個人情報・データ取扱いのリーガルチェック|委託・共同利用・第三者提供
次の案件で使える形に。
個人情報・データ取扱いのリーガルチェック|委託・共同利用・第三者提供
契約書に秘密保持条項が入っていると、情報管理はそれで足りるように見えることがあります。しかし、顧客情報、会員情報、従業員情報、問い合わせ情報、アクセスログ、購買履歴などを扱う契約では、個人情報・データ取扱いの確認が別途必要になります。
特に、委託、共同利用、第三者提供、再委託、海外クラウド、漏えい時対応などは、契約書で見落としやすい論点です。
第1〜11話では、リーガルチェックの基本から知的財産権までを整理しました。第12話では、個人情報・データ取扱いのリーガルチェックで見るべきポイントを整理します。
個人情報・データ取扱いはなぜ重要なのか
結論として、個人情報や顧客データは、企業の信用・法令遵守・取引継続に直結する重要情報です。
漏えい、目的外利用、無断提供、不十分な委託先管理があると、本人対応、行政対応、取引先対応、損害賠償、レピュテーションリスクにつながります。秘密保持条項は重要ですが、個人情報保護法上の確認とは別に考える必要があります。契約書レビューでは、データの種類、流れ、利用目的、関与者、管理方法、終了時処理を確認します。
| 起きやすい問題 | 具体例 | 実務上の影響 |
|---|---|---|
| 個人情報を扱うことに気づかない | 業務上ログに残る | 必要な条項が抜ける |
| 委託か第三者提供かを整理していない | 区分が曖昧 | 確認すべき点を取り違える |
| 再委託先を把握していない | 外注先が不明 | 監督が及ばない |
| 利用目的が不明確 | 目的の定めがない | 目的外利用のリスク |
| 安全管理措置が契約にない | 管理水準が未定 | 管理が不十分に |
| 漏えい時の報告義務が曖昧 | 報告ルールがない | 初動が遅れる |
| 契約終了後の削除・返還が決まっていない | 終了時処理が未定 | データが残り続ける |
| 海外クラウド利用を見落とす | 保存先が海外 | 越境の確認が抜ける |
| 本人同意・通知公表の要否を確認していない | 要否が未検討 | 対応漏れのリスク |
| 損害賠償上限との関係を見落とす | 上限例外が未確認 | 責任範囲が不明確 |
まず押さえたい用語の違い
結論として、どの種類の情報を扱うかで、確認ポイントが変わります。
個人情報、個人データ、保有個人データ、要配慮個人情報、匿名加工情報、仮名加工情報、統計情報、顧客データなどは、それぞれ意味が異なります。特に、匿名加工情報・仮名加工情報・統計情報は別の概念であり、混同しないように注意します。個人情報に該当するか判断が難しい場合は、法務・個人情報担当・専門家に確認します。
| 用語 | 初心者向けの説明 | 契約書で見るポイント | 注意点 |
|---|---|---|---|
| 個人情報 | 特定の個人を識別できる情報 | 取扱いの有無 | 該当性の判断 |
| 個人データ | データベース等を構成する個人情報 | 取扱い・提供 | 個人情報との区別 |
| 保有個人データ | 事業者が開示等の権限を持つもの | 本人対応 | 開示請求等の対象 |
| 要配慮個人情報 | 特に配慮が必要な情報 | 取得・取扱い | 慎重な取扱い |
| 匿名加工情報 | 特定の個人を識別できないよう加工した情報 | 加工・取扱い | 仮名加工とは別概念 |
| 仮名加工情報 | 他の情報と照合しなければ識別できないよう加工した情報 | 加工・利用範囲 | 匿名加工とは別概念 |
| 統計情報 | 集団の傾向を集計した情報 | 個人識別性の有無 | 加工情報とは別 |
| 顧客データ | 顧客に関する情報の総称 | 個人情報の有無 | 個人情報を含み得る |
| 従業員情報 | 従業員に関する情報 | 取扱い目的 | 個人情報を含み得る |
| アクセスログ | 利用の記録 | 個人識別性 | 識別子の有無 |
| 購買履歴 | 購入の記録 | 個人との紐づけ | 個人情報該当性 |
| Cookie等の識別子 | 端末等の識別情報 | 取扱い・提供 | 該当性は要確認 |
- 個人情報保護委員会:https://www.ppc.go.jp/
- 同・法律についてのガイドライン(通則編):https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
- e-Gov法令検索(個人情報の保護に関する法律):https://elaws.e-gov.go.jp/document?lawid=415AC0000000057
最初に確認すべき全体像
結論として、個人情報・データ取扱いでは、まず「どのデータを、誰が、何のために、どこで、誰に渡し、いつ消すのか」を確認します。
契約書本文だけでなく、仕様書、業務フロー、データフロー図、セキュリティチェックシート、委託先管理資料も確認します。まずは最初に見るべき項目を押さえましょう。
| 確認項目 | 確認する内容 | 見落とすと起きやすい問題 |
|---|---|---|
| 取り扱うデータの種類 | 個人情報かどうか | 必要な条項の抜け |
| 利用目的 | 何に使うか | 目的外利用 |
| 取扱主体 | 誰が扱うか | 責任の所在が不明 |
| 委託・共同利用・第三者提供の区別 | どの類型か | 確認点の取り違え |
| 再委託の有無 | 外注の有無 | 監督が及ばない |
| 海外移転・海外保管の有無 | 越境の有無 | 越境確認の漏れ |
| 安全管理措置 | 管理の水準 | 管理が不十分 |
| アクセス権限 | 誰が触れるか | 権限過剰 |
| 漏えい時対応 | 事故時の手順 | 初動の遅れ |
| 契約終了後の削除・返還 | 終了時の処理 | データが残る |
| 本人対応 | 問い合わせ対応 | 対応漏れ |
| 損害賠償との関係 | 責任範囲 | 上限例外の未確認 |
確認事項1:個人情報を扱う契約かどうか
結論として、まず、その契約で個人情報を扱うかを確認します。
システム開発、SaaS、BPO、コールセンター、配送、給与計算、採用、マーケティング、広告配信、問い合わせ対応、保守運用などで個人情報が関係しやすいです。契約書に「個人情報」と書かれていなくても、実際の業務で個人情報に触れる場合があります。アクセス権限だけがある場合、閲覧可能な場合、ログに残る場合なども確認します。個人情報を扱わない前提なら、その前提が仕様書・運用上も正しいかを確認します。
| 契約類型 | 扱いやすい情報 | 確認ポイント |
|---|---|---|
| システム開発 | テストデータ・本番データ | 本番データに触れるか |
| SaaS利用契約 | 入力した顧客情報 | 保存先・アクセス |
| 保守運用契約 | 運用中のデータ | 保守時のアクセス |
| BPO契約 | 業務上の個人情報 | 取扱範囲 |
| コールセンター契約 | 問い合わせ者情報 | 録音・記録 |
| 配送・物流契約 | 配送先情報 | 提供範囲 |
| 採用支援契約 | 応募者情報 | 要配慮情報の有無 |
| 給与計算委託 | 従業員情報 | マイナンバーの有無 |
| 広告・マーケティング支援 | 顧客・行動データ | 識別子の取扱い |
| アンケート調査 | 回答者情報 | 取得・利用目的 |
| イベント運営 | 参加者情報 | 提供・共同利用 |
| 顧客管理システム導入 | 顧客データベース | 移行・保存先 |
確認事項2:データフローを確認する
結論として、個人情報の取扱いでは、データがどこから来て、どこに保存され、誰がアクセスし、どこへ提供されるかを確認します。
契約書だけではデータの流れが分からないことが多いため、データフロー図や業務フローを確認することが有効です。データを受け取るだけか、閲覧するだけか、加工するのか、保存するのか、第三者に渡すのかで、確認ポイントが変わります。
※ データの流れの一例です。実際の流れは契約・業務ごとに異なります。各段階で「誰が・何のために・どこで」扱うかを確認します。
| 確認項目 | 確認する理由 | 注意点 |
|---|---|---|
| データの取得元 | どこから来るか | 取得の適正性 |
| データ提供者 | 誰が渡すか | 提供の根拠 |
| データ受領者 | 誰が受け取るか | 受領後の取扱い |
| 保存場所 | どこに保存するか | 国内・海外 |
| アクセス者 | 誰が触れるか | 権限の範囲 |
| 加工・分析の有無 | 加工するか | 加工情報の種別 |
| 第三者への提供 | 外部に渡すか | 提供の整理 |
| 再委託先 | 外注の有無 | 監督の要否 |
| 海外保管 | 海外に置くか | 越境の確認 |
| 契約終了後の削除 | いつ消すか | 削除の方法 |
| ログ・バックアップ | どこに残るか | 削除範囲 |
| データ返還方法 | 返し方 | 形式・期限 |
確認事項3:委託・共同利用・第三者提供の違い
結論として、個人情報の取扱いが委託なのか、共同利用なのか、第三者提供なのかを整理することが重要です。これらは別の概念であり、同じものとして扱うことはできません。
委託は、本人に対する自社の利用目的の範囲内で、業務を外部に任せるイメージです。共同利用は、一定の事項を本人に通知・公表等したうえで、特定の範囲の者と共同で利用するイメージです。第三者提供は、第三者に個人データを提供する場面です。ただし、どの類型にあたるかの個別判断は事案によるため、断定はせず、必要に応じて個人情報担当や弁護士に確認します。
| 区分 | 初心者向けの説明 | 契約書で見るポイント | 注意点 |
|---|---|---|---|
| 委託 | 利用目的の範囲で業務を外部に任せる | 委託先監督・安全管理 | 目的外利用の禁止 |
| 共同利用 | 所定の事項を通知・公表等して特定範囲で共同利用 | 項目・範囲・管理責任者 | 要件の確認が必要 |
| 第三者提供 | 第三者に個人データを提供する | 本人同意・記録等 | 例外・要件の確認 |
「委託」「共同利用」「第三者提供」は、それぞれ確認すべきことが異なります。特に、共同利用を第三者提供の例外のように単純化して説明することは避け、それぞれに必要な要件を確認することが大切です。判断が難しい場合は、個人情報担当・弁護士に確認します。
確認事項4:委託の場合のチェックポイント
結論として、委託の場合、委託先に個人データを安全に取り扱わせる必要があります。
契約書では、利用目的の範囲、目的外利用禁止、秘密保持、安全管理措置、再委託、漏えい時報告、返還・削除、監査、委託先の責任などを確認します。委託元には、委託先を適切に監督する観点が求められます。委託元側と委託先側で、見るポイントが異なります。
| 確認項目 | 委託元側の視点 | 委託先側の視点 | 注意点 |
|---|---|---|---|
| 取扱目的 | 目的を明確に | 目的の範囲を確認 | 目的外利用の禁止 |
| 取扱範囲 | 必要範囲に限定 | 過大な範囲を回避 | 範囲の明確化 |
| 目的外利用禁止 | 確実に禁止 | 禁止範囲を確認 | 分析・学習利用に注意 |
| 秘密保持 | 義務を課す | 範囲を確認 | 第10話と連動 |
| 安全管理措置 | 水準を求める | 運用可能な水準 | 抽象的すぎないか |
| 従業者管理 | 従業者の監督 | 教育・管理 | 退職者対応 |
| 再委託 | 承諾制にしたい | 再委託の自由度 | 承諾・通知の別 |
| 漏えい時報告 | 速やかな報告 | 報告負担 | 報告期限の明確化 |
| 返還・削除 | 確実な削除 | 対応可能な方法 | バックアップの扱い |
| 監査 | 監査権を確保 | 過度な監査を回避 | 方法・頻度 |
| 損害賠償 | 救済を確保 | 範囲を限定 | 上限例外との関係 |
| 契約終了後の義務 | 義務の存続 | 負担の範囲 | 存続条項の確認 |
確認事項5:再委託・再々委託の扱い
結論として、個人情報を扱う業務では、再委託先が関与することがあります。
再委託を禁止するのか、事前承諾制にするのか、通知制にするのかを確認します。再委託先に同等の義務を課すか、再委託先の違反について委託先が責任を負うかも確認します。クラウドサービスやサブプロセッサが関係する場合もあります。再々委託の可否や海外再委託にも注意します。
| 確認項目 | 確認する理由 | 注意点 |
|---|---|---|
| 再委託の可否 | 外注を認めるか | 無制限再委託に注意 |
| 事前承諾 | 承諾の要否 | 承諾手続の明確化 |
| 通知制 | 通知での運用 | 通知のタイミング |
| 再委託先一覧 | 把握の手段 | 一覧の提出・更新 |
| 再々委託 | さらなる委託 | 連鎖の管理 |
| 海外再委託 | 越境の有無 | 海外移転の確認 |
| サブプロセッサ | クラウド等の関与 | 一覧・変更通知 |
| 同等義務の付与 | 義務の承継 | 契約での担保 |
| 再委託先の監督 | 監督責任 | 監督の方法 |
| 違反時責任 | 責任の所在 | 委託先が負うか |
| 変更時の通知 | 変更の把握 | 通知ルール |
| 契約終了後の削除 | 終了時処理 | 再委託先への指示 |
確認事項6:共同利用の場合のチェックポイント
結論として、共同利用をする場合、共同利用する個人データの項目、共同利用者の範囲、利用目的、管理責任者などを確認します。
共同利用は、グループ会社間の顧客情報共有などで問題になることがあります。契約書だけでなく、プライバシーポリシーや本人への通知・公表内容との整合も重要です。共同利用の範囲が広すぎないか、管理責任者が明確かを確認します。共同利用には所定の要件があるため、要件の確認が大切です。
| 確認項目 | 確認する内容 | 注意点 |
|---|---|---|
| 共同利用する項目 | どの項目を共有するか | 範囲の明確化 |
| 共同利用者の範囲 | 誰と共有するか | 範囲が広すぎないか |
| 利用目的 | 何に使うか | 目的の明確化 |
| 管理責任者 | 誰が責任を負うか | 責任者の明記 |
| 本人への通知・公表 | 所定事項の周知 | 要件の確認 |
| プライバシーポリシーとの整合 | 記載との一致 | 食い違いに注意 |
| グループ会社の範囲 | 対象会社 | 範囲の特定 |
| 海外グループ会社 | 越境の有無 | 海外移転の確認 |
| 共同利用終了時の扱い | 終了時の処理 | 停止・削除 |
| 問い合わせ対応 | 本人対応の窓口 | 窓口の明確化 |
| 漏えい時対応 | 事故時の対応 | 連絡ルート |
| 責任分担 | 各社の責任 | 分担の明確化 |
確認事項7:第三者提供の場合のチェックポイント
結論として、第三者提供では、本人同意や法令上の例外、提供記録などの確認が必要になる場合があります。
提供先、提供するデータ項目、提供目的、提供方法、本人同意の取得方法、オプトアウト、記録義務を確認します。契約書だけでなく、本人同意文言、申込フォーム、プライバシーポリシー、利用規約との整合を確認します。第三者提供か委託かは、実態に応じた整理が必要です。なお、個人情報を扱う場合に「必ず本人同意が必要」と一律には言えません。法令上の例外もあるため、詳細判断は必要に応じて個人情報担当・弁護士へ確認します。
| 確認項目 | 確認する理由 | 注意点 |
|---|---|---|
| 提供先 | 誰に渡すか | 提供先の特定 |
| 提供データ項目 | 何を渡すか | 必要最小限 |
| 提供目的 | 何のために渡すか | 目的の明確化 |
| 本人同意 | 同意の要否 | 要否は事案による |
| 同意取得方法 | どう取るか | 取得方法の確認 |
| オプトアウト | 例外の手続 | 要件・届出 |
| 提供記録 | 記録の作成 | 記録義務の確認 |
| 受領記録 | 受領側の記録 | 確認義務 |
| 提供方法 | 渡し方 | 安全な方法 |
| 提供停止 | 停止の手続 | 停止対応 |
| プライバシーポリシー | 記載との整合 | 食い違いに注意 |
| 利用規約との整合 | 規約との一致 | 同意範囲の確認 |
確認事項8:外国にある第三者への提供・海外保管
結論として、外国にある第三者への個人データ提供や、海外クラウド・海外委託先の利用がある場合は、追加の確認が必要になることがあります。
データがどの国・地域に保存されるか、誰がアクセスするか、外国にある第三者に該当するかを確認します。本人同意、情報提供、体制整備、委託・共同利用・第三者提供の整理が関係する場合があります。なお、「海外クラウドなら必ず違法」または「海外クラウドなら何も問題ない」と極端に決めつけることはできません。契約内容・データの流れ・法令上の位置づけにより確認が必要です。海外SaaS、クラウド、サポートセンター、オフショア開発などが例になります。
| 確認項目 | 確認する理由 | 注意点 |
|---|---|---|
| 保存国・地域 | どこに置くか | 保存先の特定 |
| アクセス国・地域 | どこから触るか | サポート拠点 |
| 海外委託先 | 海外の委託 | 監督の方法 |
| 海外再委託先 | 海外の再委託 | 連鎖の把握 |
| 海外クラウド | クラウドの所在 | リージョンの確認 |
| 外国にある第三者への提供 | 該当性 | 整理が必要 |
| 本人同意の要否 | 同意の要否 | 事案により異なる |
| 情報提供事項 | 本人への情報提供 | 必要事項の確認 |
| 体制整備 | 移転先の体制 | 継続的な確認 |
| サポートアクセス | 海外からの保守 | アクセス範囲 |
| データバックアップ | バックアップ先 | 所在の確認 |
| 契約終了後の削除 | 終了時処理 | 海外拠点の削除 |
確認事項9:安全管理措置・セキュリティ
結論として、個人情報を扱う契約では、安全管理措置やセキュリティ水準を確認する必要があります。
アクセス制限、暗号化、ログ管理、権限管理、教育、物理的管理、技術的管理、組織的管理などを契約や別紙で定めることがあります。セキュリティチェックシートや委託先評価と連動することもあります。法務だけで判断しにくい場合は、情報システム部門・セキュリティ担当への確認が必要です。「合理的な安全管理措置」など抽象的な表現だけで足りるかは、案件に応じて確認します。
| 確認項目 | 確認する内容 | 確認先・資料 |
|---|---|---|
| アクセス権限 | 誰が触れるか | 情報システム部門 |
| ID管理 | アカウント管理 | 運用ルール |
| パスワード管理 | 認証の管理 | 運用ルール |
| 暗号化 | 保存・通信の保護 | 技術部門 |
| ログ管理 | 操作の記録 | 監査ログ |
| 持出制限 | 外部持出の管理 | 運用ルール |
| 従業者教育 | 教育の実施 | 教育記録 |
| 委託先管理 | 委託先の評価 | 委託先評価資料 |
| セキュリティチェックシート | 水準の確認 | チェックシート |
| 脆弱性対応 | 脆弱性の管理 | 技術部門 |
| バックアップ | 復旧の備え | 運用ルール |
| インシデント対応体制 | 事故時の体制 | 対応手順 |
確認事項10:漏えい等発生時の対応
結論として、個人情報の漏えい、滅失、毀損などが発生した場合の対応を確認します。
契約書では、発見時の報告期限、報告内容、原因調査、被害拡大防止、本人対応、個人情報保護委員会への報告、再発防止、費用負担、損害賠償を確認します。委託先が先に事故を発見した場合の連絡ルートも明確にします。なお、法令上の漏えい等報告・本人通知の要否は事案により異なるため、ここでは断定しません。第9話の損害賠償も参照してください。
- 個人情報保護委員会「漏えい等の対応とお役立ち資料」:https://www.ppc.go.jp/personalinfo/legal/leakAction/
- 同「漏えい等報告・本人への通知の義務化について」:https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/
| 確認項目 | 確認する理由 | 注意点 |
|---|---|---|
| 報告期限 | いつまでに報告するか | 速やかな報告 |
| 報告先 | 誰に報告するか | 連絡ルート |
| 報告内容 | 何を報告するか | 必要事項 |
| 初動対応 | 最初の対応 | 手順の明確化 |
| 原因調査 | 原因の特定 | 協力体制 |
| 被害拡大防止 | 拡大の防止 | 速やかな措置 |
| 本人対応 | 本人への対応 | 通知の要否は事案による |
| 当局報告 | 委員会等への報告 | 要否は事案による |
| 再発防止 | 再発の防止 | 措置の具体化 |
| 費用負担 | 誰が負担するか | 負担範囲 |
| 損害賠償 | 賠償の扱い | 上限例外との関係 |
| 公表対応 | 公表の要否 | 対応の調整 |
| 委託先・再委託先の協力 | 協力義務 | 連絡ルートの明確化 |
確認事項11:利用目的・目的外利用禁止
結論として、個人情報は、利用目的との関係が重要です。
契約書では、委託先が委託業務の目的以外に個人情報を利用しないことを定めることが多いです。マーケティング利用、分析利用、学習利用、サービス改善利用、二次利用などは、利用目的との関係を確認する必要があります。統計化・匿名化・仮名加工などを行う場合も、契約上の扱いを確認します。AI学習利用や外部ツール利用については、社内ルール・本人説明・契約条件との整合を慎重に確認します。
| 利用場面 | 確認すること | 注意点 |
|---|---|---|
| 委託業務での利用 | 目的の範囲内か | 範囲の明確化 |
| サービス提供 | 提供目的 | 目的の特定 |
| 保守運用 | 保守目的での利用 | 必要範囲 |
| 分析 | 分析の可否 | 目的との関係 |
| マーケティング | 販促利用 | 目的・同意の確認 |
| 広告配信 | 配信での利用 | 識別子の扱い |
| サービス改善 | 改善目的 | 目的との関係 |
| AI学習 | 学習利用の可否 | 社内ルール・本人説明 |
| 統計化 | 統計情報への加工 | 加工情報と区別 |
| 匿名加工 | 匿名加工の実施 | 仮名加工と別概念 |
| 仮名加工 | 仮名加工の実施 | 匿名加工と別概念 |
| 二次利用 | 別目的での利用 | 目的外利用に注意 |
確認事項12:契約終了後の返還・削除・消去
結論として、契約終了後に個人情報やデータをどうするかを確認します。
返還、削除、消去、破棄、バックアップからの削除、削除証明書、再委託先への削除指示を確認します。法令・監査・紛争対応・社内規程上、一定期間の保存が必要な場合もあるため、例外も確認します。データ移行や引継ぎが必要な場合は、形式・期限・費用も確認します。終了後に受託者がデータを保持し続ける場合は、その理由と範囲を明確にします。
| 確認項目 | 確認する理由 | 注意点 |
|---|---|---|
| 返還 | 返すか否か | 返還の方法 |
| 削除 | 削除するか | 削除の範囲 |
| 消去 | 完全消去 | 消去の方法 |
| 破棄 | 物理的破棄 | 媒体の破棄 |
| バックアップ | バックアップの扱い | 削除の現実性 |
| 削除証明書 | 削除の証明 | 提出の要否 |
| 再委託先への削除指示 | 外注先の削除 | 指示の徹底 |
| データ移行 | 移行の要否 | 形式・期限 |
| 引継ぎ | 引継ぎの方法 | 費用負担 |
| 保存義務の例外 | 法令上の保存 | 例外の明記 |
| 保存期間 | 保存の期間 | 期間の妥当性 |
| 費用負担 | 誰が負担するか | 負担範囲 |
確認事項13:本人対応・開示請求・問い合わせ
結論として、本人から問い合わせ、開示請求、訂正、利用停止、削除等の請求がある場合、誰が対応するかを確認します。
委託先が本人から直接問い合わせを受けた場合の対応も整理します。本人対応は、契約書だけでなく、プライバシーポリシー、社内規程、カスタマーサポート運用とも関係します。契約上、受託者の協力義務、回答期限、費用負担を定めることがあります。
| 確認項目 | 確認する理由 | 注意点 |
|---|---|---|
| 問い合わせ窓口 | 誰が対応するか | 窓口の明確化 |
| 開示請求 | 開示の対応 | 本人確認 |
| 訂正・削除 | 訂正等の対応 | 対応手順 |
| 利用停止 | 停止の対応 | 停止範囲 |
| 苦情対応 | 苦情の窓口 | 記録の管理 |
| 本人確認 | なりすまし防止 | 確認方法 |
| 受託者の協力 | 協力の範囲 | 協力義務の明記 |
| 回答期限 | 対応の期限 | 期限の設定 |
| 費用負担 | 対応費用 | 負担範囲 |
| プライバシーポリシーとの整合 | 記載との一致 | 食い違いに注意 |
| 委託先への直接問い合わせ | 直接連絡時の対応 | 取次ルール |
| 記録管理 | 対応の記録 | 記録の保存 |
確認事項14:発注者側・受託者側で見方はどう変わるか
結論として、個人情報・データ取扱条項は、自社が委託元・発注者側か、委託先・受託者側かで見方が変わります。
委託元側では、委託先監督、再委託、漏えい時対応、削除・返還、監査を重視します。委託先側では、取扱範囲、責任範囲、過度な監査、漏えい時の費用負担、損害賠償上限を重視します。どちらが正しいというより、データの性質・業務内容・リスクに応じたバランスが重要です。
| 確認項目 | 発注者・委託元側の視点 | 受託者・委託先側の視点 | 調整の方向性 |
|---|---|---|---|
| 取扱範囲 | 必要範囲に限定 | 過大な範囲を回避 | 業務に必要な範囲 |
| 安全管理措置 | 高い水準を求める | 運用可能な水準 | 現実的な水準 |
| 再委託 | 承諾制にしたい | 柔軟に外注したい | 承諾・通知の整理 |
| 監査 | 監査権を確保 | 過度な監査を回避 | 方法・頻度の調整 |
| 漏えい時報告 | 速やかな報告 | 報告負担の限定 | 合理的な期限 |
| 費用負担 | 委託先負担にしたい | 負担を限定 | 原因に応じた分担 |
| 損害賠償 | 救済を確保 | 範囲を限定 | 上限例外との関係 |
| 削除・返還 | 確実な削除 | 対応可能な方法 | 方法の明確化 |
| 海外保管 | 把握・管理したい | 運用を確保 | 所在の明示 |
| 本人対応 | 委託先の協力を確保 | 対応負担を限定 | 役割分担 |
| 目的外利用 | 確実に禁止 | 禁止範囲を確認 | 分析・学習に注意 |
| 契約終了後の義務 | 義務の存続 | 負担の範囲 | 存続条項の確認 |
個人情報・データ取扱条項と他条項の関係
結論として、個人情報・データ取扱条項は、他の条項と密接に関係します。
秘密保持条項も重要ですが、それだけでは足りない場合があります。知的財産条項ではデータベースや分析結果・成果物の権利帰属が、損害賠償条項では漏えい時の賠償上限や例外が問題になります。再委託条項、契約終了時の返還・削除、監査条項、解除条項とも関係します。
| 関連条項 | 関係するポイント | 確認すること |
|---|---|---|
| 秘密保持 | 情報管理 | 第10話と連動 |
| 業務内容 | データの取扱範囲 | 第8話と整合 |
| 再委託 | 外注先の取扱い | 承諾・監督 |
| 知的財産 | データ・分析結果の権利 | 第11話と連動 |
| 損害賠償 | 漏えい時の責任 | 第9話と連動 |
| 監査 | 委託先の確認 | 監査権の範囲 |
| 解除 | 違反時の解除 | 解除事由 |
| 契約終了後の処理 | 終了後の削除・返還 | 存続条項 |
| 表明保証 | 適法取得の表明 | 保証範囲 |
| 法令遵守 | 個人情報保護法の遵守 | 第17話と連動 |
| 管轄・準拠法 | 海外移転時の適用法 | 適用法の確認 |
| 社内規程 | 社内ルールとの整合 | 第18話と連動 |
個人情報・データ取扱条項の見落としを減らす関連ツール
委託、再委託、共同利用、第三者提供、海外保管、漏えい時対応は、契約書レビューで見落とすと影響が大きい部分です。レビューの初動で論点を洗い出し、過去の類似相談や法令更新を確認しながら進めることで、確認漏れを減らしやすくなります。
いずれも、最終的な判断は人が行うことが前提の補助ツールです。一次チェックの型づくり、論点のたたき台、過去相談の検索、法令更新の確認などに役立ちます。
契約書 論点アラートツール(無料)
契約書レビューの初動で、個人情報、委託、再委託、第三者提供、漏えい時対応などの重要論点を見落とさないための補助ツールです。人による確認を前提に、一次チェックの型を作りたい場合に向いています。
使ってみる契約書AIレビュー プロンプト集
個人情報・データ取扱条項、再委託、安全管理措置、漏えい時対応などを整理し、レビューコメントや確認質問のたたき台を作るためのプロンプト集です。人による確認を前提に、レビューの型をそろえたい場合に向いています。
詳しく見るLegalOS 法律相談
過去の法律相談や回答メモを検索し、類似案件の確認に使える補助ツールです。委託、共同利用、第三者提供、漏えい時対応など、過去に社内で判断した論点を探したい場合に向いています。
詳しく見る個人情報保護法や関連ガイドラインは、改正・更新されることがあります。LegalOS 法改正アラートは、法令・制度の更新情報を確認するための補助ツールです。人による確認を前提に、法令改正の見落としを減らしたい場合に役立ちます。
個人情報・データ取扱いの確認フロー
結論として、個人情報・データ取扱いは、個人情報を扱うかの確認から他条項・社内規程との関係まで順番に押さえると抜けにくくなります。
個人情報・個人データを扱うか確認
取扱いの有無を確認します。
データの種類・利用目的を確認
何をどの目的で扱うか確認します。
データフローを確認
データの流れを確認します。
委託・共同利用・第三者提供を整理
どの類型かを整理します。
再委託・海外保管・海外移転を確認
外注・越境の有無を確認します。
安全管理措置・セキュリティを確認
管理水準を確認します。
漏えい時対応を確認
事故時の手順を確認します。
契約終了後の返還・削除を確認
終了時の処理を確認します。
本人対応・問い合わせ対応を確認
本人対応の役割分担を確認します。
秘密保持・損害賠償・社内規程との関係を確認
他条項・社内ルールとの整合を確認します。
法務から依頼部門への確認質問例
結論として、個人情報・データ取扱いについて確認するときは、責めずに、判断材料を集めるために聞きます。質問は短く、具体的に、何を返してほしいかを明確にします。以下はそのまま使える文例です。
文例1:個人情報を扱うか確認したい場合
取扱いの有無が分かると、必要な条項を判断できます。
文例2:どの種類のデータを扱うか確認したい場合
種類が分かると、確認すべきポイントを整理できます。
文例3:データフローを確認したい場合
データの流れが分かると、委託・提供の整理や保存先の確認ができます。
文例4:委託・共同利用・第三者提供の整理が必要な場合
想定が分かると、委託・共同利用・第三者提供のどれにあたるかを整理できます。
文例5:再委託・再々委託の有無を確認したい場合
再委託の有無が分かると、承諾・監督の条項を整理できます。
文例6:海外クラウド・海外保管の有無を確認したい場合
保存・アクセスの場所が分かると、越境移転の確認ができます。
文例7:安全管理措置やセキュリティ確認が必要な場合
内容が分かると、情報システム部門とも連携して安全管理措置を確認できます。
文例8:漏えい時対応の運用を確認したい場合
運用が分かると、報告期限や連絡ルートを契約書に整理できます。
文例9:契約終了後の返還・削除方法を確認したい場合
対応方法が分かると、現実的な返還・削除条項を整理できます。
初心者向け:個人情報・データ取扱いチェックリスト
結論として、この記事の内容は、契約締結前・業務実施中・契約終了時の3段階に整理できます。法務だけでなく、営業・事業部門・情報システム部門・個人情報担当の方も使える内容です。
| タイミング | チェック項目 | 確認 |
|---|---|---|
| 契約締結前 | 個人情報の有無を確認したか | ☐ |
| 契約締結前 | データの種類を確認したか | ☐ |
| 契約締結前 | 利用目的を確認したか | ☐ |
| 契約締結前 | データフローを確認したか | ☐ |
| 契約締結前 | 委託・共同利用・第三者提供を整理したか | ☐ |
| 契約締結前 | 再委託の有無を確認したか | ☐ |
| 契約締結前 | 海外保管の有無を確認したか | ☐ |
| 契約締結前 | 安全管理措置を確認したか | ☐ |
| 契約締結前 | セキュリティチェックを行ったか | ☐ |
| 業務実施中 | アクセス権限を管理しているか | ☐ |
| 業務実施中 | 漏えい時対応の体制があるか | ☐ |
| 業務実施中 | 本人対応の役割を確認したか | ☐ |
| 契約終了時 | データの返還を確認したか | ☐ |
| 契約終了時 | データの削除を確認したか | ☐ |
| 契約終了時 | 削除証明を確認したか | ☐ |
| 契約終了時 | 再委託先への削除指示を確認したか | ☐ |
個人情報・データ取扱条項でよくある失敗
結論として、個人情報・データ取扱条項には典型的な失敗パターンがあります。知っておくと、同じ失敗を避けやすくなります。
| よくある失敗 | 起きやすい理由 | 防止策 |
|---|---|---|
| 秘密保持条項だけで足りると思い込む | 情報管理を一括で考えるから | 個人情報は別に確認 |
| 個人情報を扱うことに気づかない | 契約書に明記がないから | 実際の業務で確認 |
| 委託・共同利用・第三者提供の整理をしない | 区分を意識しないから | 類型を整理する |
| 再委託・再々委託を見落とす | 外注先を把握しないから | 再委託の有無を確認 |
| 海外クラウドや海外保管を確認しない | 保存先を見ないから | 保存・アクセス先を確認 |
| 安全管理措置が抽象的すぎる | 定型文で済ますから | 案件に応じ具体化 |
| 漏えい時の報告期限・内容が決まっていない | 事故を想定しないから | 報告ルールを定める |
| 契約終了後の返還・削除が曖昧 | 終了時を詰めないから | 返還・削除を明記 |
| 本人対応の役割分担がない | 本人請求を想定しないから | 役割・協力を定める |
| 損害賠償上限との関係を確認しない | 条項を単独で見るから | 上限例外を確認 |
まとめ|個人情報・データ取扱いは秘密保持とは別に確認する
個人情報やデータを扱う契約では、秘密保持条項だけでは足りない場合があります。
まず、どのデータを、誰が、何のために、どこで、誰に渡し、いつ削除するのかを確認します。
委託・共同利用・第三者提供は別の概念であり、整理によって確認ポイントが変わります。
再委託・海外保管・安全管理措置・漏えい時対応・契約終了後の返還削除は、特に見落としやすい点です。
個人情報・データ取扱条項は、秘密保持・知的財産・損害賠償・再委託・契約終了時処理・社内規程とセットで確認します。
判断が難しい場合は、個人情報担当・情報システム部門・セキュリティ担当・弁護士への確認も検討します。
次回は、表明保証条項とは何か、どこまで確認すべきかを整理します。データの適法取得などは、表明保証条項とも関係する論点です。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
