企業が事業活動を行う際に、個人情報の取り扱いを外部に委託することがあると思います。その際、委託先が個人情報を不適切に扱うと、委託元も責任追及される可能性があります。そこで、法律の条文やガイドラインの内容を踏まえ、注意点について解説します。
第1 個人情報保護法に関する基礎知識
1 個人情報保護法とは
個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。
この法律については、たびたび改正がなされています。
2 個人情報とは(概要)
個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。
したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報も「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。
第2 個人情報の取り扱いの委託に関する規定
1 法律の条文やガイドラインの内容
企業が、個人データについて、第三者に取り扱いを行わせることがあります。これは、個人データの取り扱いを委託しているものです。
例えば、顧客情報についての個人データを入力する、そのデータを分析する、データを編集するといったものが考えられます。
個人データの委託については、個人情報保護法において、以下のように規定されています。
【個人情報保護法第25条】
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
どの程度の監督が必要かについて、「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下では、「ガイドライン」と表記します。)では、
・委託する個人データの内容
・個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさ
・委託する事業の規模及び性質
・個人データの取扱状況(性質及び量の要素も含まれます。)等に起因するリスク
に応じて、必要かつ適切な措置を取ることが求められています。
具体的には、以下のような措置が求められます。
⑴ 適切な委託先の選定
個人データの取り扱いを委託する際には、委託先の事業者が、どのような安全管理措置を講じているか、確認する必要があります。
具体的には、委託先の事業者が、個人情報保護法23条やガイドラインに照らして、必要な水準を満たす安全管理措置を講じているか、そして、その安全管理措置がきちんと実施されているかを確認することが必要です。
⑵ 委託契約の締結
実際に個人データの取り扱いを委託するとなった際には、委託元と委託先の間で、委託契約を締結することも有効です。その契約において、個人データの取り扱いに関する安全管理措置としてどのようなものを構築するか、その安全管理措置の実施状況を委託元がどのように把握するか、といった内容を定めることで、実効性をもたせることができます。
⑶ 委託先の取り扱い状況の把握
単に契約条項を定めるだけではなく、継続的に個人データの取り扱いの状況を確認することが重要です。具体的には、定期的に委託先の個人データの取り扱い状況を監査することにより、契約等で定めた安全管理措置がどの程度履行されているのか、委託の内容を見直す必要があるか等を確認することが望ましいといえます。
なお、委託先の事業者が、さらに別の事業者に委託することもあります(再委託)。その場合には、委託元は、再委託する先がどのような企業か、再委託する業務内容はどのようなものか、再委託先の個人データの取扱方法はどのようになっているかなどの点について、委託先から事前に報告させたり、承認を求めることが考えられます。また、委託先または自社において、再委託先に対して定期的に監査を実施することも考えられます。
2 委託先に対して必要かつ適切な監督を行っていないと判断されうる例
ガイドラインにおいて、委託を受けた者に対して必要かつ適切な監督を行っていない事例として、以下のものが列挙されています。
① 個人データの安全管理措置の状況を、契約締結時及びそれ以後も適宜把握せず、外部の事業者に委託した結果、委託先が個人データを漏えいした場合
② 個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合
③ 再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合
④ 契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、当該再委託先が個人データを漏えいした場合
もちろん、具体的な事情によって、必要かつ適切な監督を行っているか否かの判断も変わる可能性はありますが、参考にしていただければと思います。
第3 委託先で個人データの漏えいなどの問題が発生した場合
1 報告の対象となる事態
個人情報取扱事業者は、次の(1)から(4)までに掲げる事態を知ったときには、個人情報保護委員会への報告をしなければなりません。
(1)要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
(2)不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(3)不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
(4)個人データに係る本人の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態
ここでの漏えい等とは、漏えい、滅失、毀損といった事態を言います。
漏えいとは、個人データが含まれる書類やデータを第三者に誤って送付してしまう、誤ってインターネット上で閲覧可能な状態にしてしまう、不正アクセス等により個人データが盗まれてしまうといったものが考えられます。
(第三者に閲覧される前に、すべての個人データを回収できた場合には、漏えいには該当しません。)
滅失とは、個人データを誤って処分してしまったり、内部で紛失してしまうという状況が考えられます。
毀損とは、個人データが意図せず改ざんされてしまう、何らかの理由により暗号化された個人データが復元できなくなってしまうといった状況が考えられます。
なお、漏えい等が発生し、又は発生したおそれがある個人データについて、高度な暗号化等の秘匿化がされている場合など、「高度な暗号化その他の個人の権利利益を保護するために必要な措置」が講じられている場合については、報告する必要はありません。
⑴ 要配慮個人情報が含まれる個人データの漏えい等が発生し、又は発生したおそれがある事態
要配慮個人情報とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要する記述などが含まれる個人情報をいいます。
したがって、例えば、健康診断の結果が含まれる個人データが漏えいした場合には、これに該当することになります。
⑵ 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
例えば、顧客のクレジットカードの情報が含まれる個人データが漏えいする、送金に使うことができるIDとパスワードが漏えいするといった場合には、財産的被害が生じるおそれがあると考えられます。
⑶ 不正の目的をもって行われたおそれがある個人データの漏えい等が発生し、又は発生したおそれがある事態
不正の目的をもって行われる漏えいは、悪意のある第三者によるものが典型的です。
もっとも、自社の従業員が、顧客データを不正に持ち出すといったことも考えられます。そのような場合にも、報告義務の対象となる事態に該当します。
⑷ 個人データに係る本人の数が1000人を超える漏えい等が発生し、又は発生したおそれがある事態
ここでは、漏えい等が生じた個人データにおける本人の数が問題となります。
漏えい等の事態が発覚した当初は1000人以下であっても、その後に 1000人を超えてしまった場合には、1000人を超えた時点で「個人データに係る本人の数が1000人を超える漏えい等が発生」したことになります。
また本人の数が確定できない漏えい等においても、漏えい等が発生したおそれがある個人データに係る本人の数が、最大で1000人を超える場合には、「個人データに係る本人の数が1000人を超える漏えい等が発生したおそれがある事態」に該当することになります。
2 委託先で漏えい等が発生したとき、委託元も報告の義務を負う
漏えい等の報告をする義務を負うのは、漏えい等が発生し、又は発生したおそれがある個人データを取り扱う個人情報取扱事業者となります。
個人データの取扱いを委託している場合においては、委託元と委託先の双方が個人データを取り扱っていることになります。したがって、委託先で個人データの漏えい等が発生したとしても、委託元にも報告義務が課されます。この場合、原則として、委託元と委託先の双方が報告する義務を負います。委託元及び委託先の連名で報告することができます。
なお、委託先が、報告義務を負っている委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除されます。
また、本人への漏えい等の通知についても、同様の考え方となります。
第4 まとめ
企業が本業に専念するために、個人データの取り扱いを外部の業者に委託することは合理的といえますが、きちんと監督をする必要があります。
仮に、委託先において個人データの取り扱いが適切になされておらず、漏えい等の事態が発生した場合には、委託元も責任を負うことになります。
したがって、法令やガイドラインの内容、委託先との契約内容を理解しておく必要があります。
グリーンリーフ法律事務所は、設立以来30年以上の実績があり、17名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。 企業が直面する様々な法律問題については、各分野を専門に担当する弁護士が対応し、契約書の添削も特定の弁護士が行います。企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。
※ 本コラムの内容に関するご相談・ご質問は、顧問会社様、アネット・Sネット・Jネット・保険ネットの各会員様のみ受け付けております。
