ソフトウェア開発費の見積り、プロジェクトマネジメント、
発注者と受注者の間の合意形成等に参考となる情報を不定期に掲載していきます。
個人情報と契約の関係
第1回 個人情報を取り扱う業務委託
2026.02.05
著者:
DT弁護士法人 弁護士 荒木 洋介
2003年に個人情報の保護に関する法律(以下、「個人情報保護法」といいます。)が成立してから20年以上が経過しました。この20年間で社会の個人情報への理解・関心が深まってきたと同時に、漏えい等のリスクの認識も高まってきました。また近年のIT・通信技術の発展や、AIの急速な進歩により、個人情報を取り巻く環境も急激な変化を迎えています。
このような環境の中、各事業者においては事業において個人情報を取扱うことは、避けては通れなくなっています。消費者向けの商品やサービスを展開している事業者であれば消費者の個人情報を取り扱うこともあるでしょう。また消費者向けの商品やサービスを展開していない会社であっても、自社の従業員や取引先の従業員の個人情報を取り扱うことはあるでしょう。
また、現行の個人情報保護法においては、行政機関等を除く、個人情報データベース等を事業の用に供している者が個人情報取扱事業者となり、個人情報保護法上の多くの義務を課せられることになっています。そのため、ほとんどの事業者が個人情報取扱事業者として適切な個人情報の取り扱いを求められることとなっています。
このコラムではこのような個人情報への理解・関心、リスクへの認識や環境の変化の中で契約が個人情報の取扱いの文脈でどのような役割を果たしているのかを見ていきたいと思います。
1.個人データの取扱いの委託
個人情報保護法は、個人データの取扱いの全部又は一部を第三者に委託することを認めています。この場合には、個人データを第三者に提供することに伴う本人の同意は不要とされています(個人情報保護法27条5項1号)。
事業者においては個人情報の取扱いの全部又は一部を第三者に委託していることも少なからずあるでしょう。例えば、社会保険労務士などに従業員の給与計算を委託することは個人情報保護法上の「委託」に当たるとされています 。
個人データの取扱いを委託した場合、個人情報取扱事業者は、個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければなりません(個人情報保護法25条)。
具体的には、個人情報取扱事業者は、法第23条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとされています(個人情報保護法ガイドライン(通則編)3-4-4)。
その際、個人情報取扱事業者は、以下の (1) から (3) の必要かつ適切な措置を講じなければなりません(個人情報保護法ガイドライン(通則編)3-4-4)。
(1) 適切な委託先の選定
(2) 委託契約の締結
(3) 委託先における個人データ取り扱い状況の把握
そして、(2) 委託契約の締結について、委託契約に、「委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい」(個人情報保護法ガイドライン(通則編)3-4-4)とされています。
また、(3) 委託先における個人データ取り扱い状況の把握について、「委託先における委託された個人データの取扱状況を把握するためには、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい」(個人情報保護法ガイドライン(通則編)3-4-4)とされています。
これらの記載ぶりから、個人データの取扱いを第三者に委託する場合、当該第三者への監督義務(個人情報保護法25条)を果たすにあたっては、契約上、委託先における個人データの取扱いの状況を把握するための条項を入れることまでは義務付けられていないものの、当該監督義務の実施の観点からは、契約において委託先における個人データの取扱いの状況を把握するための条項を入れておいた方がよい、ということになるでしょう。
個人データの取扱いの状況を把握するための条項としては、次のようなものが考えられます。
(1) 委託元による監査権を定める条項
(2) 委託元による個人データの取扱い状況についての報告義務を課す条項
(年一回など定期的なもの、オンデマンドのものなど)
このほか、個人情報保護法上、個人データの漏えい等が生じた場合に個人情報保護委員会に対して報告を行わなければならないことなど、個人情報取扱事業者に対して一定の義務が課されている関係で、個人データの取扱いを委託するにあたっては、次のような条項を定めることが重要でしょう。
・再委託先の管理に関する条項
(再委託する際の承諾、委託先による再委託先への監査義務等)
・委託先における安全管理措置の内容について定める条項
・委託先で漏えい・事故などが生じた場合の報告義務を定める条項
・委託業務終了時の個人データの廃棄や返却に関する条項
2.まとめ
ここまで見てきた通り、個人データを委託するにあたっては、個人情報保護法上の義務に留意しつつ、委託契約において委託先に対して一定の義務を課していくことが重要になります。次回は、個人データを利用するシステムなどの発注の契約についても個人情報保護法との関係を見ていきたいと思います。
※このコラムは全2回を予定しています。
2009年に九州大学工学部を卒業後、早稲田大学ロースクールを経て2014年に弁護士登録。都内弁護士事務所を経て、2019年4月にDT弁護士法人へ入所。2024年9月から2025年5月まで米国ロースクール(Boston University School of Law, LL.M)に留学。大手製造業の法務部門のアウトソーシング業務(主に契約審査業務)やサイバーインシデント対応(危機対応、再発防止)等を手掛ける。
分類
