個人情報保護法に関する契約書上の対応について

個人情報保護法の施行により、個人情報を委託先に委託する場合は、委託先がきちんと個人情報を取り扱っているか、きちんと監督しなければならなくなりました。 そうはいってもいきなり、個人情報がきちっと取り扱われているかどうか監督（監査）を行わせてくれといっても、委託先にも事情がありますので、最悪の場合拒否されることも考えられます。

そうならない為にも今後は個人情報が含まれる業務を委託する場合、

• 個人情報の取扱い
• 委託先の監督

等の条項をあらかじめ設けることより、法的リスクにも対応していく必要があります。

個人情報保護法22条
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

また経済産業省のガイドラインでは、個人データの取扱を委託する場合に契約に盛り込むことが望まれる事項として以下の内容があげられています。

1. 委託者及び受託者の責任の明確化    
2. 個人データの安全管理に関する事項    
   (1)個人データの漏えい防止、盗用禁止に関する事項
   (2)委託契約範囲外の加工、利用の禁止
   (3)委託契約範囲外の複写、複製の禁止
   (4)委託契約期間
   (5)委託契約終了後の個人データの返却・消去・廃棄に関する事項
3. 再委託に関する事項  
    ・再委託を行うに当たっての委託者への文書による報告
4. 個人データの取扱状況に関する委託者への報告の内容及び頻度    
5. 契約内容が遵守されていることの確認（例えば情報セキュリティ監査なども含まれる）   
6. 契約内容が遵守されなかった場合の措置    
7. セキュリティ事件・事故が発生した場合の報告・連絡に関する事項