西山

Pマークで委託契約書に盛り込まなければならない7項目 その1


 

今回と次回の記事ではプライバシーマーク(Pマーク)取得会社が委託を行うときに契約書に盛り込む必要がある事項を取り上げます。

委託とは“個人情報を別の組織や個人に預けて処理を依頼すること”と定義されます。

とりわけ専門的な業務であれば自社で処理するよりそれを専門に行っている会社などに委託したほうが効率的でもあります。とはいえ近年の個人情報事故の統計では委託先の管理の不備が原因で事故が発生しているというケースも少なくないことが確認されています。

したがってプライバシーマーク(Pマーク)取得会社が委託を行う場合は十分な検討を経て業者を選定し、適正な手続きを踏んで委託を開始しなければなりません。委託契約書を取り交わすべきことはもちろんです。

委託契約書にはこれから挙げる7つの項目を含めるようにしましょう。

 

委託者及び受託者の責任の明確化

プライバシーマーク(Pマーク)でいう委託者とは個人情報の取り扱いを依頼する側で、受託者とは依頼される側のことです。

プライバシーマーク(Pマーク)取得会社は委託を行う際、最も重要な項目として双方の責任に関することを契約書に明記しなければなりません。

基本的に委託する側は「委託する業務に必要な内容の個人情報を適切な手順で受託者に提供する」責任を負い、受託する側は「取得した個人情報を安全に管理する」責任を負います。

このような基本的な責任に加え、委託にかかわる個々の業務の責任がそれぞれどちら側にあるのかとか、情報漏えいなどの事故が発生した場合の損害賠償責任の負担割合なども契約書に盛り込みます。

両者の責任は委託者と受託者で協議したうえで決定するのがベストですが、仮に委託者側で責任を盛り込んだ契約書のひな型をあらかじめ用意しておくのであれば、責任の内容が不当に一方に偏ることのないように注意する必要があります。

 

個人情報の安全管理に関する事項

受託者が実施すべき安全管理の内容を契約書に含めることもプライバシーマーク(Pマーク)は要求しています。

もちろん単に“受託者は取得した個人情報を安全に管理する”とだけ記載していれば良いわけではありません。プライバシーマーク(Pマーク)取得会社は具体的な内容として最低でも以下の5つの点を契約書に明記する必要があります。

個人情報の漏えいや盗用を防止するための対策を計画・実行すること
委託契約で定めた目的以外で情報を加工したり利用したりしないこと
委託契約で定めた目的以外で情報を複写しないこと
委託契約期間
委託終了後に個人情報を確実に返還または消去・廃棄すること

これら以外にも委託者側であるプライバシーマーク(Pマーク)取得会社が個人情報保護のために必要と判断することがあれば、それも安全管理の内容に盛り込み、契約更新ごとに見直すことができるでしょう。

 

再委託に関する事項

プライバシーマーク(Pマーク)上では再委託に関することも委託契約書に含める必要があるとされています。

再委託とは委託を受けた会社がさらに別の会社に委託を行うことをいいます。元の委託者と受託者が個人情報の安全管理に努めていても再委託先が安全管理をおろそかにしていれば、そこから個人情報の漏えいなどが起こり、結果として元の委託者や受託者がその責任を負う羽目になります。よって再委託に関する事項も必ず契約書に含めるべきです。

原則として再委託を禁止するという委託契約にすることも可能です。

 

まとめ

一方もし委託者が再委託を許可するという契約内容にするのであれば、最低でも再委託することを受託者が文書で報告することや、必ず委託者の承諾を得たうえで再委託をすることなどを契約書に盛り込むべきでしょう。

こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

西山
西山
■経営支援課 リスク分析係
■出身地:宮崎県
■趣味:ゲーム
■最近のはまり:ユーチューブ。
■苦手なもの:キャッシュレス化してないお店

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にプライバシーマーク、ISMS取得をメインとする情報セキュリティーコンサルティング事業を展開しております。
Pマーク、ISMSについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 西山