1. ホーム
  2. 会社の基本法

【法務担当者必見!】個人情報やマイナンバーの取扱いポイント

Q.業務委託契約を締結する中で、個人情報を取り扱う場合にはどのような点に注意すべきでしょうか。  

A.個人情報を取り扱う場合には、委託元、委託先両者において、個人情報保護法やマイナンバー法の適用を受けることがあります。情報漏洩は近年多発しており、損害賠償請求事件にも発展しているので、法に則った適切な取扱いを理解しておく必要があります。特に、個人情報の取扱いを委託する場合には、委託先への監督が問題となることがあるのが重要です。

個人情報保護法とマイナンバー法

個人情報保護法、マイナンバー法とは

個人情報の保護に関する法律(個人情報保護法)は、個人情報の適正な取扱方法の基本を提示することによって、個人の権利利益を保護しようとする法律です。「個人情報」の意義については、個人情報保護法2条1項に規定されています。また、個人情報保護法では個人情報の中に「個人データ」や「保有個人データ」の区分を定め、それぞれの取扱いについて定めています。

そして、マイナンバー(個人番号)と、マイナンバーを含む個人情報は、あわせて行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)では、「特定個人情報」と定められています。氏名や住所などの通常の個人情報に比べ、特に厳密な取扱いが求められます。

特定個人情報は個人情報の一種であるため、個人情報保護法の規制を受けます。また、特定個人情報の内容には個人番号が含まれるため、あわせてマイナンバー法の規制をも受けることになります。

両者の異同

マイナンバー法は、個人情報保護法の特例であり、重複する部分にはマイナンバー法が優先適用されることになります。個人情報保護法の改正により個人情報保護法とマイナンバー法との差異は従前と比べて小さくなりましたが、マイナンバー法は個人情報保護法よりも重い罰則を規定するなど、依然として両者には違いがあります。

また、それぞれについて詳しい内容は後述しますが、委託する場合の取扱いについて、個人情報保護法とマイナンバー法とでは以下のような違いがあります。

個人情報保護法 マイナンバー法
委託 委託者が個人情報取扱事業者に該当する場合には、委託先への監督義務を負う。 監督義務を負う。
委託先による再委託 委託先が個人情報取扱事業者に該当する場合には、再委託先の監督義務を負う。 監督義務を負う。委託元の許諾が必要。

「プライバシーマーク制度」とは? 「プライバシーマーク制度」は、企業や団体など(事業者)の個人情報保護の体制や運用の状況が適切であることを“プライバシーマーク”というロゴマークを用いてわかりやすく示す制度です。1998年から一般財団法人日本情報経済社会推進協会(JIPDEC)が運営しています。
このマークは、日本産業規格「JIS Q 15001 個人情報保護マネジメントシステム-要求事項」に基づいた基準に適合した事業者のみ使用が認められます。プライバシーマークの使用が認められた事業者はプライバシーマーク付与事業者と呼ばれ、「個人情報」を大切に取り扱う事業者として、ホームページや名刺、ポスターなどにプライバシーマークを使用しています。

個人情報関係の事務を委託する場合

委託先の監督

個人データ(※)の取扱いを他社に任せれば、全責任を回避できるわけではありません。自社に代わって委託先に取り扱わせる以上、自社が果たすべき法的義務を委託先が適切に果たしているか、監督しなければなりません(22条)。

※個人データとは、個人情報保護法における、「個人情報データベース等を構成する個人情報」のことをいいます。 個人情報保護法では個人情報を、「個人情報」、「個人データ」、「保有個人データ」という3つのくくりで分類しています。 「個人情報」は個人を特定できる情報であり、「個人データ」は「個人情報データベース等を構成する個人情報」と定義され、個人情報を検索が可能なように整理したものを示します。具体的には、コンピュータのデータベースで管理された情報も、また紙で管理されている情報でも検索できるように順番に並べてあれば「個人データ」となります。逆にばらばらになったままの名刺などは個人情報保護法で言う「個人データ」ではなく、「個人情報」になります。

ここにいう「委託」とは、契約の種類を問わず、請負契約であっても(準)委任契約であっても、その他の無名契約等であっても、個人情報取扱事業者が他の者に個人データの取扱を行わせることをいいます(個人情報の保護に関する法律についてのガイドライン通則編44頁)。 具体的には、個人データの入力代行、取得代行、印刷代行、分析、システム運用等が挙げられます。

委託先を監督するためには、以下の事項を行う必要があります。

①適切な委託先の選定
②委託契約の締結
③委託先における個人データの取扱状況の把握

①適切な委託先の選定

委託する際には、個人データを適切に取り扱うことが期待できる委託先を選択します。 選定の前には、委託先の基本方針や内部規律(取扱規定)、プライバシーの影響評価(PIA)等を確認し、安全管理措置をはじめ、その委託先が個人データをどのように取り扱うのかを確認します。

具体的なチェックポイントとしては、法律を遵守するための措置が規定されているかを確認したり、適切な安全管理措置が整備されているかを確認することが考えられます。

自社が個人情報保護で苦労している点を委託先がどのように対応しているかを確認してもよいでしょう。

②委託契約の締結

個人情報取扱事業者が個人情報保護法を遵守するのは、契約書に記載がなくても、法律による義務であるので当然です。それよりも、

  • 渡した個人データを何のために利用するのか(具体的な利用目的)
  • 目的外利用を禁止するのかどうか
  • 再委託を認めるのか
  • 外部提供を認めるのか
  • 安全管理措置として事前に約束した事項を遵守すること

等を具体的に契約書に規定しましょう。

また、下記「委託先における個人データの取扱状況の把握」を行うための条項も、契約書上に明記することが必要です。委託先から定期的および随時の報告を受けること、定期的にまたは問題があれば委託先で個人データを取り扱っている場所を実地検査できることなどを規定するのもよいでしょう。

なお、経済産業省による個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインによれば、以下の図表に挙げた項目を盛り込むことが望ましいとされており、改正法下での運用においても参考になると考えられます。

〈個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項〉

〇委託元及び委託先の責任の明確化
・ 委託先において、個人データを取り扱う者(委託先で作業する委託先の従業者以外の者を含む。)の氏名または役職等(なお、委託の実態に応じて、たとえば、契約書とは別に、個人データを取り扱う者のリスト等により、個人データを取り扱う者を把握するなど、適切な対応を行うことが望ましい)。
・個人データの安全管理に関する事項 ・個人データの漏洩防止、盗用禁止に関する事項
・委託契約範囲外の加工、利用の禁止
・委託契約範囲外の複写、複製の禁止
・委託契約期間
・委託契約終了後の個人データの返還・消去・廃棄に関する事項
〇再委託に関する事項
・再委託を行うにあたっての委託元への文書による事前報告または承認
〇個人データの取扱状況に関する委託元への報告の内容および頻度
〇契約内容が遵守されることの確認(たとえば、情報セキュリティ監査なども含まれる)
〇契約内容が遵守されなかった場合の措置(たとえば、安全管理に関する事項が遵守されずに個人データが漏洩した場合の損害賠償に関する事項も含まれる)
〇セキュリティ事件 ・事故が発生した場合の報告、連絡に関する事項

委託先における個人データの取扱状況の把握

委託したら終わりではなく、委託先が適切に個人データを取り扱っていることを把握・確認しなければなりません。定期的に報告を受けるほか、必要があれば即時報告を受けたり、監査や実施検査を行う等の方法が考えられます。
委託先の監督は、従業者の監督と同種のものです。従業者に対する監督義務は、個人情報保護法20条により規定されており、その具体的内容については、次に説明します。

監督義務の具体的内容

「安全管理のための措置」
個人情報取扱事業者の重要な義務の1つに、「安全管理のための措置」をとることが挙げられます。

個人情報保護法は、取り扱う個人データの漏洩、滅失または毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じることを求めているわけです(同法20条)。

経済産業省のガイドラインはさらに施すべき安全管理措置として、次の4つを示しています。

①組織的安全管理措置

個人情報取扱事業者が、安全管理について従業者(正社員、臨時社員を問わず、取締役や理事なども含みます。)の責任と権限を定めるとともに、安全管理の基準となる規程やマニュアルを作り、運用して常に安全管理実施の状況を確認していくことをいいます。

最近では、コンプライアンス(法令遵守)施策の一環として、自社のホームページ上で「プライバシーポリシー」「個人情報保護方針」などを記載することで、個人情報の取扱いを適正に行う旨を表明する事業者が多くあります。

万が一、情報漏洩などの事故が発生した場合に備えておくことも必要です。 具体的な方法としては、

・情報漏洩のおそれのある状況が発見されたときの代表者などへの報告連絡体制の整備
・個人情報の本人に対する報告連絡体制の整備
・漏洩の事実を確認するための調査体制の整備
・被害拡大を防止するためのマニュアルの作成
・情報漏洩など違反行為を行った従業者に対する処罰規定の作成などが挙げられます。

②人的安全管理措置

従業者(従業員など、直接間接に事業者の指揮監督を受けて事業者の業務に従事している者)に対し、安全管理についての啓発や教育、訓練などを行うことをいいます。
具体的には、

・社内に安全管理に関する掲示をする方法や訓示などで再確認する方法などで日常的な啓発を行う
・定期的に研修会を開いて内部規定やマニュアルを確認する
・データベース操作など安全管理に必要な技術の習得について訓練する
・実際に認識が浸透しているかを確認する試験を実施する
などの措置があります。

③物理的安全管理措置

個人情報の所在場所への入退室や、保存している物(ファイル、外部記憶装置など)の管理や、情報そのものに対する安全管理をいいます。
具体的な措置内容としては、

・個人情報を取り扱う場所をパスワード、カードキーなどのセキュリティが施された部屋や建物に限定するといった方法
・机の上に名刺や個人情報を記載したファイルを放置することを禁止する方法 などがあります。

④技術的安全管理措置

個人データや情報システムに対する技術的な安全管理のことです。
具体的には、

・内部規程で定められた従業者の権限に合わせ、個人データなどへのアクセス時にパスワードや生体認証などで制御を行う
・ウイルス対策ソフトを導入し、更新を徹底する
・データの暗号化を行う
・情報システムの使用状況を監視する体制を整える
といったことが挙げられます。

以上を簡単にまとめると、次のようになります。

  1. 組織的安全管理措置

    (1)個人データの安全管理措置について、組織体制の整備、規程の整備、規定に従った運用をする
    (2)個人データの取扱い状況を一覧できる手段を整備する
    (3)個人データの安全管理措置の評価、見直し、改善を図り、事故や違反に対処する

  2. 人的安全管理措置

    (1)雇用や委託の契約時において、個人データの非開示契約を締結する
    (2)従業員に対して、個人データの取扱いについての教育・訓練を実施する

  3. 物理的安全管理措置

    (1)入退室の管理を実施する
    (2)盗難などを防止する
    (3)機器・装置などを物理的に保護する

  4. 技術的安全管理措置

    (1)個人データへのアクセスについて、識別と認証、制御、権限の管理を行う
    (2)個人データのアクセスを記録する
    (3)個人データを取り扱うシステムについて、不正ソフトウェア対策、動作確認時の対策、監視を行う (4)個人データの移送・送信の対策をする

〈安全管理措置の仕組み〉
個人情報保護法が定める4類型は、マイナンバー法ではより厳格化されています。

プレゼンテーション1

マイナンバー法で求められる安全管理義務との関係

マイナンバー法は、個人情報保護法の特別法として位置付けれられていますので、マイナンバー法における安全管理義務も、❶組織的安全管理義務措置❷人的安全管理義務措置❸物理的安全管理義務措置❹技術的安全管理義務措置の4つが示されています。
もっとも、マイナンバーについては個人のプライバシーへの影響が特に大きいことを考慮し、たとえば組織的安全管理義務措置に関して、情報漏洩時の連絡体制の確立が義務付けられるなど、より厳格な安全管理義務が課されています(「3-2.監督義務の具体的内容」参照)。

再委託

個人情報の中でもマイナンバーについては、後述のとおり、委託元の許諾がなければ再委託ができませんが(マイナンバー法10条1項)、マイナンバー以外の個人情報については法律上、再委託は特段禁止されていませんし、許諾も求められていません。

しかし、自社の知らないうちに委託先が更に委託を重ねていく中で再委託先以降から個人データの不正等が発生した場合であっても、自社が委託先の監督責任を果たしていないと評価される可能性があります。

そこで、契約上、再委託以降は委託元の事前許諾を受けた場合に限るとしておいた上で、再委託以降は、委託を行う場合と同様に、適切な再委託先であることを確認して適切な契約を締結し、再委託先以降での個人データの取扱状況を定期的および随時に把握できるようにすることが重要です。

請負を活用するとき

個人情報保護法の中では、労働者の労働情報の管理についても規制しています。

正社員やパートなど、企業に雇用されている労働者の個人情報については、法律の他にも厚生労働省の雇用管理分野における個人情報保護に関するガイドラインにより取扱いが定められています。

請負人は労働基準法や労働契約法で規定される「労働者」ではないため、請負人に関する情報は雇用に関する情報ではなく、厚生労働省が定めるガイドラインの対象にはなりません。 ただし、個人情報であることには変わりありませんので、個人情報保護法の規定に沿って情報を管理しなければなりません。

マイナンバー関係の事務を委託する場合

委託先の監督

委託者は委託先に対して、安全管理措置に関する監督責任を負います。マイナンバー法では、この監督責任について「必要かつ適切な監督を行わなければならない」と規定しています(同法11条)。では、具体的にはどの程度の監督を要求しているのでしょうか。

委託者が負う監督責任の基準は、本来委託者が負担する安全管理措置を委託先においても実施できるか否かです。 つまり、委託者自身が、委託するマイナンバーに関する事務を処理する場合に、義務付けられるレベルの安全管理措置を、委託先が実現できるか否かについて監督を行わなければなりません。
なぜなら、仮に、委託先においてマイナンバーに関する情報が漏洩したような場合には、委託先だけでなく、監督のための十分な措置をとらなかった委託者についても、マイナンバー法に違反したとして責任を追及されるおそれがあるからです。 委託先において、自らが事務をするのと同様の安全管理措置をとっているのかを適切に把握する必要があります。

もっとも、委託者が、マイナンバー法(さらには、ガイドライン)が要求するレベルよりも、高度な安全管理体制をとっている場合も考えられます。 この場合にも、委託者は委託先に対して、自分自身と全く同様の高度な安全管理措置を整えるように監督する責任を負うものではありません。あくまでも、マイナンバー法が定めるレベルの安全管理措置をとるように監督することを怠った委託者に対して、監督責任を追及する趣旨ですので、マイナンバー法が定めるレベルの安全管理措置について監督責任を果たしていれば、監督責任を十分に果たしたものと判断されます。

委託先の選定

選定基準は、マイナンバーに関する情報についての、委託先の安全管理措置のレベルが重要になります。委託によってマイナンバーに関する情報が漏洩しないように、委託者は監督責任を負います。したがって、委託先を選定する場合には、マイナンバーに関する事務を自分自身が処理する場合に、果たすべきレベルの安全管理措置を備えているか否かが必要な基準になります。

委託契約の締結

マイナンバーに関する情報の委託の場合も、先述した個人データの委託の場合と同様の内容を契約書の記載しておくべきです。そうしておけば、委託者が後述の監督責任を行う上で有益でしょう。 なお、個人情報保護委員会による特定個人情報の適正な取扱いに関するガイドラインが参考になります。

〈マイナンバーに関する情報の取扱いを委託する場合に契約に盛り込むことが望まれる事項〉

委託契約の締結については、契約内容として、秘密保持義務、事業所内からの特定個人情報の持ち出しの禁止、特定個人情報の目的外利用の禁止、再委託における条件、漏えい事案等が発生した場合の委託先の責任、委託契約終了後の特定個人情報の返却又は廃棄、従業者に対する監督・教育、契約内容の遵守状況について報告を求める規定等を盛り込むべきです。 また、これらの契約内容のほか、特定個人情報を取り扱う従業者の明確化、委託者が委託先に対して実地の調査を行うことができる規定等を盛り込むことが望ましいです。

委託先におけるマイナンバーに関する情報の取扱状況の把握

マイナンバーに関する情報についても、委託先が適切に個人データを取り扱っていることを把握・確認しなければなりません。個人データの委託の場合と同様に、定期的に報告を受けるほか、必要があれば即時報告を受けたり、監査や実施検査を行う等の方法が考えられます。

そして、マイナンバーに関する情報の委託先への監督が、従業者の監督と同種のものであることも同様です。従業者に対する監督義務は、マイナンバー法11条により規定されており、その具体的内容については、次に説明します。

監督義務の具体的内容

マイナンバー法では、個人情報保護法と同様、マイナンバーに関する情報(特定個人情報)についての安全管理措置について、基本的に4つの安全管理措置を中心にした規定を置いています。具体的には、以下の①~④に分類されます。
なお、中小規模の事業者(※)については、ガイドライン(特定個人情報の適正な取扱いに関するガイドラインに別添の特定個人情報に関する安全管理措置)が設けられています。中小企業は大企業に比べ規模が小さくなることから、特例的な措置としてガイドラインにより、安全管理措置の一部が緩和されています。

※ 中小企業の事業者とは、事業者のうち従業員の数が100人以下の事業者で、金融分野以外の事業者であり、かつ、個人情報取扱事業者や個人番号利用事務実施者等に該当しない事業者であると定義されています。

①組織的安全管理措置

組織的安全管理措置とは、企業等の体制を整えることでマイナンバーに関する情報等が漏洩することを防ぐなどの、適切な体制を整備する方法をいいます。

②人的安全管理措置

人的安全管理措置とは、マイナンバーに関する事務を処理する者に対する監督や教育のことです。

監督とは、マイナンバーに関する事務を処理する担当者に対して、企業側が監督する体制を整えることをいいます。 マイナンバーに関する事務を処理する担当者は、マイナンバーに関する情報の安全管理のために限定されています。 そこで、企業側は事務担当者に対して取扱規程に照らした上で、適切にマイナンバーに関する事務を行っているのかを判断する体制を整えておく必要があります。

また、企業側が、実際にマイナンバーに関する事務を担当する者のみではなく、従業員に対して適正にマイナンバーに関する事務を処理する必要があることを周知しなければなりません。

③物理的安全管理措置

物理的安全管理措置とは、マイナンバーに関する情報を処理するのに用いる機器や電子媒体などの管理等のことです。
電子媒体等の管理等とは、たとえば、電子媒体に含まれる情報のパスワード化や暗号化など、マイナンバーに関する情報が第三者に対して漏洩することを防ぐための措置をとることをいいます。

④技術的安全管理措置

技術的安全管理措置とは、不正アクセスの防止策のことです。

重要なマイナンバーに関する情報についてはアクセスできる者を限定しておくことで、情報の漏洩などを防ぐことができます。 不正アクセスに対しては、企業側のシステム上の備えとして、具体的にはファイアウォールやウイルス対策ソフトを導入するなどの方法をとるなどで安全管理を行います。

再委託

マイナンバーに関する事務の委託を受けた者は、その事務を処理するにあたり、さらに委託元の許諾を条件として他の事務者に対して再委託を行うことができます(同法10条)。

そして、最初の委託者は、委託した個人番号の取扱いについて、再委託以降についても間接的に監督義務を負います(同法11条)。

したがって、再委託を行う場合には、再委託者(もともと委託を受けていた事業者)は、安全管理措置を適正にとることができるかという観点から、再委託先を選定することになります。

国外への委託の可否

以上までは、基本的には国内の事業者を相手にマイナンバーに関する事務を委託する場合を念頭に置いています。

しかし、マイナンバーに関する事務を、国外の事業者に対して委託しようとする事業者もいるかもしれません。マイナンバー制度自体は国内の事業者を対象にした制度ですので、国外の事業者は基本的に対象外ですので、国外の事業者に対する委託の可否が問題となります。

この点について、マイナンバー法は、委託先の事業者が国内のものであるのか、国外のものであるのかによって、異なる扱いを規定しているわけではありません。したがって、委託者が委託先の事業者に対して安全管理措置をとるように監督さえ行えば、委託先の事業者が国外のものであっても許されることになります。

委託先の選定基準についても、国外の事業者の中から選定するのと同様の基準が用いられますので、設備や技術レベル、事業者内部の体制を考慮して、マイナンバーに関する情報について適切な安全管理措置を講じることができるのかという基準を満たせば、国外の事業者に委託が行われる場合もあり得ます。

委託先における情報漏洩

委託先企業の責任

個人情報の取扱いの全部または一部が第三者に委託されている場合、その委託先で情報漏洩が発生したときには、誰が当該個人情報の本人に対して責任を負うのでしょうか。
この場合、委託先企業が当該個人情報を漏洩させたことは、本人に対する関係で不法行為となり得ます。したがって、当該個人情報に対して第1次的に責任を負担するのは、当該情報漏洩を行った委託先企業です。

委託元企業の責任

委託元企業は、①使用者責任(民法715条)や②契約責任を負う場合があります。
使用者責任が認められる要件は、以下の4つです。

①ある事業のために他人を使用していること
②事業の執行につき行われたこと
③第三者への加害
④従業者の選任・監督につき相当の注意をしたこと、または、相当の注意をしても損害が生じたことを、使用者が証明できないこと

①の使用関係の存在については、必ずしも雇用契約の存在を前提としておらず、実質的な指揮・命令関係の有無で判断されています。したがって、法人格の異なる他の企業に対して、個人情報の取扱いを委託する場合であっても、実質的な指揮・命令関係があれば、①の要件を満たすことになります。

後述の宇治市住民基本台帳データ漏洩事件においても、委託元である宇治市は、再々委託先のアルバイト従業員との間に実質的な指揮・監督関係があったとして、使用者責任(民法715条)に基づく損害賠償責任が認められています。 一般的には、委託先企業のみならず委託元企業も損害賠償請求の相手方とされることが多いと考えられます。委託元企業の方が委託先企業よりも大規模であることが多く、被害を受けた本人からすれば、支払者が多い方が、実際に損害賠償を得られる可能性は高いからです。

宇治市住民基本台帳データ漏洩事件(大阪高判平成13年12月25日判例地方自治265号11頁)
これは、京都府宇治市が、その管理する住民基本台帳のデータを使用して乳幼児健診システムを開発することを企画し、その開発業務を民間業者に委託したところ、平成11年5月、再々委託先のアルバイトの従業員が宇治市の全住民約22万人の住民基本台帳データを不正にコピーしてこれを名簿販売業者に販売した事案です。
漏洩したデータは、個人連番の住民番号、住所、氏名、性別、生年月日、転入日、転出先、世帯主名、世帯主との続柄等でした。
名簿業者がさらにこのデータを他に販売するなどしたことに関して、宇治市の住民数名が、当該データの流出によって精神的苦痛を被ったと主張して、宇治市に対し、プライバシー権侵害を理由として損害賠償(慰謝料および弁護士費用)の支払を求めました。請求額は、1人あたり、慰謝料30万円、弁護士費用3万円でした。
大阪高裁は、京都地裁に引き続き個人情報漏洩の責任が使用者である宇治市にあると判断し、宇治市に対し住民に損害賠償をするように命じました。その損害額は、1人あたり1万5,000円と認定され、その内訳は慰謝料1万円、弁護士手数料5,000円というものでした。