法律相談予約専用 TEL 070-5483-9947
業務委託における委託者と受託者の個人情報保護法上の義務
2022年4月から、2020年改正及び2021年改正の個人情報保護法が施行されます
改正法の詳細は個人情報保護委員会ウェブサイトに掲載されています
法令・ガイドライン等 |個人情報保護委員会
マンガで学ぶ個人情報保護法 |個人情報保護委員会
2017年5月から、2015年改正によるいわゆる5000人要件の撤廃が施行されており、既に中小企業や個人事業主も個人情報保護法の実質的な適用対象になって久しいところです
最近では、業務委託・外部委託の活用や個人情報保護の意識の定着により、業務委託における個人情報保護法上の義務について、ご質問をお受けする機会も増加してきました
特に「個人データの取扱いの委託」にあたる場合、委託元(委託者)の委託先(受託者)に対する監督義務だけでなく、委託先(受託者)自身が個人情報取扱事業者として安全管理措置義務を負うことも多く、委託先(受託者)は中小企業であっても安全管理措置義務は軽減されませんので、「個人データの取扱いの委託」にあたるかどうかが重要になります
そこで、今回は、業務委託において委託者と受託者のそれぞれが個人情報保護法上負う義務について、3つの事例を挙げて、比較検討してみたいと思います
なお、個人情報保護法の各種概念は抽象的なものも多く、具体的な事例について判断に迷うものもすくなくありませんので、以下は私見であることをお断りしておきます
【前提・用語説明】
以下は、わかりやすくするために正確性を度外視して大雑把に、用語を説明したものです
「個人情報」……氏名等、生存している特定の個人を識別することが可能な情報
(例えば、名刺1枚に記載されている情報、氏名を表示したメールアドレス等)
「個人情報データベース等」……個人情報をデータベース化したもの
(例えば、PC内の顧客情報データベース、紙の職員名簿(50音順・見出し付))
「個人データ」……個人情報データベース等を構成する個人情報
(例えば、PC内の顧客情報データベースに登録されている顧客の住所氏名)
「個人情報取扱事業者」……個人情報データベース等を事業に使用している者
(例えば、顧客名簿を作成している事業者、職員名簿を作成している非営利団体等)
「安全管理措置」……個人情報取扱事業者が個人データの漏洩等の防止のために負う義務
(例えば、基本方針の策定等、個人情報保護法ガイドライン(通則編)別添10参照)
「第三者提供」……事業者が他の事業者へ個人データを提供すること
(提供元事業者は原則として事前に本人の同意を得る必要があります
例外として、法令に基づく場合等、同意に代わる措置(オプトアウト制度)、
個人データの取扱いの委託、合併、共同利用等、改正法新27条参照)
「個人データの取扱いの委託」……個人情報保護法ガイドライン(通則編)3-4-4参照
(個人データの取扱いの委託であれば、個人データの提供は第三者提供にあたりません
もっとも、委託元は委託先に対する監督義務を負います
また、委託先自身が個人情報取扱事業者として安全管理措置義務等を負う場合があります
その場合、委託先自身は中小義務であって案管理措置義務が軽減されません)
※ 個人情報保護法ガイドライン(通則編)3-4-4
「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力(本人からの取得を含む)、編集、分析、出力等の処理を行うことを委託すること等が想定される。
「共同利用」……特定の事業者間で個人データを提供して利用すること
(共同利用の事前本人通知等があれば、個人データの提供は第三者提供にあたりません
なお、各事業者が個人情報取扱事業者として安全管理措置義務等を負うことになります)
【事例1・ダイレクトメール発送業務】
・事例1
顧客aらへダイレクトメールを発送する業務について、事業者Aは事業者Bへ委託することとしました
事業者Aは顧客aらの住所氏名等の個人情報をデータベース化しており、事業者Aから事業者Bへ顧客情報データベースを提供することにしました
事業者Bは、上記データベースにアクセスして、顧客aらの住所氏名をシールに印刷して、そのシールを郵便物へ貼り付けて、発送することにしました
・事業者「A」の個人情報保護法上の義務1(安全管理措置、従業者の監督等)
上記データベースは「個人情報データベース等」にあたり、事業者Aは上記データベースを事業に利用する者として「個人情報取扱事業者」にあたり、事業者Aにおけるデータベースを構成する顧客aらの個人情報は「個人データ」にあたります
したがって、事業者Aは、上記データベースを構成する顧客aらの個人情報について、安全管理措置、従業者の監督等、適切な保管・管理の義務を負います
なお、講ずべき安全管理措置の内容について、事業者Aが中小企業であれば、一定程度軽減されています(個人情報保護法ガイドライン(通則編)別添10参照)
・事業者「A」の個人情報保護法上の義務2(委託先の監督)
事業者Aから事業者Bへの業務委託は「個人データの取扱いの委託」にあたります
(個人情報取扱事業者である事業者Aが、他の者である事業者Bへ、「個人データの取扱い」として個人データの「出力等」の処理を行うことを委託するものと言えます)
したがって、委託元である事業者Aは、委託先である事業者Bに対し、適切な保管・管理が図られるよう、監督義務を負います
(具体的な義務としては、適切な委託先の選定、委託契約の締結、委託先における個人データ取扱状況の把握の3つです、詳細は個人情報保護法ガイドライン(通則編)3-4-4参照)
・事業者「B」の個人情報保護法上の義務
委託先である事業者Bも、上記データベースを事業に利用する者として「個人情報取扱事業者」にあたるものと考えられます
したがって、上記データベースを構成する顧客aらの個人情報について、安全管理措置、従業者の監督等、適切な保管・管理の義務を負うものと考えられます
なお、講ずべき安全管理措置の内容について、(仮に中小企業であっても)事業者Bのような委託を受けて個人データを取り扱う者は軽減されていない点は、注意が必要です
・「第三者提供」に関する義務について
「個人データの取扱いの委託」に伴い、個人データの提供がなされても、個人データの「第三者提供」にあたりません
したがって、事業者Aも事業者Bも事前の本人の同意を得る必要はありませんし、「第三者提供」に関する義務(記録義務等)も負いません
【事例2・不動産販売代理業務(モデルルーム運営業務)】
・事例2
事業者Aは不特定多数の消費者へマンションの販売活動を行いたいと考えています
来客aらへのマンションのモデルルームにおける案内、接客、アンケート回収、購入申込受付等について、事業者Aが事業者Bへ業務委託することにしました
事業者Bが来客aらからアンケート回収や購入申込受付等を通じて来客aらの住所氏名等の個人情報を取得して、事業者Bにおいて来客aらの個人情報をデータベース化して、事業者Bから事業者Aへ提供することとしました
・「個人データの取扱いの委託」にあたるか(私見)
事例2は、事例1と異なり、委託元である事業者Aが委託先である事業者Bへ「個人データ」を提供されておらず、委託先である事業者Bから委託元である事業者Aへ「個人データ」を提供しています
そのため、当然には「個人データの取扱いの委託」にあたらないようにも思われます
(「個人データの取扱いの委託」という言葉からは、委託元から委託先へ個人データを提供する場面を念頭に置くのが素直なようにも思われます)
しかしながら、個人情報保護法上、「個人データの委託」ではなく「個人データの取扱いの委託」と規定されています
そして、個人情報保護法ガイドライン(通則編)3-4-4において、「個人データの取扱いの委託」とは「個人データの入力(本人からの取得を含む。)……等の処理を行うことを委託すること等が想定される」とされています
委託元が委託先へ「個人データ」を提供していない場面も想定されているようです
そもそも、「個人データの取扱いの委託」において、委託元の委託先に対する監督を義務付けるとともに「第三者提供」にあたらないとした趣旨は、現代の事業活動において必要不可欠な業務委託を円滑に実施するため、業務委託における委託元と委託元を一体のものとして考えることとして、委託元が委託先に対して監督する義務を負う代わりに、個別に事前の本人の同意を得る必要をないものとしたものと考えられます
そうであれば、「個人データの取扱いの委託」とは、委託元である事業者Aが委託先である事業者Bへ「個人データ」を提供していることを必ずしも前提とする必要はなく、委託元と委託先において「個人データの入力(本人からの取得を含む。)、編集、分析、出力等の処理を行うこと」を一体として実施すれば足りるものと思われます
言い換えれば、委託元が委託先へ「個人情報」の「取得」を委託して、委託先が個人から「個人情報」を取得して、委託先においてこれをデータベース化して、委託先から委託元へ「個人データ」を提供することも、「個人データの取扱いの委託」に含むものと考えてよいように思われます
事例2は、委託元である事業者Aが委託先である事業者Bへ「個人情報」の「取得」を委託したものですが、事業者Bが個人から「個人情報」を取得して、事業者Bにおいてこれをデータベース化して、事業者Bから事業者Aへ「個人データ」を提供することも委託されていることから、「個人データの取扱いの委託」にあたると言ってよいものと考えられます
なお、事業者Aと事業者Bの間の契約内容や個人データの利用状況により、「個人データの取扱いの委託」ではなく「個人データの共同利用」として整理すべき場合もあります
(「個人データの共同利用」として整理する場合、委託元の委託先に対する監督義務は問題となりませんが、共同利用目的の事前本人通知または公表等が必要になります
もっとも、個人情報保護法ガイドライン(通則編)3-4-3において、「共同利用か委託かは、個人データの取扱いの形態によって判断されるものであって、共同利用者の範囲に委託先事業者が含まれる場合であっても、委託先との関係は、共同利用となるわけではなく、委託元は委託先の監督義務を免れるわけではない。」とされている点は、注意が必要です)
・事業者「A」の個人情報保護法上の義務1(安全管理措置、従業者の監督等)
・事業者「A」の個人情報保護法上の義務2(委託先の監督)
・事業者「B」の個人情報保護法上の義務
いずれも事例1と同様と考えられます
【事例3・ITシステム保守管理業務(顧客サーバー保守管理業務)】
・事例3
事業者Aは顧客aらの個人情報データベースを自社サーバーにて保管・管理しています
事業者Aの自社サーバーの保守管理業務について、事業者Aが事業者Bへ業務委託することにしました
事業者Aが事業者Bへ個人データを提供する必要はなく、事業者Aも事業者Bもそのような意図はありません
しかしながら、保守管理業務において、事業者Aの自社サーバーに保管・管理されている個人データが、事業者Bの従業者の目に触れざるを得ないことがあります
・「個人データの取扱いの委託」にあたるか(私見)
事例3は、ITシステム保守管理業務において、その対象である事業者Aの自社サーバーに顧客aらの個人情報データベースが保管・管理されており、保管・管理されている個人データが事業者Bの従業者の目に触れざるを得ないことがあるというものです
したがって、「個人データの取扱いの委託」にあたるようにも思われます
しかしながら、委託業務の内容にもよりますが、ITシステム保守管理業務において、個人データの内容にまで関知することを予定していないことの方が多いものと思われます
また、委託業務の内容にもよりますが、委託業務の遂行において個人データの内容が問題とならない場合(ダミーデータ等によるテストで足りる場合やそもそも個人データの内容の保守管理にまで関知しない場合等)には、契約条項による委託業務の内容の限定や適切なアクセス制限の構築により、不必要な個人データの取り扱いを避けることができます
個人情報保護法ガイドラインQ&A7-55でも、「単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当しません。」とされたうえで、以下が例示されています(抜粋)
(「個人データの取扱いの委託」にあたる場合)
○個人データを用いて情報システムの不具合を再現させ検証する場合
○個人データをキーワードとして情報を抽出する場合
(「個人データの取扱いの委託」にあたらない場合)
○システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
○保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合
○保守サービスの受付時等に個人データが保存されていることを知らされていない場合であって、保守サービス中に個人データが保存されていることが分かった場合であっても、個人データの取得を防止するための措置が講じられている場合
○不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
○不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人データを再現しないこと等が契約等で明確化されており、再現等を防止するための措置が講じられている場合
○個人データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
事例3は、単純なサーバー保守管理業務であり、事業者Aが事業者Bへ個人データを提供する必要はないものと思われます
そして、契約条項において個人情報を取り扱わないことを明示して、単純なサーバー保守管理業務において技術的に可能な範囲のアクセス制限を構築することが必要になります
その結果、「個人データの取扱いの委託」にあたらないこととなるものと考えられます
(他方で、契約条項において個人情報を取り扱わないことを一切明示していない場合や、事業者Bが事業者Aと全く同等の水準や期間において個人データにアクセスすることができるような場合は、「個人データの取扱いの委託」にあたるものと考えられます)
・事業者「A」の個人情報保護法上の義務1(安全管理措置、従業者の監督等)
事例1と同様と考えられます
・事業者「A」の個人情報保護法上の義務2(委託先の監督)
事例3では、単純なサーバー保守管理業務であり、事業者Aが事業者Bへ個人データを提供する必要はないものと思われます
そして、契約条項において個人情報を取り扱わないことを明示して、単純なサーバー保守管理業務において技術的に可能な範囲のアクセス制限を構築することが必要になります
その結果、「個人データの取扱いの委託」にあたらないことなるものと考えられます
そのため、個人情報保護法上の委託元の委託先に対する監督は問題となりません
もっとも、業務委託契約または秘密保持契約等において、委託者である事業者Aが、受託者である事業者Bに対し、適切な秘密保持義務を課すべきことは、言うまでもありません
・事業者「B」の個人情報保護法上の義務
事例3では、単純なサーバー保守管理業務であり、事業者Aが事業者Bへ個人データを提供する必要はないものと思われます
そして、契約条項において個人情報を取り扱わないことを明示して、単純なサーバー保守管理業務において技術的に可能な範囲のアクセス制限を構築することが必要になります
その結果、事業者Bは、事業者Aの顧客aらの個人情報データベースについて、「個人情報取扱事業者」にあたらないことになるものと考えられます
そのため、個人情報保護法上の安全管理措置義務等を負いません
もっとも、業務委託契約または秘密保持契約等において、委託者である事業者Aが、受託者である事業者Bに対し、適切な秘密保持義務を課すべきことは、言うまでもありません
・補足
事例3のように、「個人データの取扱いの委託」にあたらないと考えられるような場合でも、委託者が、受託者へ、個人情報保護法上の義務の有無や程度に関わらず、受託者が委託者の監督に服すべきことや、受託者が委託者と同等の安全管理措置を講じることを、契約条項に盛り込むよう要望することも考えられるところです
このような場合には、個人データに要配慮個人情報を含むか、委託業務において個人データに触れるか、アクセス制限は万全か等の事情を考慮して、協議すると良いでしょう
【まとめ】
以上のとおり、業務委託において委託者と受託者のそれぞれが個人情報保護法上負う義務について、3つの事例を挙げて、比較検討してみました
業務委託において、事業者間で個人データを提供する必要はなく、そのような意図がない場合でも、委託者の保有する個人データが受託者の目に触れざるを得ないことがあります
そのような場合、業務委託契約における契約条項において個人情報を取り扱わないことを明示して、個人情報データベース等のアクセス制限を適切に設定することが重要です
委託者や受託者において意図せず個人情報保護法上の義務を負うことを回避することで、本来不要な負担を回避することができ、ひいては適切な業務委託に繋がります
(もっとも、業務委託契約または秘密保持契約等において、委託者が、受託者に対し、適切な秘密保持義務を課すべきことは、言うまでもありません)