fbpx

情報セキュリティにまつわる
お役立ち情報を発信

Pマークで委託契約書に盛り込まなければならない7項目 その2

 

前回の記事の続きです。プライバシーマーク(Pマーク)取得会社が委託を行う際に契約書に盛り込むべき項目とはどのようなものでしょうか。

 

個人情報の取扱状況に関する委託者への報告の内容及び頻度

一般的な業務委託や委任事務についても言えることですが、原則として受託者側は委託者に対する報告義務を負っています。報告義務とは依頼を受けた仕事の処理状況を途中で報告したり業務完了時に報告したりする義務のことです。

個人情報の委託についてもこれと似たような義務が受託者に生じることをプライバシーマーク(Pマーク)取得会社は委託契約書に明示する必要があるのです。

これについては具体的に2つの事項が契約書に盛り込まれるようにしてください。一つは報告の「内容」です。内容とは要するに個人情報をどのように取り扱っているか、また事前に定めた安全管理の規定を守っているかといった事柄です。

もう一つは「頻度」です。“○ヵ月に一度”という具体的な定め方ができる場合もあれば、委託の性質上“定期的に”とか“委託者の求めがある場合いつでも”というような定め方をするのが妥当である場合もあるでしょう。

 

契約内容が遵守されていることを委託者が確認できる事項

契約書を交わしたからといって受託者が必ずしも契約どおりに個人情報を安全管理してくれるとは限りません。

本当に契約内容が守られているかを確認する必要があるのではないでしょうか。そこで受託者側には相手が契約を守っていることを確認する手段を持っておくことがプライバシーマーク(Pマーク)においても要求されています。

「契約内容が遵守されていることを委託者が確認できる事項」とはすなわちその手段のことであり、たとえば「委託者が受託会社を定期的に立ち会い監査する」などの手段が考えられます。

 

契約内容が遵守されなかった場合の措置

プライバシーマーク(Pマーク)取得会社は契約が守られなかった場合のことも委託契約書に記載しておく必要があります。

まず委託契約自体をどうするかを規定します。一例ですが、受託者が委託契約を順守しなかった場合に委託者が契約を解除できる、または更新しないことを定めることもできます。

さらに契約違反によって個人情報にかかわる事故が発生した場合の損害賠償請求についても規定しておく必要があるかもしれません。

 

事件・事故が発生した場合の報告・連絡に関する事項

プライバシーマーク(Pマーク)取得会社は委託先でインシデントが発生したときに委託先から報告や連絡を確実に受けるようにしなければなりません。このことも委託契約書に盛り込んでおく必要があります。

 

まとめ

前回と今回の記事で取り上げた7つの項目を契約書に含めることがプライバシーマーク(Pマーク)における基本的な要求事項です。

もちろん各項目の内容をどう定めるかは委託する個人情報の内容や目的によって異なりますし、委託先との協議の結果によっても異なってくるはずです。また委託の業務の種類によっては7つの項目の一部を省略してもよい場合があります。

委託契約書を作成する場合は、委託の内容や性質を考慮したうえで実効のある契約書を作ることが大切です。

こちらの記事もおすすめです

→【Pマークって日本だけ?

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る