Pマークを取得している会社とは個人情報保護に関する覚書を締結することは必須なのでしょうか?
Pマークを取得している会社とは個人情報保護に関する覚書を締結することは必須なのでしょうか?
また、委託業務がない場合は個人情報保護に関する覚書の締結は不要になりますでしょうか。
「個人情報の委託」が発生する場合は、個人情報保護に関する契約(または覚書)の締結は「必須」
結論から申し上げますと、相手企業がプライバシーマーク(Pマーク)を取得しているからといって、必ずしも覚書を締結する必要はありません。
重要なのは、「個人情報の委託」が発生するかどうかです。
「個人情報の委託」が発生する場合は、相手企業がPマークを取得しているかどうかに関わらず、個人情報保護に関する契約(または覚書)の締結は「必須」となります。
なお、委託業務が全く発生しない(個人情報の受け渡しがない)のであれば、原則として締結の必要はありません。
1. 法律上の義務(個人情報保護法)
個人情報を委託する場合、委託元は委託先に対して「必要かつ適切な監督」を行う義務があります(第25条)。
(委託先の監督)
第25条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
「個人情報の保護に関する法律」より
なお、「個人情報の保護に関する法律についてのガイドライン」(3-4-4 委託先の監督)では、必要かつ適切な措置として、「委託契約の締結」が挙げられており、ガイドラインで「しなければならない」及び「してはならない」と記述している事項について、これらに従わなかった場合、法違反と判断される可能性があります。
3-4-4 委託先の監督(法第25条関係)
取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含む。)等に起因するリスクに応じて、次の(1)から(3)までに掲げる必要かつ適切な措置を講じなければならない。
- (2)委託契約の締結
- 委託契約には、当該個人データの取扱いに関する、必要かつ適切な安全管理措置として、委託元、委託先双方が同意した内容とともに、委託先における委託された個人データの取扱状況を委託元が合理的に把握することを盛り込むことが望ましい。
「個人情報の保護に関する法律についてのガイドライン」より
よって、実務上、この監督責任を果たすためには契約(覚書)で安全管理措置を約束させることが不可欠です。
2. Pマークのルール(JIS Q 15001)
Pマークを取得・維持するためには、委託先を選定し、評価し、「個人情報の取扱いに関する事項」を盛り込んだ契約を締結することが明確なルールとして定められています。
A.12 委託先の監督
- b) 組織は,個人データの取扱いの全部又は一部を委託する場合,特定した利用目的の範囲内で委託契約を締結しなければならない。
「JIS Q 15001:2023」より
なお、Pマークは「その会社が適切に管理する体制がある」ことを証明するものですが、「あなたの会社のデータをどう扱うか」を約束するものではありません。
よって、「個人情報の委託」が発生する場合は、個別の契約(覚書)で、事故時の報告ルートや再委託の可否を明確にする必要があります。
3. 委託業務がない場合は不要か?
原則として不要です。
例えば、単なる物品の購入や、個人情報のやり取りや共有、預けたりすることが無い業務であれば、必要ありません。
なお、以下のような場合は、「業務委託」に該当するため、覚書が必要になります。
- 名刺の発注やDMの発送代行
- システムの保守メンテナンス(本番データを見る可能性がある)
- SaaS(クラウドサービス)への顧客データの入力 など
「個人情報の保護に関する覚書」は、あくまで情報の授受に伴うリスクを管理するためのものです。
契約が必要かどうかを判断に迷う場合は、「個人情報を預ける(委託する)のか?」または「個人情報を共同利用するのか?」を確認し、どちらかに当てはまる場合は、契約を締結するようにしてください。
4. 契約書本体に含まれている場合
もしメインの「業務委託契約書」の中に、個人情報の取扱い(機密保持、安全管理、再委託の制限など)に関する条項があれば、別途「覚書」という形で切り出す必要はありません。
ただし、Pマークの審査に対応する場合には、契約書の内容が、JIS Q 15001:2023の「A.12_委託先の監督」のe)項を満たす必要がありますので、ご注意ください。
まとめ
個人情報保護に関する覚書を締結すること自体は、Pマークの取得の有無は関係なく、「個人情報の委託」が発生するかどうかに関係します。
なお、契約は口頭の合意だけでも成立しますが、個人情報保護法が求める「必要かつ適切な監督」やマイナンバー法の適用を効果的に行うため、そして自社の責任とリスクを最小限に抑えるためには、個人情報保護条項などを盛り込んだ覚書や業務委託契約書などによる締結が実質的に不可欠だと思われます。
契約書がない状態での個人情報の委託は、法的(個人情報保護法やマイナンバー法の適用)なリスクを著しく高める行為になる可能性があるので、注意が必要です。
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
