負っていることを踏まえ、ユーザ企業等が法令等に定める委託者としての責務を十分に果たすことができる内容としていることから、委託元での採用を期待したい。また、本契約では、個人データ等の内容・種類等に応じ、委託元と委託先者間の協議で定めるべき事項(第 2 条第 2 項、第 3
条第 3 項、第 5 条第 3 項)については、文書で取り交わすことが望ましい。
なお、本契約は、情報サービス事業者間の取引にも利用することができるが、情報サービス事業者が委託者として、ユーザ企業等から取扱いを委託された個人データ等を他の情報サービス事業者(以下「再委託先」という。)に再委託する場合、委託者である情報サービス事業者がユーザ企業等と締結した契約との整合性を図るための
見直しが不可欠である。この見直しは、委託元に対する責任を果たすために 必要であることは無論のこと、委託者である情報サービス事業者のリスク 管理としても重要である。加えて、情 報サービス事業者が再委託をする場 合、基本的にはユーザ企業等に対して負う義務と同等の義務を再委託先に 課すことが必要である(本契約第7 条)。
2.特定個人情報保護モデル契約(第 2
版)について
(1)特定個人情報保護モデル契約に関する基本的な考え方
JISA では、情報サービス事業者が行政手続における特定の個人を識別するための番号の利用等に関する法律(平成 25 年法律第 27 号。以下「マイナンバー法」という。)及び特定個人情報保護委員会(当時)が定めた「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下「事業者向けガイドライン」という。)並びに
「(別冊)金融業務における特定個人情報の適正な取扱いに関するガイドライン」に関する Q&A(以下「QA」という。)による補足説明に従って、特定個人情報の適正な取扱いを確保しつつ受託業務を遂行するとともに、ユーザ企業等との契約において適切かつ明確な役割分担を合意することが必要であるとの認識に立ち、平成 29 年
10 月、「特定個人情報の取扱いに関するモデル契約書」(以下「本特定個人情報保護モデル契約」という。)を作成した。
本特定個人情報保護モデル契約では、上述の JISA 個人情報保護モデル契約をユーザ企業等との間で締結した情報サービス事業者を想定し、事業者向けガイドライン等を踏まえ、特定個人情報の取扱いにおいて特別に留意しなければならない条件を勘案したものとした。
今般、令和 4 年 4 月 1 日施行の改正個人情報保護法や関連ガイドライン及び Q&A の改定を踏まえ、本特定個人情報保護モデル契約(平成 29 年 10月)の見直しを行った。見直しにおいては、上記法改正により、モデル契約書で引用している個人情報保護法の条文番号を修正する微調整が必要であったが、基本的な考え方は変わらないため、一部変更した上で以下のとおり再掲することとする。
(2)本特定個人情報保護モデル契約が想定するサービス類型
①情報サービス事業者が個人番号関係事務(マイナンバー法 2 条 11項)の委託を受け、自ら個人番号関係事務実施者(マイナンバー法 2
条 13 項)である場合を想定している。具体的には、次のような場合である。
(a)ユーザ企業が従業員等からマイナンバーの提供を受けて、これを給与所得の源泉徴収票、給与支払報告書、健康保険・厚生年金保険被保険者資格取得届等の書類に記載して、税務署xx、市町村長、日本年金機構等に提出
する事務に係る情報システムの開発・運用・保守の業務の全部又は一部を受託している場合
(b)ユーザ企業である金融機関がその顧客からマイナンバーの提供を受けて、これを配当等の支払調書に記載して税務署長に提出する事務に係る情報システムの開発・運用・保守の業務の全部又は一部を受託している場合
(c)健康保険組合等がマイナンバーを利用して個人情報を検索、管理する事務に係る情報システムの開発・運用・保守の業務の全部又は一部を受託している場合 (d)上記(a)~(c)などの業務に関して、情報サービス事業者のデータセンターで係る情報システムのホスティング等を行っている場合(注 1)
(e)上記(a)~(d)などの業務に関して、情報サービス事業者が情報システムを構成する機器・ソフトウェアについて、修理交換等のサービスを提供している場合 (注 2)
(注 1)
QA3-12 によれば、クラウドサービスを提供する事業者が当該契約内容を履行するに当たってマイナンバーをその内容に含む電子データを取り扱うのかどうかが基準となり、個人番号をその内容に含む電子データを取り扱うことが一般には想定されにくいサービス(例
えば、データセンターにおいてサーバ等の装置の設置場所空間、電力、空調設備等の建物賃貸借契約の要素の高いハウジング・サービスなど)については想定外としている。
(注 2)
QA3-14 によれば、保守サービスを提供する事業者がマイナンバーをその内容に含む電子データを取り扱う場合には、「個人番号関係事務又は個人番号利用事務の一部の委託に該当」し、「一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該事業者が個人番号をその内容に含む電子データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合」には、個人番号関係事務又は個人番号利用事務の委託に該当しないとされている。本特定個人情報保護モデル契約では、個人番号関係事務又は個人番号利用事務の一部の委託に該当する場合を想定している。
②行政機関、地方公共団体、独立行政法人等の個人番号利用事務実施者(マイナンバー法 2 条 12 項)から個人番号利用事務の全部又は一部の委託を受ける場合、委託元である個人番号利用事務実施者から専用の書式が示されるものと考えられるため、対象外とした。
③個人番号の取得事務そのものを受託することを想定したものでは
ない。取得を代行する場合には、利用目的の明示方法等、委託者と取り決めるべき事項が多岐にわたるため、必要な条項を適宜追加する必要がある。
④電子計算機で検索可能な場合に限定せず、紙媒体で特定個人情報の取扱いを受託する場合についても対象とする。
(3)本特定個人情報保護モデル契約の当事者
上記(2)で述べたサービス類型の業務委託契約(以下「原契約」という。)及び個人情報モデル契約に準じた個人データ等の取扱いに係る契約が締結されている委託者(ユーザ)及び受託者 (ベンダ)の二者間契約を想定する。
3.モデル契約書
【参考 1】個人情報の取扱いに関するモデル契約書(第 3 版)
個人情報の取扱いに関する契約書
委託者:xxx(以下「甲」という。)と受託者:ベンダ(以下「乙」という。)とは、甲が乙に取扱いを委託する個人情報の取扱い条件に関して、次のとおり合意し、契約(以下「本契約」という。)を締結する。
(本契約の適用範囲)
第 1 条 本契約は、以下の各号の契約(以下「原契約」という。)に基づき甲が乙に委託する業務のうち、次条に定める個人データ等を取り扱う業務(以下「本件業務」という。)について、当該個人データ等の取扱い条件を定めることを目的とする。
契約書名/契約締結日 | 委託業務 | |
① | ||
② | ||
③ |
(定義)
第 2 条 本契約において、「個人データ等」とは、個人情報の保護に関する法律 (平成 15 年法律第 57 号、以下「法」という。)第 2 条第 1 項に定める「個人情報」のうち、以下の各号に該当するものをいうものとする。
①法第 16 条第 3 項に定める「個人データ」
②前号のほか、甲乙協議の上特に合意して定めた情報
(個人データ等の取扱いの委託)
第 3 条 甲は、乙による本件業務の遂行上必要な最小限度において、個人データ等の取扱いを乙に委託するものとする。
2.甲は、個人データ等の取扱いを乙に委託する場合は、原則として、当該情報が個人データ等である旨を書面にて乙に示さなければならない。また、甲は、甲が乙に取扱いを委託した情報が、個人データ等に該当するかどうか乙におい て不明であり、乙が甲に照会したときは、速やかに回答しなければならない。 3.個人データ等の授受担当者、授受媒体、授受方法、授受記録等の方法等は、個人データ等の安全管理の観点から、別途甲乙協議の上書面により定めるとお りとする。
<オプション>
4.本件業務の一環として、甲が乙に対し、個人データ等から仮名加工情報 (法第 16 条第 5 項に規定する仮名加工情報データベース等を構成するもの
に限る。以下同じ。) の作成を委託する場合は、別紙「仮名加工情報作成に関する特則」を適用する。
<オプション>
5.本件業務の一環として、甲が乙に対し、個人データ等から匿名加工情報(法第
16 条第 6 項に規定する匿名加工情報データベース等を構成するものに限る。以下同じ。) の作成を委託する場合は、別紙「匿名加工情報作成に関する特則」を適用する。
(個人データ等の秘密保持)
第 4 条 乙は、本件業務の遂行にあたり甲から取扱いを委託された個人データ等を、甲の書面による事前の承諾を得ることなく、本件業務遂行以外の目的で、加工、利用、複写又は複製してはならないものとし、また、第 7 条に定める再委託先が本件業務の遂行上必要な最小限度において、個人データ等を取り扱う場合を除き、他に開示し又は漏えいしてはならないものとする。
(安全管理措置)
第 5 条 乙は、本件業務の遂行にあたり、個人データ等の漏えい、滅失又はき損 (以下「漏えい等」という。)の防止のために合理的と認められる範囲内で、組織的、人的、物理的及び技術的な安全管理のために必要かつ適切な措置(以下
「安全管理措置」という。)を講じなければならない。
2.甲及び乙は、前項に定める安全管理措置を徹底するため、本件業務の遂行にあたり個人データ等の取扱いに関する管理責任者を定めるものとする。
3.甲及び乙は、甲が第 1 項に定める安全管理措置に関し、その具体的内容を特に指定しようとする場合、甲及び乙は、本件業務の内容、規模及び対価を考慮し、協議の上、対応を決定するものとする。
(従業者の監督)
第 6 x xは、自己の役員及び従業員(直接的であるか間接的であるかを問わず、乙の指揮監督を受けて本件業務に従事する者をいう。以下「従業者」という。)に対し、個人データ等に関する秘密保持義務を負わせるとともに、その目的外利用を禁止するものとする。
2.乙は、本件業務の遂行上、実際に個人データ等を取扱う従業者の範囲を限定するものとし、当該従業者に対して必要かつ適切な監督を行わなければならない。
3.乙は、従業者が退職する場合、当該従業者に対し、退職後の秘密保持義務に関する誓約書の提出を求めるなど、在任若しくは在職中に知り得た全ての個人データ等の返還又は破棄を義務づけるために合理的に必要と認められる措置を講ずるものとする。
(委託先の監督)
第 7 条 乙は、本件業務の遂行上、個人データ等の取扱いの全部又は一部を第三者(以下「再委託先」という。)に再委託する場合には、再委託する旨、再委託先の名称及び住所等を書面により事前に甲に通知するものとし、また、乙の責任において、再委託先に対して、本契約で定められている乙の義務と同等の義務(再委託先において、第 5 条に定める安全管理措置を講じることを含む。)を課すとともに、必要かつ適切な監督を行わなければならない。
(本人に対する責任等)
第 8 条 甲は、個人データ等が、法を遵守して適正に取得されたものであることを保証するとともに、乙に個人データ等の取扱いを委託すること(前条の規定に基づき乙から通知された再委託先が外国にある第三者である場合であって、かつ本人の同意を得る必要がある場合の同意の取得を含む。)について個人データ等の主体たる本人に対して責任を負う。
2.乙は、本人から個人データ等の開示、訂正、追加又は削除等の請求を受けた場合、あるいは行政機関、司法機関等、本人以外の第三者から個人データ等の提供を要請された場合、速やかに甲に通知するものとする。この場合、乙は、本人又は本人以外の者の請求又は要請に直接応じる義務を負わず、甲が自己の費用と責任をもって対応するものとする。
(監査)
第 9 条 甲は、乙における安全管理措置の実施状況を確認するために必要な限 度において、乙に対する書面による事前の通知により、報告、資料の提出又は 監査の受入れを求めることができる。この場合、乙は、事業の運営に支障が生 ずるときその他の正当な理由がある場合を除き、甲の求めに応じるものとする。
2.前項の報告、資料の提出又は監査にあたり、乙は甲に対して、乙の営業秘密 (不正競争防止法第 2 条第 6 項に定める営業秘密をいう。)に関する秘密保持義務等について定めた秘密保持契約の締結を求めることができるものとする。 3.甲は、監査のために乙の事業所又はコンピュータセンター等への入館が必要
となる場合、乙所定の事務処理及び入退xxに関する規則に従うものとする。 4.乙は、xによる監査が通常の範囲を超えると判断するとき、甲乙協議の上、監査の受入れのために乙が要した費用を甲に請求することができるものとす る。
(改善の指示)
第 10 条 甲は、前条による報告、資料の提出又は監査の結果、乙において個人 データ等の安全管理措置が十分に講じられていないと認めたときは、乙に対し、その理由を書面により通知かつ説明した上で、安全管理措置の改善を要請する ことができるものとする。
2.乙は、前項の要請を受けたときは、安全管理措置の改善について甲と協議を行わなければならない。
3.甲の要請する安全管理措置の改善が第 5 条に定める安全管理措置の範囲を超
え、かつ本件業務の内容、規模及び対価に鑑み不相応な費用を要するものであるときは、当該改善に係る費用は甲が負担するものとする。
(事故発生時の対応)
第 11 条 乙は、個人データ等の漏えい等の事故が発生したと認識し、又は発生したおそれがあると判断したときは、直ちに甲に報告するものとする。このとき、甲及び乙は、事故の拡大又は再発を防止するために合理的に必要と認められる措置を講じなければならない。
2.前項の場合において、甲及び乙が講ずべき措置については、安全管理措置の実施状況、事故によって個人データ等の本人が被る権利利益の侵害の状況、事故の内容及び規模等に鑑み、甲乙協議の上定めるものとする。
(損害賠償)
第 12 x xは、自己の責に帰すべき事由により、本契約に違反して、個人データ等の漏えい等の事故が発生し、甲に損害が生じた場合、原契約に従ってこれを賠償する責任を負うものとする。
<原契約に損害賠償条項が存在しない場合>
(損害賠償)
第 12 条 乙は、自己の責に帰すべき事由により、個人データ等への漏えい等の事故が発生し、甲に損害が生じた場合、乙の本契約に違反する行為の直接の結果として現実に生じた通常の損害に限り、損害発生の原因となった本件業務の対価を上限として、賠償の責任を負うものとする。
(免責)
第 13 条 乙は、第 5 条に定める安全管理措置を誠実に実施したこと、また、それにもかかわらず個人データ等の漏えい等の事故の発生を回避できなかったことを証明できる場合、その範囲内において、前条に定める損害賠償の責任を免れるものとする。
(有効期間)
第 14 条 本契約の有効期間は、本契約締結の日から本件業務の終了の日までとする。
2.前項の定めにかかわらず、第 4 条、第 8 条、第 12 条、第 13 条、第 15 条、
第 16 条、第 17 条及び第 18 条は、本契約終了後も有効に存続するものとする。
(個人データ等の返還等)
第15 条 乙は、本件業務が終了したとき、又は甲の求めがあるときはいつでも、甲より取扱いを委託された個人データ等(その複製物を含む。)の全部又は一部を甲に返還し、又は記録媒体から消去しなければならない。
(原契約との関係)
第 16 条 本契約に定めのない事項については、原契約の定めるところによる。
(合意管轄)
第 17 条 本契約に関する紛争については、○○地方裁判所を専属的合意管轄裁判所とする。
(協議)
第 18 条 本契約に定めのない事項又は疑義が生じた事項については、xxxxの原則に従い甲乙協議し、円満に解決を図るものとする。
以上、本契約締結の証として本書 2 通を作成し、甲乙記名押印の上、各 1 通を保有する。
年 月 日
甲:
乙:
<オプション>
仮名加工情報作成に関する特則
甲が個人データ等の委託に伴い、仮名加工情報の作成を乙に委託する場合は、次の各条項に従う。
(加工方法)
第 1 条 甲及び乙は、仮名加工情報の作成に際し、他の情報と照合しない限り特定の個人を識別することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従った加工方法を協議の上書面により定めるものとする。
(照合の禁止)
第 2 条 甲及び乙は、仮名加工情報の作成に際し、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該仮名加工情報を他の情報と照合しないものとする。
(安全管理措置)
第 3 条 甲及び乙は、仮名加工情報を作成したときは、又は仮名加工情報及び当該仮名加工情報に係る削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに第 1 条の規定により行われた加工の方法に関する情報をいう。以下同じ。)を取得したときは、削除情報等の漏えいを防ぐために必要なものとして個人情報保護委員会規則で定める基準に従い、削除情報等の安全管理のための措置を協議の上書面により定めるものとする。
(仮名加工情報取扱事業者の義務)
第 4 x xは、自己の責任において、作成された仮名加工情報について、法第 41 条及び第 42 条に規定する仮名加工情報取扱事業者の義務を負うものとする。
<オプション>
匿名加工情報作成に関する特則
甲が個人データ等の委託に伴い、匿名加工情報の作成を乙に委託する場合は、次の各条項に従う。
(加工方法)
第 1 条 甲及び乙は、匿名加工情報の作成に際し、特定の個人を識別すること及びその作成に用いる個人情報を復元することができないようにするために必要なものとして個人情報保護委員会規則で定める基準に従った加工方法を協議の上書面により定めるものとする。
(照合の禁止)
第 2 条 甲及び乙は、匿名加工情報の作成に際し、自ら当該匿名加工情報を取り扱うに当たっては、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該匿名加工情報を他の情報と照合しないものとする。
(安全管理措置)
第 3 条 甲及び乙は、匿名加工情報を作成したときは、その作成に用いた個人情報から削除した情報並びに加工方法に関する情報の漏えいを防ぐために必要なものとして個人情報保護委員会規則で定める基準に従い、これらの情報の安全管理のための措置を協議の上書面により定めるものとする。
(公表等の義務)
第 4 x xは、匿名加工情報の作成の委託者として、自己の責任において、法第
43 条第 3 項及び第 4 項に定める公表、同条第 4 項に定める明示等並びに同条
第 6 項に定める苦情の処理等を行わなければならない。
(匿名加工情報取扱事業者の義務)
第 5 条 匿名加工情報は、個人データ等に含まれないものとし、匿名加工情報が作成された後は、xは、自己の責任において、法第 44 条乃至第 46 条に規定する匿名加工情報取扱事業者の義務を負うものとする。
【参考 2】特定個人情報の取扱いに関するモデル契約書(第 2 版)特定個人情報等の取扱いに関する契約書
委託者:xxx(以下「甲」という。)と受託者:ベンダ(以下「乙」という。)とは、甲が乙に取扱いを委託する特定個人情報等の取扱い条件に関して、次のとおり合意し、契約(以下「本契約」という。)を締結する。
(本契約の目的・適用範囲)
第 1 条 本契約は、以下の各号の契約(以下「原契約」という。)に基づき甲が乙に委託する業務(以下「本件業務」という。)に関して、甲乙が相互に協力して特定個人情報等の漏えい、滅失又は毀損の防止等、特定個人情報等の管理のために必要かつ適切な措置を講じるため、当該特定個人情報等の取扱い条件を定めることを目的とする。
契約書名/契約締結日 | 委託業務 | |
① | ||
② | ||
③ |
(定義)
第 2 条 本契約で使用する用語の定義等については、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「法」という。)及び行政手続における特
定の個人を識別するための番号の利用等に関する法律(平成 25 年法律第 27号。以下「番号法」という。)その他の法令上の定義等に従い、次の表のとおりとする。
用語 | 定義等 | |
① | 個人データ等 | 法第 2 条第 1 項に定める個人情報のうち、法第 16 条第3 項に規定する個人データ及び甲乙協議の上、特に合意して定めた情報をいう。 |
② | 個人番号 | 番号法第 7 条第 1 項又は第 2 項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識 別するために指定されるものをいう。 |
③ | 特定個人情報 | 個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。番号法第 7 条第 1 項及び第 2 項、第 8 条並びに第 48 条並びに附則 |
第 3 条第 1 項から第 3 項まで及び第 5 項を除く。) をその内容に含む個人情報をいう。 | ||
④ | 特定個人情報等 | 個人番号及び特定個人情報をいう。 |
⑤ | 特定個人情報ファイル | 個人番号をその内容に含む個人情報ファイル(番号法第 2 条第 4 項に規定する個人情報ファイル) をいう。 |
⑥ | 個人番号利用事務 | 行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第 9 条第 1 項から 第 3 項までの規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用 して処理する事務をいう。 |
⑦ | 個人番号関係事務 | 番号法第 9 条第 4 項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度 で利用して行う事務をいう。 |
⑧ | 個人番号利用事務 実施者 | 個人番号利用事務を処理する者及び個人番号利用 事務の全部又は一部の委託を受けた者をいう。 |
⑨ | 個人番号関係事務 実施者 | 個人番号関係事務を処理する者及び個人番号関係 事務の全部又は一部の委託を受けた者をいう。 |
(特定個人情報等の取扱いの委託)
第 3 条 甲は、乙による本件業務の遂行上必要な最小限度において、特定個人情報等の取扱いを乙に委託するものとする。
2.甲は、個人番号利用事務実施者又は個人番号関係事務実施者として、特定個人情報等の取扱いを乙に委託することのできる権限を適法に有していることを保証する。甲が本項に規定する権限を適法に有していないことが判明した場合、乙は、甲に通知の上、原契約を解除することができる。この場合、解除により乙に生じた損害がある場合には、甲が負担するものとする。
3.甲が特定個人情報等の取扱いを乙に委託する場合、乙に対し、書面により次の各号の事項を通知するものとする。
(1)委託する事務が個人番号利用事務であるか個人番号関係事務であるかの別 (2)当該情報が個人番号又は特定個人情報である旨
(3)委託する特定個人情報等の利用目的
4.甲は、特定個人情報等の利用目的の通知、本人確認の事務その他個人番号の提供を受けるために必要な事務(以下「本人確認等」という。)の全部又は一部を本件業務の一環として乙に委託している場合を除き、甲の責任において、事前に本人確認等を実施するものとする。
5.特定個人情報等の授受担当者、授受媒体、授受方法、授受記録の方法及び特
定個人情報等の取扱い場所等は、特定個人情報等の安全管理の観点から、別途甲乙協議の上、書面により定めるものとする。
6.乙は、甲の事前の書面による承諾なしに、前項に定める特定個人情報等の取扱い場所から、特定個人情報等を持ち出してはならないものとする。
(特定個人情報等の秘密保持)
第 4 条 乙は、甲から取扱いを委託された特定個人情報等を秘密として取り扱うものとする。また、甲の書面による事前の許諾を得ることなく、本件業務遂行以外の目的で、保管、加工、利用、複写又は複製してはならないものとし、また、第 7 条に定める再委託先が本件業務の遂行上必要な最小限度において、特定個人情報等を取り扱う場合を除き、他に開示し又は漏えいしてはならないものとする。これに伴い、乙は、甲の書面による事前の許諾を得ることなく、本件業務を遂行するために必要な範囲を超えて特定個人情報ファイルを作成しないものとする。
2.乙は、自己の役員及び従業員(直接的であるか間接的であるかを問わず、乙の指揮監督を受けて本件業務に従事する者をいう。以下「従業員等」という。)に対し、特定個人情報等に関する秘密保持義務を負わせるとともに、その目的外利用を禁止するものとする。
(安全管理措置)
第 5 条 乙は、本件業務の遂行にあたり、特定個人情報等の漏えい、滅失又はき損(以下「漏えい等」という。)の防止のために合理的と認められる範囲内で、個人情報保護委員会が作成する特定個人情報の適正な取扱いに関するガイドライン(事業者編)(平成 26 年 12 月 11 日、令和 2 年 5 月 25 日最終改正)
(別添)特定個人情報に関する安全管理措置(事業者編)に従い、組織的、人的、物理的及び技術的な安全管理のために必要かつ適切な措置(以下「安全管理措置」という。)を講じなければならない。
2.甲が前項に定める安全管理措置に関し、その具体的内容を特に指定しようとする場合、甲及び乙は、本件業務の内容、規模及び対価を考慮し、協議の上、対応を決定するものとする。
(管理、監督、教育)
第 6 条 甲及び乙は、前条に定める安全管理措置を徹底するため、本件業務の遂行にあたり特定個人情報等の取扱いに関する管理責任者を定めるものとする。
2.乙は、本件業務の遂行上、実際に特定個人情報等を取扱う従業員等の範囲を別紙に示すとおり限定するものとし、当該従業員等に対して必要かつ適切な監督及び教育を行わなければならない。
(委託の取扱い)
第 7 条 乙は、本件業務の遂行上、特定個人情報等の取扱いの全部又は一部を第三者(以下「再委託先」という。)に再委託する必要がある場合には、再委託
先(再委託先が更に第三者に委託した場合にはその末端までの委託先を含む。以下同じ。)の名称及び住所を書面により事前に甲に通知し、甲の許諾を得た場合に限り再委託することができるものとする。この場合、甲が最初の委託者でない場合には、甲は、乙への再委託の許諾に当たり、最初の委託者の許諾を受けなければならない。
2.前項の場合、乙は自らの責任において、再委託先に対して、本契約で定められている乙の義務と同等の義務を課すとともに、必要かつ適切な監督を行わなければならない。
3.第1項に規定する許諾が得られなかったことにより、乙が原契約の全部又は一部を履行することが困難となった場合、甲乙間において、原契約に規定する契約条件の変更又は終了について協議の上、対応を決定するものとする。
(本人に対する責任等)
第 8 条 甲は、特定個人情報等が、番号法を遵守して適正に取得されたものであることを保証するとともに、乙に特定個人情報等の取扱いを委託することについて特定個人情報等の主体たる本人に対して責任を負う。
2.乙は、本人から特定個人情報等の開示、訂正、追加又は削除等の請求を受けた場合、あるいは行政機関、司法機関等、本人以外の第三者から特定個人情報等の提供を要請された場合、すみやかに甲に通知するものとする。この場合、乙は、本人又は本人以外の者の請求又は要請に直接応じる義務を負わず、甲が自己の費用と責任をもって対応するものとする。
(報告、監査)
第 9 条 甲は、乙における本契約の遵守状況(安全管理措置の実施状況を含むがこれに限定されない。)を確認するために必要な限度において、乙に対する書面による事前の通知により、報告、資料の提出又は監査の受入れを求めることができる。この場合、乙は、事業の運営に支障が生ずるときその他の正当な理由がある場合を除き、甲の求めに応じるものとする。
2.前項の報告、資料の提出又は監査の受入れにあたり、乙は甲に対して、乙の営業秘密(不正競争防止法第 2 条第 6 項に定める営業秘密をいう。)に関する秘密保持義務等について定めた秘密保持契約の締結を求めることができるものとする。
3.甲は、監査のために乙の事業所又はコンピュータセンター等への入館が必要となる場合、乙所定の事務処理及び入退館等に関する規則に従うものとする。
4.乙は、甲による監査が通常の範囲を超えると判断するとき、甲乙協議の上、監査の受入れのために乙が要した費用を甲に請求することができるものとする。
(改善の指示)
第 10 条 甲は、前条による報告、資料の提出を受け、又は監査を実施した結果、乙において特定個人情報等の安全管理措置が十分に講じられていないと認めたときは、乙に対し、その理由を書面により通知かつ説明した上で、安全管理
措置の改善を要請することができるものとする。
2.乙は、前項の要請を受けたときは、安全管理措置の改善について甲と協議を行わなければならない。
3.甲の要請する安全管理措置の改善が第5条に定める安全管理措置の範囲を超え、かつ本件業務の内容、規模及び対価に鑑み不相応な費用を要するものであるときは、当該改善に係る費用は甲が負担するものとする。
(事故発生時の対応)
第 11 条 乙は、特定個人情報等の漏えい等の事故が発生したと認識し、又は発生したおそれがあると判断したときは、直ちに甲に報告するものとする。このとき、甲及び乙は、事故の拡大又は再発を防止するために合理的に必要と認められる措置を講じなければならない。
2.前項の場合において、甲及び乙が講ずべき措置については、安全管理措置の実施状況、事故によって特定個人情報等の本人が被る権利利益の侵害の状況、事故の内容及び規模等に鑑み、甲乙協議の上、定めるものとする。
(損害賠償)
第 12 条 乙は、自己の責に帰すべき事由により、本契約に違反して、特定個人情報等の漏えい等の事故が発生し、甲に損害が生じた場合、原契約に従ってこれを賠償する責任を負うものとする。
<原契約に損害賠償条項が存在しない場合>
(損害賠償)
第 12 条 乙は、自己の責に帰すべき事由により、特定個人情報等への漏えい等の事故が発生し、甲に損害が生じた場合、乙の本契約に違反する行為の直接の結果として現実に生じた通常の損害に限り、損害発生の原因となった本件業務の対価を上限として、賠償の責任を負うものとする。
(免責)
第 13 条 乙は、第 5 条に定める安全管理措置を誠実に実施したこと、また、それにもかかわらず特定個人情報等の漏えい等の事故の発生を回避できなかったことを証明できる場合、その範囲内において、前条に定める損害賠償の責任を免れるものとする。
(有効期間)
第 14 条 本契約の有効期間は、本契約締結の日から本件業務の終了の日までとする。
2.前項の定めにかかわらず、第 4 条、第 7 条、第 12 条、第 13 条、第 15 条、
第 16 条、第 17 条及び第 18 条は、本契約終了後も有効に存続するものとする。
(特定個人情報等の返還等)
第15 条 乙は、本件業務が終了したとき、又は甲の求めがあるときはいつでも、甲より取扱いを委託された特定個人情報等(その複製物を含む。)の全部又は一部を甲に返還し、又は記録媒体から消去しなければならない。
2.乙は、特定個人情報等の削除又は廃棄に関して、乙所定の証明書等を甲に提示する。証明書等の発行の時期及び頻度については、甲乙協議の上、書面に定めるものとする。
(原契約等との関係)
第 16 条 特定個人情報等以外の個人データ等の取扱いに関しては、別途甲乙間で締結された個人情報の取扱いに関する契約(以下「個人情報保護契約」という。)がある場合には、当該個人情報保護契約のとおりとし、本契約及び当該個人情報保護契約に定めのない事項については、原契約の定めるところによる。
(合意管轄)
第 17 条 本契約に関する紛争については、○○地方裁判所を専属的合意管轄裁判所とする。
(協議)
第18 条 本契約に定めのない事項又は本契約の解釈に疑義が生じた事項については、信義誠実の原則に従い甲乙協議し、円満に解決を図るものとする。
以上、本契約締結の証として本書 2 通を作成し、甲乙記名押印の上、各 1 通を保有する。
年 月 日甲:
乙: