個人情報と契約条項|委託・共同利用・第三者提供で必ず見るべき実務基準
法務実務ツールを一覧で見る
契約管理、問い合わせ受付、個人情報マスキング、契約レビュー支援など、Legal GPT が提供する無料ツール・有償ソフト・有償プロンプトを、用途と対象に沿って一覧で整理しています。「自社に何が必要か」を確かめる入口としてご利用ください。
個人情報と契約条項|委託・共同利用・第三者提供で必ず見るべき実務基準
個人情報保護法の構造を契約条項に落とし込む。法務・総務・情シスが押さえるべき実務基準を条項単位で解説。
この記事のポイント
個人情報が絡む契約トラブルの多くは「秘密保持条項(NDA)だけで済ませた」ことが出発点です。個人データを委託する場合は、個人情報保護法上の委託先監督義務(25条)・安全管理措置(23条)・漏えい報告義務(26条)を踏まえた専用条項が必要です。本記事では、委託・共同利用・第三者提供の3類型の整理から、再委託管理・漏えい時対応・責任制限との関係まで、契約レビュー時に実際に使える実務基準を解説します。
1. NDAと個人情報条項は別物である
「個人情報が含まれる契約にはNDAを締結している」という運用は、法務部門でも意外と多く見られます。NDA(秘密保持契約)は「秘密情報を漏らさない、目的外使用をしない」という義務を課すものですが、個人情報保護法が要求する事項は、それとは大きく異なります。
NDAだけでは手当てできない個人情報保護法上の義務
①委託先に対する必要かつ適切な監督義務(個情法25条)、②安全管理措置義務(23条)の相手方への反映、③漏えい等が発生した場合の個人情報保護委員会への報告義務・本人通知義務(26条)、④再委託先の管理、⑤データの返還・削除・廃棄義務——これらはNDAには通常含まれず、別途の個人情報処理条項または専用の委託契約書が必要です。
個人情報保護法は、個人データの取扱いを外部に委託する場合、委託元に委託先に対する「必要かつ適切な監督」を義務付けています(個情法25条)。この監督義務を果たすための具体的な手段が、契約条項です。法律が求める水準を契約で担保できていなければ、事故が起きたときに委託元が法的責任を負うリスクがあります。
2024年度(令和6年度)の民間事業者による個人情報漏えい等の報告件数は過去最多の19,056件に達しました(個人情報保護委員会「令和6年度年次報告」)。委託先を経由した漏えいも多数を占めており、契約条項の整備は待ったなしの課題です。
本記事で整理する論点
「委託・共同利用・第三者提供の3類型の判定」→「委託契約の必須条項」→「共同利用・第三者提供の注意点」→「再委託管理・漏えい時対応」→「責任制限との整合」という順で、契約レビューに直結する基準を解説します。
2. 個人情報・個人データ・保有個人データ等の違い
個人情報保護法は複数の概念を使い分けており、課される義務の内容もそれぞれ異なります。まず基本概念を整理します。
| 概念 | 定義・内容 | 根拠条文 | 主な義務・規律 |
|---|---|---|---|
| 個人情報 | 生存する個人に関する情報で、氏名・生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合でき識別できるものを含む)。また、個人識別符号(マイナンバー、旅券番号、運転免許証番号、指紋データ等)を含む情報 | 2条1項 | 取得・利用・保管全般のルール(利用目的の特定・通知、適正取得等) |
| 個人データ | 個人情報データベース等を構成する個人情報。データベースに入力・管理されている個人情報のほか、五十音順のリスト等も含む | 16条3項 | 安全管理措置、委託先監督、第三者提供制限、漏えい等報告義務など、最も強い規律がかかる |
| 保有個人データ | 個人情報取扱事業者が開示・訂正・利用停止等の権限を有する個人データ(2022年改正により、6か月以内に消去するデータも含む) | 16条4項 | 開示・訂正・削除・利用停止の請求への対応義務(33〜39条) |
| 要配慮個人情報 | 人種、信条、社会的身分、病歴、犯罪歴、障害の有無など、不当な差別・偏見が生じないよう特に慎重な取扱いが求められる情報 | 2条3項 | 取得に本人の同意が必要(20条2項)。オプトアウトによる第三者提供不可。漏えい時は1件でも報告対象 |
| 仮名加工情報 | 他の情報と照合しない限り特定の個人を識別できないよう加工した個人情報(元データと対応表を持ち合わせた状態) | 2条5項 | 内部分析目的での利用緩和あり。第三者提供は禁止(41条6項)。本人への通知・公表義務等の一部緩和 |
| 匿名加工情報 | 特定の個人を識別できないよう加工し、元の個人情報を復元できないようにした情報 | 2条6項 | 目的外利用・第三者提供が自由になる。第三者への提供時には公表・明示義務あり(43条) |
実務上の注意:契約レビュー時はどの「個人情報」か確認する
契約書に「個人情報」と記載されていても、実態が個人データである場合(データベース管理・マーケティングリスト処理等)は安全管理措置・委託先監督・漏えい報告が問題になります。「個人情報の取扱いを含む業務委託」というだけでなく、どの種類の情報がどのように処理されるかを依頼時に確認し、条項設計に反映する必要があります。
3. 契約上まず判定すべき3類型
個人データを外部に渡す・共有する場合、個人情報保護法上「委託」「共同利用」「第三者提供」のどれに当たるかによって、要求される手続きと契約条項が大きく変わります。この判定を誤ると、本来不要な本人同意取得の手間が生じたり、逆に必要な本人同意を取り忘れたりするリスクがあります。
| 類型 | 定義・要件 | 本人同意 | 契約上の主な義務 | 典型例 |
|---|---|---|---|---|
| 委託 (27条5項1号) |
利用目的の達成に必要な範囲内で、個人データの取扱いを外部に委ねること。委託先は委託元の指示に従い処理する | 不要 (ただし委託先監督義務あり) |
安全管理措置・再委託制限・漏えい報告・委託先監督・返還廃棄 | DM発送代行・給与計算アウトソース・クラウドサービス利用・システム開発 |
| 共同利用 (27条5項3号) |
特定の者との間で共同して利用すること。①共同利用する旨、②利用項目、③利用者の範囲、④利用目的、⑤管理責任者を本人に通知または公表 | 不要 (ただし事前公表が必要) |
公表事項の維持・変更時通知、管理責任者の安全管理義務 | グループ会社間での顧客情報共有・共同マーケティング |
| 第三者提供 (27条1項) |
委託・共同利用・事業承継以外で個人データを第三者に渡すこと。受領側が自社目的で使用するケース | 原則必要 (例外:法令、公益目的等) |
提供記録・確認記録の作成・保存(29条・30条)。3年保存 | パートナー企業への顧客紹介・データ販売・オプトアウトによる第三者提供 |
判定ポイント:「受け取った側が何のために使うか」で判断する
委託か第三者提供かは、渡した側の利用目的の範囲内で処理されるかどうかで判断します。受け取った側が自社の顧客開拓・マーケティング等に使う場合は第三者提供です。受け取った側が渡した側の業務を代行する形で処理するのみであれば委託です。「代理処理か、自社利用か」という視点で整理してください。
なお、個人情報保護委員会は「クラウドサービス提供事業者が個人データを取り扱わないこととなっている場合」は委託に当たらないとしています(ガイドライン通則編3-4-4)。純粋なSaaSで事業者がデータに触れない設計であれば委託先監督義務は生じませんが、実態確認が必要です。
4. 委託契約で必ず確認すべき条項
個人データの取扱いを含む委託契約(またはメイン契約に設ける個人情報処理条項)では、以下の各事項を条項として明確に定めることが求められます。各条項の目的と確認ポイントを整理します。
① 利用目的の限定
委託先が取得した個人データを、委託業務以外の目的(委託先自身のマーケティング・第三者への転売等)に使用することを明示的に禁止する条項です。「本契約に基づく委託業務の遂行目的のみに利用し、いかなる他の目的にも利用しない」という文言が基本です。
② 安全管理措置
個人情報保護法23条は、個人情報取扱事業者に対し個人データの安全管理のための「必要かつ適切な措置」を義務付けています。委託先にも同水準の措置を求めることが個情法25条の趣旨です。「委託元のセキュリティポリシーに準拠した措置を講じること」または「個人情報保護委員会ガイドラインが定める水準以上の安全管理措置を講じること」と定めるのが標準です。
具体的には、技術的安全管理措置(アクセス制御、暗号化、ログ管理等)・物理的安全管理措置(施錠管理、端末管理等)・組織的安全管理措置(担当者の特定、内部規程整備等)・人的安全管理措置(従業者教育等)を想定した内容を盛り込みます。大規模な委託では、「安全管理措置基準書」を別紙として添付する例も多くあります。
③ 秘密保持
NDAと重複する部分もありますが、個人情報固有の保持義務(委託業務終了後も含む、再委託先への秘密保持義務の転嫁等)を明記します。
④ 再委託の可否と手続き
委託先がさらに第三者(再委託先)に業務を委ねる場合の取扱いを定めます。無制限の再委託を認めると、委託元は再委託先の実態を把握できず、監督義務を果たせなくなります。実務上は「事前承認制」が標準です(詳細は第7節)。
⑤ 委託先監督・報告・監査
委託元は個情法25条に基づき委託先を監督する義務を負います。定期的な安全管理状況の報告徴求権、必要に応じた立入監査権を定めます。
⑥ 漏えい等発生時の報告義務
委託先において個人データの漏えい・滅失・毀損が発生した場合、委託先が委託元に対して速やかに通知することを義務付けます(詳細は第8節参照)。報告の期限・方法・内容を具体的に定めることが重要です。
⑦ 返還・削除・廃棄
委託契約終了時に委託元から提供した個人データをどうするかを定めます。「返還」か「確実な消去・廃棄」かを選択し、廃棄証明書の提出を求めるのが標準です。
⑧ 損害賠償・責任の帰属
委託先の個人データの取扱いに起因する損害(本人からの賠償請求・行政制裁・信用毀損損害等を含む)について、委託先が委託元に対して賠償する義務を明記します。責任制限条項との関係(個人情報漏えいは例外とすること)は第9節で詳述します。
5. 共同利用条項の実務
グループ会社間での個人データ共有を「委託」ではなく「共同利用」として整理することが実務上多くあります。ただし、共同利用には法律が定める公表義務があり、「グループ会社だから自由に共有できる」という理解は誤りです。
共同利用に必要な公表事項(個情法27条5項3号・6項・7項)
| 公表・通知が必要な事項 | 内容・実務上の注意 |
|---|---|
| ①共同利用する旨 | 「○○グループ各社と共同利用します」という明示が必要。「グループ内での情報連携」といった曖昧な記載では不十分 |
| ②共同利用する個人情報の項目 | 氏名・連絡先・購買履歴など、具体的な項目を列挙する。「その他業務上必要な情報」のような包括的記載は避ける |
| ③共同利用者の範囲 | 会社名・グループ会社名を具体的に記載する。「グループ会社」というだけでは、範囲が特定できないため不十分 |
| ④利用目的 | 共同利用により達成する目的を明記。「マーケティング」「会員サービス提供」など |
| ⑤管理責任者の氏名・名称・住所 | 共同利用について管理責任を負う法人名・代表者名・住所を明示する。変更時は再公表が必要 |
「グループ会社だから自由に共有できる」は誤り
親会社・子会社・関連会社は法人格が異なる以上、法律上は「第三者」です。グループ内共有であっても、委託・共同利用・事業承継のいずれかに該当しない限り、本人の事前同意が必要です。共同利用として整理する場合は上記①〜⑤の公表が必要であり、これらをプライバシーポリシー等に反映していなければ法令違反となります。
グループ会社間の個人データ管理に関する契約上の注意点
6. 第三者提供の実務
第三者提供の原則と例外
個人データを第三者に提供する場合は、原則として本人の事前同意が必要です(個情法27条1項)。例外として本人同意が不要なのは、①法令に基づく場合、②生命・財産保護のために緊急を要する場合、③公衆衛生・児童健全育成の推進のために必要な場合、④国の機関等への協力、⑤委託・共同利用・事業承継、⑥オプトアウト手続をとった場合(要配慮個人情報・不正取得情報を除く)です。
オプトアウトの注意点
オプトアウトによる第三者提供(個情法27条2項)は、本人が「提供を停止してほしい」と求めれば停止する体制のもとで本人同意なく第三者提供ができる制度です。ただし、個人情報保護委員会への届出と公表が必要であり、要配慮個人情報・不正取得した個人データ・オプトアウトで取得した個人データは対象外です。企業の顧客リストを名簿業者に販売するような事例で悪用されたことから規制が強化されており、実務上は慎重な対応が必要です。
外国にある第三者への提供(個情法28条)
海外ベンダーへの個人データ移転には特別な規律があります。
| 提供先・要件 | 必要な対応 |
|---|---|
| 本人の同意あり | 同意取得の際に、①提供先の国名、②当該国の個人情報保護に関する制度、③相手方の措置について本人に情報提供した上で同意取得が必要 |
| 十分性認定国への提供 (EU・EEA、英国等) |
個人情報保護委員会が十分な保護水準と認定した国・地域への提供は通常の第三者提供に準じて取り扱い可能(ただし認定リストを確認要) |
| 基準適合体制の整備 (契約による担保) |
移転先が個人情報保護委員会規則で定める基準に適合する体制(標準契約条項・BCR等)を整備している場合に可能。定期的な確認義務あり。移転先の体制に関する情報を本人からの要請に応じて提供する義務 |
契約レビュー上の確認事項
海外子会社・海外ベンダーへの個人データ移転が含まれる契約では、①移転先国の個人情報保護制度の概要、②移転先における安全管理措置の具体的内容、③定期的な確認手続き、④本人の求めへの対応窓口、を契約または別添資料に定めておくことが求められます(ガイドライン外国第三者提供編参照)。
提供記録・確認記録(個情法29条・30条)
個人データを第三者に提供した場合は提供記録、第三者から受領した場合は確認記録の作成と3年間の保存が義務付けられています。委託・共同利用・事業承継による提供は対象外ですが、オプトアウトや同意による提供は対象です。
7. 再委託条項
委託先がさらに下請けに業務を委ねる「再委託」は、個人データの拡散リスクを高めます。個人情報保護法は再委託を禁止していませんが、委託元が委託先に対して監督義務を負う以上(25条)、再委託先についても間接的に管理責任が及びます。
再委託の基本設計
1. 受託者は、委託者の書面による事前承認を得た場合に限り、個人データの取扱いを含む業務の全部または一部を第三者(以下「再委託先」という)に委託することができる。
2. 受託者は、再委託先に対し、本契約における受託者の義務と同等以上の義務を負わせた契約を締結しなければならず、委託者の請求があれば当該契約の写しを提供するものとする。
3. 受託者は、再委託先において本契約に定める義務が遵守されるよう必要かつ適切な監督を行わなければならない。
4. 再委託先において個人データの漏えい等が発生した場合、受託者はその責任を負い、前条の報告義務を負う。
5. 委託者が再委託を承認した後に再委託先について変更が生じた場合、受託者は速やかに委託者に通知し、改めて承認を得るものとする。
多重再委託の管理
実際の業務では、「再委託先がさらに再々委託する」という多重構造が発生することがあります。委託元は再委託先・再々委託先の存在と実態を定期的に把握する仕組みが必要です。大規模委託では、受委託者が「個人データ取扱サブプロセッサー一覧」を毎年提出・更新するという条項を設けることが有効です。
8. 漏えい等発生時の条項
個人情報保護法26条は、一定の要件を満たす個人データの漏えい・滅失・毀損が発生した場合に、個人情報保護委員会への報告および本人への通知を義務付けています。委託先からの漏えいであっても委託元も報告義務を負う場合があるため、委託先の初動対応と委託元への通知を契約で担保することが重要です。
報告義務の対象事態(施行規則7条)
報告期限とプロセス(ガイドライン通則編3-5-3)
| 段階 | 期限の目安 | 内容 |
|---|---|---|
| 委託先→委託元への通知 | 事態を知った後、概ね3〜5日以内(速やかに) | 委託先が委託元に通知した場合、委託先の個人情報保護委員会への報告義務は免除される(26条1項但書)。その代わり委託元が報告義務を負う |
| 速報(委託元→個情委) | 事態を知った後、速やかに(概ね3〜5日以内) | 報告時点で把握している情報を報告。全事項が判明していなくても報告可能 |
| 確報(委託元→個情委) | 30日以内(不正目的の漏えい等は60日以内) | 事実関係と再発防止策を記載した確報を提出 |
| 本人通知 | 確報と同時期(速やかに) | 本人に対し、漏えい等の事実、対応状況等を通知する(原則)。困難な場合は公表による代替が認められる場合も |
契約で定めるべき漏えい時条項
1. 受託者は、個人データの漏えい、滅失、毀損その他のセキュリティ事故(以下「漏えい等」という)が発生し、またはそのおそれがあると認めた場合、直ちに被害の拡大防止措置を講じるとともに、当該事態を知った時から24時間以内に委託者に対し第一報を行い、その後速やかに(3営業日を目安とする)詳細を書面で報告しなければならない。
2. 前項の報告には、①発生日時・発覚日時、②漏えい等の対象となった個人データの項目・件数(判明している範囲)、③漏えい等の原因・状況、④採った対応措置、⑤二次被害の有無・可能性を含むものとする。
3. 受託者は、委託者が実施する事実関係の調査、個人情報保護委員会への報告、本人への通知、関係機関への対応および公表に際し、必要な協力を行い、費用(弁護士費用・調査費用等を含む)を負担するものとする。
4. 漏えい等に関し本人またはその他の者から委託者に対して請求・苦情・損害賠償請求等がなされた場合、受託者の責に帰すべき事由によるものについては受託者がその費用を負担して対応する。
5. 受託者は、漏えい等の原因を調査した上で、再発防止策を策定し、委託者の要請から14日以内に書面で報告するものとする。
6. 受託者は、漏えい等に関連する全ての証跡(ログ・メール・アクセス記録等)を少なくとも5年間保全し、委託者の要請に応じて提供するものとする。
実務上のポイント
契約上の報告期限(例:24時間以内の第一報)と法定の速報期限(概ね3〜5日以内)は異なります。委託元は委託先から通知を受けた時点で「事態を知った」ことになりますので、委託先の通知が遅れると委託元の法定報告が遅延します。契約で委託先の通知期限を法定より厳しく設定しておくことが実務上重要です。また、漏えい等報告を行った後に行政指導・勧告を受けた場合は、それへの対応コストについても費用分担を定めておくことを検討してください。
9. 責任制限条項との関係
多くの契約には「損害賠償の上限を委託料の○か月分とする」という責任制限条項が設けられています。個人情報漏えいにこの制限をそのまま適用すると、実際の損害(多数の被害者への賠償・業務停止・信用毀損)との乖離が著しく、委託元が実質的に損害を引き受けることになります。
実務標準:個人情報漏えいは責任制限の例外とする
第8話(損害賠償と責任制限条項)でも解説したとおり、故意・重過失による損害、秘密保持義務違反、個人情報漏えいについては責任制限の例外とするのが実務上の標準です。個人情報保護法上の報告義務・本人への賠償リスクを踏まえると、個人情報漏えいで責任上限を設けることは委託元にとって過大なリスク引受けとなります。
上限額を設ける場合の注意点
取引規模によっては一定の上限額(例:漏えいを含む全損害の上限を委託料の12か月分とする等)を設ける交渉が行われます。この場合でも、①被害者1人当たりの想定損害額(数千円〜数万円)×漏えい件数という計算と上限額の乖離を確認すること、②サイバー保険の補償範囲・上限額との整合を確認すること、③被害者への直接賠償義務とは別に行政上の制裁(勧告・命令・公表)リスクが残ることを念頭に置いた設計が必要です。
サイバー保険との整合
個人情報漏えいリスクに対してサイバー保険に加入する企業が増えています。保険の付保範囲(本人への賠償・行政対応費用・フォレンジック費用・業務停止損害等)と契約上の責任分担が整合しているか確認することが重要です。委託先の保険加入状況を委託契約の附属書類として確認する実務例もあります。
10. よくあるNG運用
以下は実際の事故につながりやすいNG運用です。自社の実務を点検してください。
委託先監督・安全管理措置・漏えい報告・再委託管理・返還廃棄はNDAには含まれません。個人データを取り扱う委託には専用条項が必要です。
業務委託の依頼段階で個人情報・個人データの有無と種類を確認し、必要な条項を特定することが出発点です。情報が含まれると判明してから契約を修正するのは困難です。
委託先がどの再委託先に個人データを渡しているか把握していなければ監督義務を果たせません。定期的なリスト提出・更新義務を契約に入れてください。
法人格が別であれば原則として第三者提供の制限が及びます。共同利用として整理する場合も、法定の公表が必要です。
相手方が自社の利用目的のために個人データを使う場合は第三者提供であり、原則として本人の事前同意が必要です。誤って委託と整理すると、本人同意なく個人データを渡したことになりかねません。
「速やかに」だけでは委託先が動きません。「24時間以内に第一報」「3営業日以内に詳細報告」のように具体的な期限を定めてください。
契約終了時に委託先が個人データをどうするかを定めていないと、委託先のサーバーに個人データが残り続けます。廃棄証明書の提出まで義務付けることが標準です。
上限額が実際の損害(多数の本人への賠償・行政対応コスト等)を大きく下回る場合、委託元が実質的に損害を全額引き受けることになります。個人情報漏えいを責任制限の例外にしてください。
11. 実務チェックリスト
個人データを含む委託契約のレビュー時に使えるチェックリストです。
12. LegalOS Inboxと個人情報管理の連携
個人情報に関する法務依頼は、情報の種類・受委託の関係・添付資料の有無・過去の対応履歴など、受付時点で整理すべき情報が多岐にわたります。「個人情報が含まれるかどうか」を後工程で初めて確認するという運用では、レビュー開始前に類型判定や追加情報収集に時間を取られます。
個人情報関連の相談依頼で特に重要な受付時の確認事項としては、①対象個人データの種類(要配慮個人情報か否か)・件数・処理方法、②委託先・再委託先の情報、③海外移転の有無、④既存の個人情報取扱い関連規程・過去のインシデント対応記録、⑤緊急度(漏えい疑いか否か)などが挙げられます。これらを依頼受付段階で構造化しておくことで、レビューの精度と速度が大きく改善します。
メール・チャット・口頭でバラバラに届く個人情報関連の法務依頼を、案件カード・ステータス・添付資料・メモで一元管理。受付段階で「個人情報の有無・委託先・再委託・添付資料・漏えい時連絡先」を整理することで、レビュー工程の無駄を削減します。
- 個人情報関連依頼を案件単位で管理。情報の種類・件数・委託先を受付時に記録
- 添付資料(委託契約書・再委託先リスト・過去の対応記録等)を案件に紐付け
- 漏えい等発生時の連絡先・報告先を案件情報に事前登録
- ステータス管理で対応状況を可視化。未対応案件の見落とし防止
- LegalOS本体導入前の「入口商品」として、まずは依頼の見える化から始められる
13. FAQ
不要ではありません。NDAは「秘密情報の不開示・目的外使用禁止」を規律しますが、個人情報保護法が求める委託先監督義務(25条)、安全管理措置の相手方への反映(23条)、漏えい等が発生した場合の個人情報保護委員会への報告義務・本人通知義務(26条)への対応協力、再委託管理、返還・削除・廃棄はNDAには通常含まれません。個人データを委託する契約には、個人情報処理に関する専用条項または別途の個人情報取扱委託契約書が必要です。NDAとの重複を避けるために秘密保持義務の条項を省略または参照する形にすることはありますが、個人情報保護法固有の条項は必ず別途手当てしてください。
委託(個情法27条5項1号)とは、利用目的の達成に必要な範囲内で、個人データの取扱いを外部に委ねることです。委託元の指示のもとで委託先が処理を行うため、委託元の利用目的の範囲内で処理される限り本人同意は不要ですが、委託先監督義務が生じます。一方、第三者提供(27条1項)は委託・共同利用・事業承継以外で個人データを第三者に渡す行為で、受領側が自社の目的(自社のマーケティング・顧客管理等)のために個人データを使う場合が典型です。この場合は原則として本人の事前同意が必要です。「受け取った側が何のために個人データを使うか」という視点で判断してください。
できません。法人格が異なる以上、親会社・子会社・関連会社への個人データ移転も法律上は「第三者提供」に該当し、原則として本人の事前同意が必要です。例外として「委託」「事業承継」「共同利用」の三類型があります。共同利用として整理する場合は、①共同利用する旨、②共同利用する個人情報の項目、③共同利用者の範囲、④利用目的、⑤管理責任者の名称・代表者の氏名・住所を本人が容易に知り得る状態に置くことが必要です(個情法27条5項3号・6項)。「グループ会社だから自由」という運用は法令違反になりますので、現在の自社のプライバシーポリシーで共同利用の公表が適切になされているかを確認することをお勧めします。
個人情報保護法は再委託の許否についての直接的な規定は置いていませんが、委託元には委託先に対する監督義務があります(25条)。この義務を果たすため、実務上は「事前書面承認制」を採用し、委託先が再委託する場合は委託元の承認を必要とすることが標準です。再委託先に対しても委託元・委託先間と同等の義務を課す契約締結を義務付け、再委託先のリストを定期的に提出・更新させることが有効です。多重再委託(再委託先がさらに再々委託する)も発生し得るため、「委託先は自己の責任において再委託先以下の管理を行い、漏えい等が発生した場合は委託先が委託元に対して責任を負う」という構造で契約設計することが現実的です。
個人情報保護法・個人情報保護委員会ガイドラインでは、委託先から委託元への通知は「速やかに」(個別事案によりますが目安として概ね3〜5日以内)とされています(ガイドライン通則編3-5-3-5)。その後、委託元から個人情報保護委員会への速報も「速やかに(概ね3〜5日以内)」、確報は30日以内(不正目的の漏えい等は60日以内)です。契約条項上は、委託先の委託元への通知期限を「事態を知った後24時間以内に第一報、3営業日以内に書面報告」のように、法定よりも厳しく設定しておくことで、委託元の法定速報期限を守りやすくなります。ただし「24時間以内」という設定が現実的かどうかは業種・委託先の規模によっても異なりますので、個別の事案性質を踏まえた設計が必要です。
実務上は「個人情報漏えいを責任制限の例外とする」のが標準的な設計です。個人情報漏えいは損害が不特定多数の被害者に及び、被害者1人当たりへの賠償額(過去の裁判例では数千円〜数万円)×漏えい件数に加え、行政指導・勧告・公表対応費用・フォレンジック費用・レピュテーション損害が累積します。これを「委託料の3か月分」のような上限で賄えるケースは稀です。故意・重過失を責任制限の例外とする条項と並んで、「個人情報漏えい等に起因する損害」も例外とする条項を設けることを強くお勧めします。詳細は第8話(損害賠償と責任制限条項)も参照ください。
外国にある第三者への個人データ提供には個情法28条の規律が加わります。①本人が外国への提供に同意している(同意取得時に移転先の国名・当該国の保護制度・相手方の措置について情報提供が必要)、②個人情報保護委員会が十分性認定をした国・地域(EU/EEA・英国等)への提供、③移転先が個人情報保護委員会規則で定める基準に適合する体制(標準契約条項・BCRの整備等)を整備している、のいずれかが必要です。③を選択する場合は、契約上で安全管理体制の維持義務・定期確認・変更時通知を定めると共に、本人からの求めに応じて移転先の措置に関する情報を提供できる体制を整えてください。なお、クラウドサービスの利用に伴う個人データの海外サーバーへの保存も含まれる可能性があります。利用しているSaaSのデータ保存先を確認することも重要です。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
