IT企業・インターネットビジネスの法律相談

リーガルブレスD法律事務所(大阪弁護士会所属)地下鉄本町駅より徒歩 1 分
06-4708-7988
営業時間:平日9:15〜18:00(土日応相談)

個人情報保護法上の委託先監督義務とは?委託先の選定・契約・監査・漏えい対応を弁護士が解説

目次

給与計算、商品発送、メール配信、クラウドサービス、システム保守など、企業が個人情報を外部事業者に取り扱わせる場面は少なくありません。

もっとも、個人情報の取扱いを外部に委託したからといって、委託元企業の責任がなくなるわけではありません。個人情報保護法は、個人データの取扱いを委託する事業者に対し、委託先に対する「必要かつ適切な監督」を求めています。

しかし、実務上は、次のような疑問が生じます。

・どのような外注が監督義務の対象になるのか

・委託先を選ぶ際に何を確認すべきか

・契約書には何を定めるべきか

・契約締結後も監査を行う必要があるのか

・再委託やクラウドサービスをどのように管理すべきか

本記事では、個人情報保護法に基づく委託先への監督義務について、委託前の選定、契約締結、委託中の管理、漏えい等の発生時という実務の流れに沿って解説します。

個人情報の「委託」とは何か

(1) 監督義務の対象となる「個人データ」

企業が外部事業者に個人情報を取り扱わせる場合、そのすべてについて個人情報保護法上の委託先監督義務が生じるわけではありません。同法が監督の対象としているのは、正確には「個人データ」の取扱いの全部又は一部を委託する場合です。

個人データとは、個人情報データベース等を構成する個人情報をいいます。例えば、顧客や従業員の氏名、住所、メールアドレス、購入履歴などが、検索できるように名簿やシステムで整理されている場合、その情報は一般に個人データに該当します。

もっとも、実務では個人情報と個人データを厳密に区別しにくい場面もあります。外部事業者に個人に関する情報を取り扱わせる場合は、まず、個人データの取扱いの委託に当たる可能性があるものとして確認することが安全です。

(2) 契約の名称ではなく実際の業務内容による判断

個人データの取扱いの委託に当たるかは、契約書の名称ではなく、外部事業者に行わせる業務の内容によって判断します。

そのため、契約書の名称が次のいずれであっても、個人データを取り扱わせるのであれば、委託に該当する可能性があります。

・業務委託契約

・請負契約

・準委任契約

・保守・運用契約

・クラウドサービス利用契約

・システム利用契約

対象となる処理も、データの保存に限られません。個人データの取得、入力、編集、集計、分析、出力、送信又は削除などを外部事業者に行わせる場合も含まれます。

(3) 委託に該当し得る具体例

企業活動では、次のような業務が個人データの取扱いの委託に該当し得ます。

・顧客名簿を配送会社に渡して商品を発送させる業務

・顧客情報を用いたメール配信やコールセンター業務

・従業員情報を用いた給与計算や社会保険手続

・顧客管理システムや勤怠管理システムの利用

・顧客データを保存するサーバーの保守・運用

・個人データを含む書類や記録媒体の廃棄業務

クラウドサービスについては、利用するだけで常に委託に該当するとは限りません。クラウド事業者が個人データを取り扱うこととなっているかについて、利用規約、契約条項、アクセス権限及びシステム上の制御などを確認する必要があります。

(4) 委託と第三者提供との相違

委託に伴って個人データを委託先に提供する場合、その委託先は、本人同意が原則として必要となる「第三者」には該当しません。ただし、これは委託先が委託された業務の範囲内で個人データを取り扱うことが前提です。

委託先が受領したデータを、次のような委託先独自の目的で利用する場合は、単なる委託として扱えない可能性があります。

・委託先の商品やサービスの営業

・委託先独自の顧客分析

・委託先による広告配信

・委託先サービスの改善

AIモデルの学習

・委託先が保有する他のデータとの本人単位での突合

特に、委託元から受け取った個人データを、委託先が独自に保有するデータと本人ごとに突合することは、原則として委託の範囲内では認められません。

したがって、外部事業者に個人データを提供する際は、契約の名称だけでなく、誰が、どのデータを、どの目的で、どのように取り扱うのかを具体的に確認することが重要です。

委託先に対する監督義務の基本

(1) 委託元に求められる「必要かつ適切な監督」

個人情報取扱事業者が個人データの取扱いの全部又は一部を外部事業者に委託する場合、委託先に対して必要かつ適切な監督を行わなければなりません。これは、個人データを外部に預けた後も、その安全管理について委託元が一定の責任を負うことを意味します。

委託先への監督は、主に次の三つの段階に分けて考えると分かりやすいです。

・個人データを適切に取り扱える委託先の選定

・安全管理に必要な事項を定めた委託契約の締結

・委託開始後における個人データの取扱状況の把握

したがって、委託先との契約書に秘密保持条項や個人情報保護条項を設けるだけで、監督義務を果たしたことになるわけではありません。委託前の審査から、契約終了後のデータ返却・削除までを一連の管理として実施する必要があります。

(2) 委託内容に応じた監督方法

委託元は、委託先において、個人情報保護法上必要とされる安全管理措置が講じられるよう、必要かつ適切な監督を行わなければなりません。

もっとも、すべての委託先に対して、同一の調査、監査又は安全管理手法を求めなければならないわけではありません。委託先の選定や取扱状況の把握については、委託する個人データの内容や規模に応じた適切な方法を選択することができます。

監督の内容や程度を検討する際は、例えば次の事情を考慮します。

・委託する個人データの性質及び量

・漏えい等が生じた場合の本人への影響

・委託する業務の規模及び性質

・個人データの保存期間及び取扱方法

・再委託の有無及び取扱経路

・利用するシステムや記録媒体に伴うリスク

例えば、多数の顧客情報や健康情報を継続的に取り扱わせる場合には、少量の連絡先を一時的に取り扱わせる場合よりも、詳細な事前審査や定期的な取扱状況の確認が必要になると考えられます。

なお、委託元が法律上要求される水準を超える高度な安全管理措置を自主的に講じている場合でも、委託先に全く同一の措置を講じさせることまで、当然に法律上義務付けられるわけではありません。委託する個人データに伴うリスクを踏まえ、委託先に必要かつ適切な安全管理措置を求めることが重要です。

(3) 契約締結後も必要となる取扱状況の把握

委託先の監督は、委託開始時だけで終了するものではありません。契約で定めた安全管理措置が実際に実施されているかを、委託中も適切な方法で確認する必要があります。

確認方法としては、質問票、定期報告、セキュリティ認証や監査報告書の確認、担当者への聞き取り、オンライン監査などが考えられます。必要に応じて委託先の事業所を訪問する方法もありますが、現地への立入検査が一律に義務付けられているわけではありません。委託する個人データの内容や規模に応じた合理的な方法を選択することが重要です。

このように、委託先への監督義務は、委託先の選定、契約によるルール設定、委託中の確認という三つの対応を継続的に行う義務として理解する必要があります。

委託先を選定するときの確認事項

(1) 安全管理体制を確認する必要性

委託先を選定する際は、価格、実績、業務遂行能力だけでなく、個人データを適切に管理できる事業者であるかを確認する必要があります。

委託元は、委託先において、個人情報保護法及びガイドライン上必要とされる安全管理措置が講じられるよう監督しなければなりません。そのため、委託開始後に問題が生じてから対応するのではなく、選定段階で委託先の体制や個人データの取扱方法を確認することが重要です。

もっとも、確認項目や調査方法は一律ではありません。委託する個人データの種類、量、委託期間、業務内容、漏えい等が生じた場合の影響などを踏まえて決定します。

(2) 組織的・人的な管理体制

まず、委託先の社内において、個人データを適切に管理するための責任体制が整備されているかを確認します。

主な確認事項は、次のとおりです。

・個人情報の取扱いに関する社内規程の有無

・個人データ管理責任者の設置

・個人データの取扱状況を確認する点検・監査体制

・漏えい等が発生した場合の報告・対応手順

・従業員に対する秘密保持義務

・個人情報保護や情報セキュリティに関する教育

・退職者や異動者のアクセス権限を削除する仕組み

規程が存在するだけでなく、実際に教育、点検、権限管理などが行われているかを確認する必要があります。

(3) 技術的・物理的な安全管理

個人データを情報システムで取り扱う場合は、不正アクセス、誤送信、マルウェア感染などを防止するための技術的な対策を確認します。

例えば、次の事項が考えられます。

・利用者ごとのIDの発行と適切な認証

・担当者の業務に応じたアクセス権限の設定

・通信時及び保存時の暗号化

・操作ログの取得・保存

・セキュリティ更新や脆弱性への対応

・バックアップ及び障害発生時の復旧体制

また、紙媒体や記録媒体を取り扱う場合には、保管場所への入退室管理、施錠保管、持出し制限、廃棄時の復元防止なども確認します。

ただし、多要素認証や特定の暗号化方式などが、すべての委託について一律に必須となるわけではありません。取り扱う個人データの性質とリスクに応じて、必要な措置を判断します。

(4) 再委託の有無と管理方法

委託先が業務の全部又は一部を別の事業者に再委託する場合、個人データは委託元から見えにくい場所で取り扱われることになります。

選定時には、少なくとも次の事項を確認する必要があります。

・再委託の予定の有無

・再委託先の名称及び所在地

・再委託する業務の内容

・再委託先が取り扱う個人データ

・再委託先の安全管理措置

・委託先による再委託先の審査・監督方法

・再々委託の可能性

再委託を認める場合は、委託先からの事前報告や委託元の承認、再委託先の取扱状況に関する報告などを通じて、管理状況を把握できる仕組みを設けることが重要です。

(5) 第三者認証や監査報告書の活用

ISO/IEC 27001、プライバシーマーク、SOC報告書などは、委託先の管理体制を確認するための有力な資料となります。

ただし、認証を取得しているという事実だけで、委託先として適切であると判断することはできません。認証や監査の対象範囲が、自社の委託業務、利用する拠点、対象となるシステムを含んでいるかを確認する必要があります。

委託先の選定では、質問票、規程類、認証書、監査報告書、担当者への聞き取りなどを組み合わせ、委託業務のリスクに応じて実質的に評価することが重要です。

委託契約に定めるべき事項

(1) 委託する業務と個人データの範囲

委託契約では、委託する業務の内容と、委託先が取り扱う個人データの範囲をできる限り明確にする必要があります。

例えば、次の事項を定めます。

・委託業務の内容

・対象となる個人データの項目

・個人データの対象者

・取扱いの目的

・取扱期間

・データの受渡し方法

「業務遂行に必要な個人情報を取り扱う」とだけ記載すると、委託先が取り扱える範囲が不明確になります。委託先が必要以上のデータにアクセスしないよう、業務とデータの範囲を対応させることが重要です。

(2) 目的外利用と第三者提供の禁止

委託先が個人データを利用できるのは、原則として委託された業務を遂行するために必要な範囲です。そのため、委託契約には、目的外利用や無断での第三者提供を禁止する条項を設けます。

特に、次のような利用の可否を明確にする必要があります。

・委託先による営業活動への利用

・委託先独自の顧客分析

・委託先による広告配信への利用

・委託先による自社サービス改善のための利用

AIモデルの学習への利用

・委託先が保有するデータとの突合

サービス改善などの名目で委託先が独自に利用する場合は、個人データの取扱いが委託の範囲を超える可能性があります。利用規約やプライバシーポリシーも含め、実際の利用条件を確認する必要があります。

(3) 安全管理措置と責任分担

委託契約には、個人データの安全管理に関する委託元と委託先の責任分担を定めます。

主な事項として、次のものが考えられます。

・取扱担当者とアクセス権限の限定

・従業員に対する教育及び秘密保持

ID、パスワード等の認証管理

・通信時及び保存時の安全管理

・操作ログの取得・保存

・データの持出し制限

・脆弱性対応及びバックアップ

・書類や記録媒体の保管・廃棄

すべての契約に同一の措置を定める必要はありません。取り扱うデータの種類、量、業務の性質、漏えい時の影響などに応じて、必要な措置を契約書又はセキュリティ仕様書に具体化します。

(4) 再委託に関する条件

委託先が業務の一部を別の事業者に再委託する場合には、再委託先における個人データの取扱いも管理できる契約内容とする必要があります。

再委託については、例えば次の事項を定めます。

・再委託の事前承認又は事前通知

・再委託先の名称、所在地及び業務内容

・再委託先が取り扱う個人データ

・再委託先に対する、委託業務の内容に応じた安全管理義務の付与

・委託先による再委託先の監督

・再委託先で問題が生じた場合の委託先の責任

・再々委託以降の管理

個人情報保護法上、再委託について常に委託元の事前承認が必要とされているわけではありません。ただし、委託元が取扱状況を把握できるよう、報告や承認の仕組みを契約上整備することが重要です。なお、マイナンバーを含む特定個人情報については、再委託に最初の委託者の許諾が必要となるため、通常の個人データとは区別して取り扱う必要があります。

(5) 報告・監査と改善要求

委託元が契約締結後も取扱状況を確認できるよう、委託先に対する報告請求権や監査権限を定めます。

具体的には、次の方法が考えられます。

・定期報告又は質問票への回答

・安全管理に関する資料の提出

・第三者認証や監査報告書の提出

・オンライン又は現地での監査

・不備が判明した場合の改善要求

・改善状況及び完了結果の報告

現地への立入監査が一律に必要なわけではありません。委託する個人データの内容や規模に応じて、書面、聞き取り、監査報告書などを含む適切な方法を選択します。

(6) 漏えい等が発生した場合の対応

委託先で漏えい等が発生した場合に、委託元が速やかに対応できるよう、報告手順を具体的に定めます。

・報告対象となる事象

・第一報の期限と連絡先

・第一報に含める事項

・原因調査と続報

・ログその他の証拠の保全

・被害拡大防止への協力

・行政報告や本人通知への協力

・再発防止策の提出

事故発生直後には全容が判明していないことも多いため、第一報と詳細な続報を分ける方法が実務的です。委託先任せにせず、委託元が迅速に判断できる連絡体制を整備しておく必要があります。

(7) 契約終了時の返却・削除

契約終了時に個人データが委託先に残り続けないよう、返却又は削除の方法も定めます。

・個人データの返却又は削除

・複製データやバックアップの処理

・処理を完了する期限

・削除証明書等の提出

・法令上保存が必要なデータの取扱い

委託契約に個人情報保護条項を設ける目的は、形式的に義務を並べることではありません。委託先における取扱いを具体的に統制し、委託元がその実施状況を確認できる契約内容とすることが重要です。

契約締結後に行う委託先の監督

(1) 契約締結後も継続的な確認が必要

委託先に対する監督は、委託先を選定し、個人情報保護に関する条項を契約書に定めれば完了するものではありません。委託元は、契約で定めた安全管理措置が実際に実施されているかを、委託開始後も継続的に確認する必要があります。

例えば、契約締結時には適切な管理体制が整備されていても、その後の組織変更、システム変更、再委託先の追加などにより、個人データの取扱状況が変化することがあります。そのため、一度実施した審査結果だけに依拠せず、委託期間中の状況を適切に把握することが重要です。

(2) 委託先の取扱状況を確認する方法

委託先の取扱状況の確認方法としては、次のようなものが考えられます。

・定期的な質問票への回答

・安全管理措置に関する資料の提出

・情報セキュリティに関する認証の更新確認

・第三者による監査報告書の確認

・漏えい等の発生状況に関する報告

・再委託先の一覧及び変更状況の確認

・担当者への聞き取りや定例会議

・オンライン又は現地での監査

委託先の事業所への立入検査が、すべての場合に必要となるわけではありません。取り扱う個人データの内容や規模に応じて、書面、口頭での確認、監査報告書などを組み合わせ、実効性のある方法を選択します。

(3) リスクに応じた監督方法の設定

すべての委託先に同じ頻度・内容の監査を行うと、委託元の負担が過大になり、確認作業が形骸化するおそれがあります。そのため、委託する業務や個人データのリスクに応じて、監督方法を区分することが有効です。

例えば、次のような事情がある委託先については、より詳細な確認を行うことが考えられます。

・大量の顧客情報又は従業員情報を取り扱う

・要配慮個人情報や認証情報を取り扱う

・個人データを継続的に保存する

・外部からアクセス可能なシステムを利用する

・複数の再委託先が関与する

・過去に漏えい等や重大な管理上の問題が発生している

一方、取り扱う個人データが少量で、取扱期間も短い場合には、質問票や資料確認を中心とする方法も考えられます。重要なのは、監督方法を一律に決めるのではなく、本人の権利利益への影響を踏まえて合理的に設定することです。

(4) 問題が判明した場合の是正措置

確認の結果、契約違反や安全管理上の不備が判明した場合には、指摘を伝えるだけで終わらせず、改善が完了するまで対応状況を確認する必要があります。

具体的な対応としては、次のものが考えられます。

・原因及び影響範囲の報告要求

・改善計画と実施期限の設定

・追加の安全管理措置の要求

・取扱データやアクセス権限の縮小

・再委託先の変更又は利用停止

・改善状況の再確認

・問題が重大な場合の委託停止又は契約解除

また、監査結果、改善要求、委託先からの回答、改善完了の確認内容は記録として残しておくことが重要です。委託先の取扱状況を定期的に評価し、必要に応じて委託内容や契約条件を見直すことまで含めて、継続的な監督を行う必要があります。

再委託・クラウド・海外事業者

(1) 再委託先を含めた管理

委託先が業務の全部又は一部を別の事業者に再委託する場合、個人データは委託元と直接契約関係のない事業者によって取り扱われます。そのため、委託元は、直接の委託先だけでなく、再委託先における取扱状況も把握できるようにする必要があります。

具体的には、次の事項を確認します。

・再委託先の名称及び所在地

・再委託する業務の内容

・再委託先が取り扱う個人データ

・再委託先に講じさせる安全管理措置

・委託先による再委託先の監督方法

・再々委託の有無

個人情報保護法上、通常の個人データについて、再委託に委託元の事前承認を得ることが一律に義務付けられているわけではありません。しかし、委託元が再委託の状況を把握できるよう、事前承認、事前通知又は再委託先一覧の提出などを契約で定めることが重要です。なお、マイナンバーを含む特定個人情報については、再委託以降の各段階で最初の委託者の許諾が必要です。

(2) クラウドサービス利用時の確認

クラウドサービスの利用が個人データの取扱いの委託に当たるかは、クラウド事業者が個人データを取り扱うこととなっているかによって判断します。

クラウド事業者が保守、調査、分析などのために個人データへアクセスし、利用できる場合には、委託に該当し、委託先として監督する必要があります。一方、契約上、クラウド事業者が個人データを取り扱わないことが明確にされ、適切なアクセス制御も講じられている場合には、委託に当たらないことがあります。もっとも、この場合でも、クラウドサービスを安全に利用するための措置は必要です。

利用時には、次の事項を確認します。

・データへのアクセス権限

・保存場所と暗号化の状況

・サブプロセッサーの利用

・インシデント発生時の通知

・契約終了後の返却・削除

・利用規約やサービス内容の変更

(3) 海外事業者・海外サーバーへの対応

外国にある事業者へ個人データの取扱いを委託する場合には、通常の委託先監督に加え、外国にある第三者への提供に関する規制を検討する必要があります。提供先の所在国や体制によっては、所定の情報を本人に提供したうえで同意を取得することや、提供先との契約等により個人情報保護法上の基準に適合する体制を整備することが必要になります。

また、海外サーバーを利用するだけで、直ちに外国第三者提供に該当するわけではありません。事業者が保存データを取り扱うこととなっているかを確認するとともに、サーバーや事業者が所在する国の制度を把握し、必要な安全管理措置を講じることが重要です。

漏えい等が発生した場合の対応

(1) 委託先から速やかに報告を受ける体制の整備

委託先で個人データの漏えい、滅失又は毀損が発生した場合、委託元は、委託先に対応を任せるだけでは足りません。委託元自身も事実関係を把握し、被害の拡大防止や法令上必要な対応を迅速に進める必要があります。

そのため、委託契約や運用手順において、次の事項をあらかじめ定めておくことが重要です。

・第一報を行う期限と連絡先

・第一報に含める情報

・続報を行う時期と方法

・原因調査への協力

・ログや記録の保全

・本人対応や行政報告への協力

漏えい等の発生直後には、原因や影響範囲が判明していないこともあります。第一報で把握済みの事実を共有し、その後に調査結果を追加報告する仕組みが実務的です。

(2) 委託元が行う初動対応

委託元は、委託先から報告を受けた後、必要に応じて次の対応を進めます。

・被害の拡大防止

・漏えい等の対象となったデータと人数の特定

・発生原因と経緯の調査

・本人に生じる影響の確認

・個人情報保護委員会への報告要否の判断

・本人への通知要否の判断

・再発防止策の検討

要配慮個人情報を含む個人データの漏えい等、財産的被害が生じるおそれのある漏えい等、不正の目的をもって行われたおそれのある漏えい等又は1,000人を超える本人に係る漏えい等が発生し、又は発生したおそれがある場合には、法令所定の例外を除き、個人情報保護委員会への報告及び本人への通知が必要となります。報告対象となる場合は、事態を知った後、速やかに速報を行い、その後、原則として30日以内に確報を行います。不正な目的による漏えい等については、確報の期限が60日以内となります。

(3) 委託元と委託先の報告義務

委託先が取り扱う個人データについて報告対象となる漏えい等が発生し、委託元と委託先の双方が当該個人データについて報告義務の主体となる場合には、原則として、双方が個人情報保護委員会への報告及び本人への通知を行う必要があります。

ただし、委託先が、報告義務を負う委託元に対して、発生した事態や把握している事項を通知した場合には、委託先の報告義務は免除されます。この場合でも、委託元の報告義務まで免除されるわけではありません。

(4) 原因調査と委託継続の判断

事案発生後は、委託先に原因、影響範囲、暫定措置及び再発防止策を報告させ、改善状況を確認します。重大な管理上の不備がある場合には、取扱範囲の縮小、業務の一時停止、再委託先の変更又は契約終了も検討する必要があります。

実務チェックリスト

(1) 委託開始前の確認

個人データの取扱いを外部に委託する際は、まず対象となる業務とデータを明確にする必要があります。主な確認事項は、次のとおりです。

・委託する業務と個人データの範囲を特定しているか

・委託先の安全管理体制を確認しているか

・再委託の有無と管理方法を把握しているか

・委託先が独自目的でデータを利用しないことを確認しているか

(2) 契約・運用面の確認

契約書を作成するだけでなく、委託開始後の運用まで見据えた管理が必要です。

・目的外利用、第三者提供及び無断再委託を制限しているか

・安全管理措置、報告義務及び監査方法を定めているか

・漏えい等が発生した場合の連絡手順を定めているか

・委託先の取扱状況を定期的に確認しているか

・問題が判明した場合の改善状況を記録しているか

・契約終了時の返却・削除方法を定めているか

委託先に対する監督義務は、契約書に個人情報保護条項を設けるだけで果たせるものではありません。委託先の選定、契約、継続的な確認、問題発生時の是正及び契約終了時の処理を一連の管理として実施することが重要です。

リーガルブレスD法律事務所のサポート内容

個人データの取扱いを外部事業者に委託する場合、委託契約に個人情報保護条項を設けるだけで、委託先に対する監督義務を果たしたことになるわけではありません。委託する個人データの内容や規模、委託業務の性質、再委託の有無、利用するシステムなどを確認したうえで、委託先の選定、契約内容及び委託開始後の監督方法を具体的に設計する必要があります。

また、委託先から提出された質問票やセキュリティ資料を形式的に確認するだけでは、委託先の実際の管理状況を十分に把握できないことがあります。他方で、すべての委託先に対して一律に詳細な監査を行うと、管理負担が過大となり、運用が形骸化するおそれもあります。取り扱う個人データに伴うリスクを踏まえ、確認事項、監督方法及び確認頻度を適切に設定することが重要です。

リーガルブレスD法律事務所では、個人データの取扱いを外部に委託する事業者を対象に、委託先の選定から契約締結後の監督、漏えい等が発生した場合の対応まで、個人情報保護法に関する法務支援を行っています。

主な対応内容は、次のとおりです。

・個人データを取り扱う委託先及び委託業務の整理

・委託先選定時の質問票、確認項目及び審査基準の作成・確認

・業務委託契約、個人情報取扱特約及びセキュリティ条項の作成・確認

・再委託、クラウドサービス及び海外事業者の利用に関する法的検討

・委託先に対する定期確認、報告及び監査方法の設計

・委託先の管理上の不備が判明した場合の改善要求及び対応方針の検討

・委託先で漏えい等が発生した場合の初動対応、行政報告及び本人通知の検討

・委託先管理規程、チェックリスト及び社内運用体制の整備

新たに個人データの取扱いを外部事業者へ委託する場合、既存の委託契約や委託先管理に問題がないか確認したい場合、又は委託先で漏えい等や安全管理上の問題が発生した場合は、リーガルブレスD法律事務所までご相談ください。

ご相談内容やご希望に応じて、「法律相談サービス」「スポットサービス」「法律顧問サービス」をご利用いただけます。

(1) 法律相談サービス

個人データの取扱いを外部事業者に委託する場合、委託契約に個人情報保護条項が設けられているという事実だけで、委託先に対する監督義務を適切に履行できているとは限りません。委託する個人データの内容、業務の性質、再委託の有無、委託先の管理体制、契約締結後の確認方法などを総合的に検討する必要があります。

また、委託先で漏えい等や安全管理上の問題が判明した場合には、事実関係が十分に確認できていない段階で、法令違反の有無や責任の所在を断定することは避けるべきです。他方で、対象データや関係資料の保全、委託先からの報告の取得、被害拡大防止措置、行政報告及び本人通知の要否の検討などは、速やかに進める必要があります。

新たな委託先の利用を検討している場合、現在の委託先管理に問題がないか確認したい場合、又は委託先で問題が発生した後の対応方針を整理したい場合には、法律相談サービスをご利用いただけます。

ご相談内容例

・新たに顧客管理システムやクラウドサービスを導入するに当たり、サービス事業者への個人データの提供が委託に該当するか、契約上どのような事項を確認すべきか相談したい

・既存の委託先について、契約書に個人情報保護条項はあるものの、選定時の審査や契約締結後の確認を十分に行っていないため、現在の管理方法に問題がないか確認したい

・委託先から個人データの漏えい又は不正アクセスのおそれがあるとの報告を受けたため、事実確認、個人情報保護委員会への報告、本人通知その他の初動対応について相談したい

サポート内容例

・利用規約、個人情報取扱特約、セキュリティ資料、データの利用目的及びアクセス権限等を確認し、委託への該当性、第三者提供規制との関係、契約締結前に確認又は修正すべき事項を整理します

・委託先一覧、委託契約書、質問票、監査資料及び現在の運用方法を確認し、委託先のリスク区分、追加で確認すべき事項、確認頻度、契約又は社内運用の改善点を整理します

・委託先からの報告内容を踏まえ、保全すべき資料、追加で確認すべき事実、被害拡大防止措置、行政報告及び本人通知の要否、委託先への追加報告・改善要求の方針を助言します

相談者が得られるメリット

・外部サービスやクラウド事業者によるデータの取扱いが、個人情報保護法上の委託に該当するかを整理しやすくなる

・委託先選定時に確認すべき契約条件、安全管理措置、再委託及びデータ利用条件を把握しやすくなる

・既存の委託先について、優先して見直すべき契約条項、質問票、監督方法及び確認頻度を整理しやすくなる

・委託先で漏えい等が発生した場合に、必要な初動対応と追加で確認すべき事項を検討しやすくなる

・個人情報保護委員会への報告、本人通知、委託先への改善要求及び委託継続の可否について判断しやすくなる

弁護士費用

190分以内で15,000円(税別)

実施方法

ご予約(お問い合わせフォーム又はお電話にて日程調整)

事前準備(関係資料を共有いただきます)

相談実施(オンライン又は対面)

対応方針の提示(法的な問題点、追加で確認すべき事項及び今後の対応方針を具体的にご提示)

アフターフォロー(ご希望内容に応じて別途契約の上、交渉代理や訴訟対応、継続支援へ移行)

 

お問い合わせはこちら>>

(2) スポットサービス(法律相談以外のサービス)

個人データの委託先管理について、個別の契約書、質問票、セキュリティ資料、監査結果、事故報告書等を精査し、具体的な法的評価、改善対応又は書面作成まで依頼したい場合には、スポットサービスをご利用いただけます。

法律相談サービスが、相談時間内で問題点や対応の方向性を整理するものであるのに対し、スポットサービスでは、対象となる委託先、契約、事故又は社内制度を特定したうえで、関係資料を確認し、契約書、調査報告書、改善要求書その他の具体的な成果物の作成・レビューまで対応します。

例えば、スポットサービスとして、次のようなご依頼に対応しています。

・委託契約書、個人情報取扱特約、利用規約、セキュリティ仕様書等を精査し、目的外利用、再委託、監査、漏えい時の報告、契約終了時のデータ処理等に関する条項を作成・修正

・委託先から提出された質問票、認証書、監査報告書、セキュリティ資料等を確認し、安全管理上の問題点、追加確認事項及び改善要求事項を整理した審査報告書を作成

・委託先で漏えい等が発生した場合に、事故報告書、ログ、メールその他の資料を確認し、事実関係、法令上の報告義務、本人通知の要否及び委託先の契約上の責任を整理

・委託先に対する追加報告要求書、改善要求書、再発防止策の提出依頼、契約解除通知その他の対応書面を作成・レビュー

・委託先管理規程、委託先選定基準、リスク評価表、質問票、監査チェックリスト、事故発生時の対応手順等を個別に作成・見直し

・再委託先や海外事業者が関与する個別案件について、データの取扱経路、契約関係、外国第三者提供規制及び必要な契約措置を整理

 

ご依頼内容を簡単にお伺いしたうえで、確認する資料、実施する調査、作成する書面、対応範囲、納期及び費用を整理し、お見積書をご提示します。

個別の委託契約について条項の作成・修正をご希望の場合、委託先の安全管理体制について資料に基づく具体的な評価をご希望の場合、漏えい等に関する調査・報告書作成をご希望の場合、又は委託先管理規程やチェックリスト等の整備をご希望の場合は、お問い合わせください。

 

お問い合わせはこちら>>

(3) 法律顧問サービス(顧問弁護士サービス)のご案内

個人データの委託先に対する監督義務を適切に履行するためには、新たな委託契約を締結するときや、漏えい等が発生したときだけ対応するのでは十分ではありません。委託先の追加、委託業務の変更、再委託先の増加、利用するクラウドサービスの変更などに応じて、委託先の管理方法を継続的に見直す必要があります。

また、複数の部署がそれぞれ外部サービスや業務委託先を利用している企業では、委託先の情報が一元的に管理されておらず、契約内容や確認方法が部署ごとに異なることがあります。このような状態を改善するためには、委託先の把握、リスク区分、契約審査、定期確認及び問題発生時の対応を、社内の継続的な仕組みとして整備することが重要です。

リーガルブレスD法律事務所では、個人データの取扱いを外部に委託する事業者を対象に、委託先管理体制の整備、個別契約の確認、定期的な監督及び社内運用の改善に関する継続的な法務支援を行っています。委託先やクラウドサービスを日常的に利用している場合や、複数の委託案件について随時相談できる体制を整えたい場合にご利用いただけます。

ご依頼内容例

・社内の各部署が利用している委託先やクラウドサービスを一覧化し、取り扱う個人データやリスクに応じて、審査及び監督の方法を統一したい

・新規の業務委託契約やクラウドサービス利用契約が継続的に発生するため、個人情報保護条項、再委託、監査、漏えい時の報告等について、契約締結前に確認できる体制を整えたい

・既存の委託先について、契約更新、サービス内容の変更、再委託先の追加、セキュリティ認証の更新等を定期的に確認し、必要に応じて改善を求めたい

サポート内容例

・委託先一覧の作成方法、取り扱う個人データや業務内容に応じたリスク区分、選定時の質問票、承認手続及び定期確認の頻度を整理し、社内の委託先管理フローの整備を支援します

・新たに提示される業務委託契約、個人情報取扱特約、利用規約及びセキュリティ資料を継続的に確認し、目的外利用、再委託、外国事業者への個人データの提供、監査、事故報告及び契約終了時のデータ処理に関する修正・交渉方針を助言します

・契約更新時や定期確認時に、委託先から提出された質問票、認証書、監査報告書、再委託先一覧及びサービス変更内容を確認し、追加調査、改善要求、契約条件の変更又は委託継続の判断を支援します

依頼者が得られるメリット

・部署ごとに分散している委託先情報を整理し、個人データの内容やリスクに応じた一貫した管理を行いやすくなる
・新規契約の都度、個人情報保護条項やクラウド事業者の利用条件について相談でき、契約締結後に問題が判明するリスクを抑えやすくなる

・すべての委託先に同一の確認を行うのではなく、リスクに応じた審査方法や確認頻度を設定しやすくなる

・契約更新、再委託先の追加、サービス仕様の変更など、委託開始後に生じる変化を継続的に確認しやすくなる

・委託先の選定、契約審査、定期監督、改善要求及び契約終了時の処理を含む委託先管理体制を整備しやすくなる

実施方法

お問い合わせ後、オンライン面談(30分程度、無料)を実施し、ご要望事項の聞き取りやプランの説明を行います

ご提案書(見積書)の提示

顧問契約の締結

窓口の開設(専用メール、チャットの提供)

サービス開始

・日常的な対応(契約書レビュー、相談に即応(即日~数日以内対応可))

・ミーティング(必要に応じて経営課題、法務リスクを総点検)

・追加支援(必要に応じて交渉代理、訴訟対応、研修実施などを提供)

 

お問い合わせ  

20267月執筆>

本記事は、執筆時点における一般的な法的整理を示すものであり、個別案件への適用は具体的な事情により異なります。

ご相談のご予約はこちらから
06-4708-7988
営業時間:平日9:15〜18:00(土日応相談)
ご相談のご予約は
こちらから
06-4708-7988
営業時間:平日9:15〜18:00(土日応相談)