個人情報の取り扱いに関する条項とは?
目的・定めるべき内容・
レビュー時の注意点などを解説!

この記事のまとめ

企業間で締結する契約には、個人情報の取り扱いに関する条項が定められることがあります。

その目的は、
・個人情報の漏えい等を防止すること
・漏えい等が発生した際の対応や責任分担を定めること
です。

個人情報の取り扱いに関する条項は、個人情報保護法のルールや、自社における取り扱いの実務を踏まえて設計する必要があります。レビューの際には、個人情報保護法のルールをよく確認しつつ、担当部署と十分なコミュニケーションをとるように努めましょう。

今回は個人情報の取り扱いに関する条項について、目的・定めるべき内容・レビュー時の注意点などを解説します。

ヒー

IT技術などが進展して便利になった反面、個人情報が流出するリスクも高まっているように感じます。

ムートン

そうですね。企業は個人情報の漏えいを防止するため、さまざまな対策をしなければなりません。

その一環として、法務担当者は、契約を締結する際に「個人情報の取り扱いに関する条項」を適切に定めておく必要があります。

※この記事は、2022年10月24日に執筆され、同時点の法令等に基づいています。
※この記事では、法令名を次のように記載しています。
・個人情報保護法…個人情報の保護に関する法律

個人情報の取り扱いに関する条項とは

「個人情報の取り扱いに関する条項」とは、当事者間で適用される個人情報の取り扱いルールを定めた条項です。

ヒー

個人情報ってそもそもどのような定義でしたっけ?

ムートン

個人情報の定義は、簡単にまとめると、以下のとおりです。

前提として、個人情報の取り扱いについては、個人情報保護法によってルールが定められています。契約に基づいて個人情報を取り扱う当事者は、当然ながら個人情報保護法のルールを順守しなければなりません。

契約上の個人情報の取り扱いに関する条項は、個人情報保護法のルールを踏まえつつ、その内容を改めて確認し、さらに実務レベルで行動・対応を具体的に定めたものです。

個人情報の取り扱いに関する条項を定める目的

個人情報の取り扱いに関する条項を定める目的は、以下の2点に集約されます。

  • 個人情報の漏えい等を防止すること
  • 個人情報が漏えい等した際などの対応・責任分担を定めること

個人情報の漏えい等を防止すること

情報セキュリティ意識が高まっている現代において、個人情報の漏えい等が発生すると、企業にとって深刻な不祥事となります。

漏えい等とは

個人情報保護法は、「漏えい、滅失若しくは毀損」のことを総称して「漏えい等」と定義しています。それぞれの意味は以下のとおりです。
1.  漏えい:個人データが外部に流出すること
2.  滅失:個人データの内容が失われること
3. 毀損:個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となること 

漏えい等を起こした場合は、「個人情報の管理がずさんな企業」というレッテルを貼られ、顧客離れなどにつながってしまう可能性が高いでしょう。

これは、漏えい等の原因が契約の相手方の責任であった場合でも、同様です。その個人情報の出どころが自社である場合には、自社の評判失墜は避けられません。

ムートン

このような事態を防ぐためには、契約で個人情報の取り扱いに関する条項を定め、相手方に安全管理措置などを徹底させることが効果的なのです。

個人情報が漏えい等した際などの対応・責任分担を定めること

契約に基づいて授受された個人情報が漏えい等した場合には、問題を迅速に解決するため、当事者が協力して事後対応に当たることが必要です。

そのためには、契約書において個人情報の取り扱いに関する条項を定め、個人情報の漏えい等が発生した場合の大まかな対応方針を定めておく必要があります

また、契約当事者の間では、個人情報の漏えい等に関する責任の所在に応じて、損害賠償の請求権と支払い義務が発生します。そのため、個人情報の取り扱いに関する条項では、当事者間で行われる損害賠償のルールも定められます。

個人情報の取り扱いに関する条項を定めるべき契約の例

個人情報の取り扱いに関する条項を定めるべきなのは、当事者間で個人情報のやりとりが想定される契約です。一例として、以下の契約が挙げられます。

個人情報の取り扱いに関する条項の主な内容・記載例(例文)

個人情報の取り扱いに関する条項に定めるべき主な内容は、以下のとおりです。それぞれ、例文とともに解説します。

  • 個人情報の取り扱いの委託
  • 個人情報の秘密保持
  • 個人情報の安全管理措置
  • 従業者の監督
  • 再委託先の監督
  • 安全管理措置の実施状況に関する監査・改善指示
  • 個人情報の返還
  • 漏えい等が発生した際の対応
  • 損害賠償

個人情報の取り扱いの委託

例文

第○条(個人情報の取り扱いの委託)
1. 甲は、本件業務の遂行上必要な最小限度において、個人情報の取り扱いを乙に委託し、乙はこれを受託する。
2. 個人情報の授受方法等については、安全管理の観点から、甲乙協議の上で別途定める。

まずは、個人情報の取り扱いを委託する旨を定めておきます。委託の範囲は、契約目的(業務の遂行など)を達成するために必要な最小限度としておきましょう。

個人情報の授受に関する具体的な方法等は、必ずしも契約で定める必要はなく、別途協議によって定めることも可能です。

個人情報の秘密保持

例文

第○条(個人情報の秘密保持)
1. 乙は、法令に基づく場合、本契約に別段の定めがある場合、または甲の書面による事前の承諾を得た場合を除き、甲から取り扱いを委託された個人情報を第三者に開示し、または漏えいしてはならない。
2. 乙は、甲から取り扱いを委託された個人情報を、甲の書面による事前の承諾を得ることなく、本件業務遂行以外の目的で、加工、利用、複写または複製してはならない。

個人情報が第三者へ流出する事態を防ぐため、個人情報を受け取る側に秘密保持義務を設定します。

ムートン

具体的には、秘密保持義務として、以下の2点を定めておきます。

  1. 秘密情報を、事前の許諾なく外部に漏えいすること(第三者開示の禁止)
  2. 秘密情報を、目的外の加工・利用・複写・複製を行うこと(目的外利用の禁止)

個人情報の安全管理措置

例文

第○条(安全管理措置)
1. 乙は、甲から取り扱いを委託された個人情報の漏えい、滅失または毀損(以下「漏えい等」という。)の防止のために、組織的、人的、物理的および技術的な安全管理のために必要かつ適切な措置(以下「安全管理措置」という。)を講じなければならない。具体的な安全管理措置の内容については、甲乙協議の上で別途定める。
2. 乙は、安全管理措置を徹底するため、個人情報の取り扱いに関する管理責任者を定めるものとする。

個人情報の漏えい等を防止するため、必要かつ適切な安全管理措置を講ずべき旨を定めます。

具体的な安全管理措置の内容は、契約で定めてもよいですし、別途協議により定めるとしても構いません。その際には、個人情報保護ガイドライン(通則編)「10 (別添)講ずべき安全管理措置の内容」を参考にしてください。

従業者の監督

例文

第○条(従業者の監督)
1. 乙は、自己の役員および従業員(以下「従業者」という。)に対し、個人情報に関する秘密保持義務を負わせるとともに、その目的外利用を禁止するものとする。
2. 乙は、実際に個人情報を取り扱う従業者の範囲を限定した上で、当該従業者に対して必要かつ適切な監督を行わなければならない。
3. 乙は、従業者が退職する場合、当該従業者に対し、退職後の秘密保持義務に関する誓約書を提出させた上で、在任もしくは在職中に知り得た全ての個人情報の返還または破棄を義務付けるものとする。

受託者の役員・従業員(=従業者)が個人情報を取り扱うに当たって、漏えい等の発生を防止するために受託者が行うべき監督の内容を定めます。

具体的には、

  1. 秘密保持義務の設定
  2. 目的外利用の禁止
  3. アクセス権者の限定
  4. 退職時の返還

などを定めておくのがよいでしょう。

再委託先の監督

例文

第○条(再委託先の監督)
1. 乙は、本件業務の遂行上、個人情報の取り扱いの全部または一部を第三者(以下「再委託先」という。)に再委託する場合には、以下の事項を甲に通知するものとする。
⑴再委託する旨
⑵再委託先の名称および住所
2. 乙は、再委託先に対して、本契約で定められている乙の義務と同等の義務(再委託先において安全管理措置を講じることを含む。)を課すとともに、必要かつ適切な監督を行わなければならない。

個人情報は、再委託されることがあります。

再委託を認める場合には、受託者に対して、再委託先に対する監督義務を定めます。具体的には、再委託先に関する情報の通知や、再委託先に対する秘密保持義務の設定などを定めておきましょう。

ムートン

なお、そもそも再委託を認めない場合には、委託先の監督に関する条文に代えて、以下のような、再委託を禁止する条文を定めます。

例文

第○条(再委託の禁止)
乙は、甲から取り扱いを委託された個人情報の取り扱いの全部または一部を、第三者に再委託してはならない。

安全管理措置の実施状況に関する監査・改善指示

例文

第○条(監査・改善の指示)
1. 甲は、乙における安全管理措置の実施状況を確認するために必要な限度において、乙に対する書面による事前の通知により、報告、資料の提出または監査の受け入れ(以下「報告等」という。)を請求できるものとする。この場合、乙は、事業の運営に重大な支障が生ずる場合、その他の正当な理由がある場合を除き、甲の請求に応じるものとする。
2. 甲が報告等によって得た情報に、乙の営業秘密が含まれている場合、甲は、乙の書面による事前の承諾を得た場合を除き、当該営業秘密を第三者に開示し、または漏えいしてはならない。
3. 乙は、甲による監査が乙における安全管理措置の実施状況を確認するために必要な限度を超える場合には、甲に対して、監査の受け入れのために乙が要した費用を請求できるものとする。 4. 甲は、報告等の内容を考慮し、乙において個人情報の安全管理措置が十分に講じられていないと認めたときは、乙に対して安全管理措置の改善を要請できるものとする。この場合、乙は甲と協議の上、合理的に必要な範囲内で安全管理措置を講じるものとする。

受託者が適切な安全管理措置が講じているかどうかをチェックできるように、安全管理措置の実施状況に関する監査・改善指示に関する条文を定めておきましょう。

ただし、どんな内容でも委託者の要求に従わなければならないとするのは、受託者にとって酷です。そのため、受託者にどこまで監査等を受け入れる義務を課すか、発生した費用の負担をどのように分担するかなどがポイントとなります。

個人情報の返還

例文

第○条(個人情報の返還)
乙は、本件業務が終了したとき、または甲の求めがあるときは、甲より取り扱いを委託された個人情報(その複製物を含む。)の全部または一部を甲に返還し、または消去しなければならない。

管理不備等による個人情報の漏えい等を防ぐため、利用・管理の必要がなくなった個人情報については、速やかに返還・消去すべき旨を定めておきましょう。

漏えい等が発生した際の対応

例文

第○条(漏えい等発生時の対応)
1. 乙は、個人情報の漏えい等の発生を認識し、または発生したおそれがあると判断したときは、直ちに甲に報告するとともに、漏えい等の拡大または再発を防止するために必要な措置を講じなければならない。
2. 前項の場合、乙が講ずべき措置については、甲乙協議の上で別途定める。ただし、緊急に措置を講ずる必要がある場合には、乙が当該措置の内容を決定し、直ちに当該措置を実施した上で、甲との間で協議を行い、今後の対応を決定する。

個人情報の漏えい等が発生した場合や、そのおそれがある場合には、迅速な事態の収拾が求められます。

報告義務と応急処置的な対応義務を受託者に課しつつ、必要に応じて委託者も対応に関与できるようにしておきましょう。

損害賠償

例文

第○条(損害賠償)
乙は、自己の責に帰すべき事由により個人情報の漏えい等が発生し、甲に損害を生じさせた場合、甲に対して、当該損害のうち、社会通念上通常生ずべきものを賠償するものとする。

受託者の責任によって個人情報の漏えい等が発生した場合における、損害賠償のルールを定めます。

損害賠償の対象範囲の定め方については、以下に挙げるようにさまざまなパターンが考えられます。

  • 漏えい等によって生じた一切の損害
  • 漏えい等によって社会通念上通常生ずべき損害(通常損害)のみ
  • 通常損害+それ以外の予見可能な損害

個人情報の取り扱いに関する条項をレビューする際の注意点

個人情報の取り扱いに関する条項をレビューする際には、以下の2点を念頭に置いておきましょう。

  • 個人情報保護法のルールを意識する
  • 担当部署とよくコミュニケーションをとる

個人情報保護法のルールを意識する

個人情報の取り扱いに関する条項は、個人情報保護法のルールを踏まえて設計する必要があります。

ムートン

ここでは、法務担当者として、覚えておきたい主なルールを紹介します。詳しくは、「個人情報保護法(個情法)とは?」の記事にまとめています。

個人情報保護法の主なルール

利用目的の特定(17条)
利用目的による制限(18条)
不適正な利用の禁止(19条)
適正な取得(20条)
取得に際しての利用目的の通知(21条)
データ内容の正確性の確保等(22条)
安全管理措置(23条)
従業者の監督(24条)
委託先の監督(25条)
漏えい等の報告等(26条)
第三者提供の制限等(27条~31条)
保有個人データに関する事項の公表等
開示・訂正等・利用停止等の請求(33~39条)
苦情の処理(40条)
仮名加工情報の取り扱い(41条、42条)
匿名加工情報の取り扱い(43条~46条)

上記のうち、契約によってさらに具体化する必要があると思われる事項については、個人情報の取り扱いに関する条項の中に盛り込んでおきましょう。

担当部署とよくコミュニケーションをとる

自社が相手方から個人情報の取り扱いを受託する場合は、契約で定められたルールが、実務上対応可能な内容であるかどうかを確認しなければなりません。

実際に個人情報を管理する担当部署と十分にコミュニケーションをとり、現実的でない内容が含まれている場合には、相手方に対して修正を求めましょう。

この記事のまとめ

個人情報の取り扱いに関する条項の記事は以上です。最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!

参考文献

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」

総務省ウェブサイト「個人情報取扱事業者の責務」