例えば、情報処理会社に自分の会社の有している個人データの入力、編集等の処理を行う事を依頼することが挙げられます。

このような委託は、ひんぱんに行われています。

安全管理とは、委託先に委託された個人データが漏れたり、滅失、毀損することを防止するために必要な措置が行われていることを意味します。

　                    ↑
委託先のシステム管理は大丈夫でしょうか！　

③ 委託を受けた者に対する必要かつ適切な監督を行わなけばならないとは
委託を受けた者とは、委託元の個人事業取扱業者から個人データの処理を依頼された者であり、個人情報取扱事業者であってもなくてとよいとされています。

④ 必要かつ適切な監督とは、委託先を適切に選び、第
２０条の管理措置を守らせるために契約を締結する、委託先の個人データの取扱い状況をきちんと把握することなどをいいます。

具体的には、基本契約の他に秘密保持契約を結び、個人情報の委託を受けた際に知る事のできた秘密の保護、委託先の会社からの個人データを持ち出すことを禁止する。

委託が終わった時に、データの返還や消去、再度の委託の禁止等を契約に規定することです。

また、これらの内容を盛り込んだ契約の内容がきちんと守られているかを委託した会社等に確認することも必要です。

（２）委託した会社等の監督の重要性
① 会社、個人事業主の方々は個人情報取り扱いを外部の会社等に委託している事は多く行われいます。
　　
個人情報保護法は、委託先の会社等に対して「必要かつ適切な監督」義務が課されています。

この監督を行うについて基本になるのは、秘密保持契約（ＮＤＲ）です。

個人情報の引渡しを内容とする業務の委託を行う場合には、守秘義務の範囲や再委託の禁止等の個人情報法の規定する条文の内容を盛り込んだ契約（秘密保持契約）を締結することによって、個人情報の受け渡す側（委託元）と受け取る側（委託先）のお互いの責任の範囲をはっきりさせておく必要があります。

企業の法務部に在職していたときには、契約書の中に一つの条文に個人情報の保護に関する内容が規定された契約書が数多くありましたが、個人情報保護に関する契約書としては、非常に曖昧で不充分なものでした。

★ 相手方の作成した秘密保持条項や秘密保持契約には、相手方に有利な内容になっており、こちらにとっては不利な内容になっています。

 極端な例として、秘密を保持する期間について契約終了後の制限がない条文がありました。

 現に効力を有している契約書に個人情報保護の条項がないときは、個人情報が漏れたときの対応に困ります。そこで、交渉により秘密保持条項を契約書に追加、補充してもらう若しくは、契約を更新する場合に秘密保持条項を追加する、基本契約の他に新たに秘密保持契約を締結するとの対応が必要です。

しかし、相手方がこのような条項の追加等に応じてくれるかは、疑問があります。

　　
② 個人情報を契約の相手方に引渡し場合、個人情報を引渡した委託元の会社が委託先の監督を怠ったことにより、個人情報が委託先から漏れ、または不正利用されたときは、個人情報を委託した個人情報取扱事業者は、委託先の会社等に対する監督責任に違反したとみなされる可能性があります。

★ 個人情報保護法の委託先に対する監督責任に違反した場合、主務大臣は勧告・命令を発令し、具体的に事情によっては、懲役・罰金の刑罰が科せられます。

  なお、個人情報などが漏れるケースとしては、統計的に正社員、嘱託社員、派遣社員、パート、アルバイトを問わず内部者による持ち出しの場合が一番多いとされています。

報道でも内部者による持ち出し、漏えいがよく報じられています。

また、個人情報を引渡した委託先から個人情報が漏れるケースも数多くあり、裁判上で争われています。その結果は、委託した方、つまり委託元である会社等が敗訴しています。 

  　　　　　　　↑

内部者による個人情報などの持ち出し　

 
　このように個人情報が委託先の会社等から漏洩した場合に備えて、個人情報ば漏れたときの当事者の対応、責任の範囲、損害賠償等を詳細に定めた秘密保持契約を結び、法的リスク回避することに秘密保持契約の目的があります。

 ★ 貴社の契約書にある秘密保持の条文は大丈夫でしょうか？

 自社、自己の大事な個人情報について、わずか１条〜２条の条文で個人情報保護に関する内容を済ませておりませんか！

 例えば、次のような条文です。秘密情報の定義や契約終了後、漏えい等の対応の内容がありません。

↓

　第○○条（秘密保持）
甲及び乙は、本契約の履行に関連して知り得た相手方及び相手方の取引先等に関するすべての秘密情報を相手方の書面による承諾なくして第三者に開示または漏洩してはならない。

【こだわり1】　上記の内容では、個人情報保護法及びガイドライン上だけではなく、コンプライアンス（法令遵守）上も問題があります！　　　　　

 【こだわり2】　当事務所では、業務委託契約等の基本契約とは別個にＡ４版に４〜５頁位に渡り詳細な秘密保持契約書を作成致します。 

【こだわり3】　秘密保持契約のご相談・作成は、会社の法務部責任者として豊かな個人情報に関する実務経験があり、数多くの相手方会社と個人情報について交渉経験ある当事務所にご相談ください。

  個人情報支援サービスのご案内はこちらをクリック

 ご依頼・ご相談・フォームはこちらをクリック

　         ▼▼お電話でのご依頼・ご相談はこちら▼▼　　　　　　　

なお、個人情報が誤った取り扱いをされたり、また、振り込め詐欺等の犯罪行為に利用されたりします。

お年寄りや若者を問わず、個人に重大な被害を及ぼすことはニュースにより明らかです。

また、現在は、個人情報を利用したさまざまな犯罪が増えています。

このような会社の状況を踏まえ、ＩＴ社会、情報通信社会の利益が受けられるように、また、個人情報の適正な取扱いを求め個人情報保護法が制定されました。 

 個人情報を悪用され犯罪被害に悩む男性

　（２）個人情報とは
　個人情報との言葉は、日常生活においてひんぱんに耳にします。また、個人情報との言葉の内容を意識しないで使用してします。そこで個人情報とは何かを検討したいと思います。

　　
　① 個人情報の定義
　個人情報とは、「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」を言うとされています（個人情報保護法第２条１項）。

　さらに、他の情報と容易に照合することができ、それにより、特定の個人を識別することができるものも含まれます。

　つまり、ある情報が特定の個人と結びつき特定の個人と分かる情報は個人情報とされます。

　個人情報は、氏名、性別、生年月日等の個人を識別する情報のみならず個人の身体、財産職種、肩書等の事実や判断、評価を表わすべての情報をいいます。

　電話帳、紳士録等の公刊物によって公開されているか否かは問わないとされています。
　　
　また、個人に関する情報 であるため、会社やその他の団体の情報、会社の財務情報は含まない事になります。

　　　　【個人情報にあたる具体例】
 ａ 本人の氏名、生年月日、連絡先（住所・電話番号・メールアドレス等）、会社での職位または所属に関する情報について、それらと本人の氏名と組み合わせた情報

 ｂ 特定の個人であると分かるメールアドレス

 ｃ 防犯カメラに記録された映像、音声で本人と特定される場合

 ｄ 履歴書などに記載された雇用管理情報ー人事上の評価も含まれます

 ｅ 電話帳、官報、録員録等で公にされている情報

 ｆ 特定の個人と結びついた通称、雅号、屋号、芸名、更に看護記録、カルテ、検査記録に記載された診療情報、電話・携帯電話の通話記録、また社員番号のようにそこからある社員の検索が容易であり、特定の個人の識別、判別がすることが可能な情報　　　　　　　　　　　　　　　　　　　　　

　ａ 個人情報データベース等
個人情報データベース等とは、個人情報を含む情報の集合体を意味します。
例えば、特定の個人情報を、パソコン等を用いて検索することができるように体系化したものです。

また、データベースで特定の個人情報を容易に検索できるように体系的に構成したものとして政令に定めされているもの、例えば、五十音順、アルファベット順、日付け順等で並べらられており、どこに何があるのかが検索できる状態であれば、パソコンを用いなくなくとも該当するとれています。

　　　　　　　⇑

　　紙のファイルバインダー

氏名の五十音順に並べれている名刺ホルダー、紙のファイルバインダー、日付順に綴られている申込書等です。

  ｂ 個人データ
　個人データは、個人情報データベース等に含まれる個々の個人情報のことです。

　例えば、個人情報データベース等から他の媒体にコピーしたバックアップ用の個人情報、名刺ホルダーに綴られた中にある一枚の名刺です。

　ｃ 保有個人データ
　保有個人データとは、個人データのうち、本人からの開示、訂正、利用停止等の請求の対象となるものです。つまり自らが追加、削除等を行う管理権限を持っている個人データです。

　以上のように、個人情報の中の一部が個人データであり、個人データの中の一部が保有個人データとされています。これらのデータはそれぞれ個人情報保護法によって課されている義務の内容が異なっています。

　従って、個人情報に関する漏洩等の法的リスクを回避するには、必要な個人情報のみ取得し不要になった個人情報は直ちに廃棄する等の取り組みが必要です。

 （３）個人情報取扱事業者
　個人情報保護法２条３項は、個人情報保護法上の義務を負うべき個人情報取扱事業者を定めています。

　国の機関、地方公共団体、独立行政法人等は除かれています。

　個人情報取扱事業者とは、民間事業者のうち「個人情報データベース等を事業の用に供している者」は、すべて個人情報取扱事業者になります。

　
★個人情報取扱事業者は、当然に個人情報保護法の要求する義務を守らなければならないのですが、たとえ個人情報取扱事業者にあたらない場合でも、個人情報保護法の規定を守ることが　コンプライアンス上から、信用の失墜、お客様離れを防ぎ、民事上の責任を回避すためにも重要です。

　（４）個人情報取扱事業者の義務
　① 利用目的の特定（第１５条）
　個人情報を利用するときは、利用目的をできる限り特定しなければならないとされています。
　例えば、「事業活動に使用するため」という内容では、具体的に使用目的を特定しているとは言えません。

 ② 利用目的による制限（第１６条）

 あらかじめ本人の同意を得ないで、利用目的の達成のために必要な範囲を超えて個人情報を取り扱うことはできないとされています。

例えば、商品を送るという利用目的で取得した住所、氏名、電話番号等をダイレクトメールを送るために利用することは、本条に抵触すると言えます。

③ 適正な取得（第１７条）

偽りその他不正な手段によって個人情報を取得してはならないとされています。

例えば個人情報が記載されている名簿を盗んだり、詐欺や脅迫によって個人情報を得る場合です。

また、ネットを通じて不正アクセスによって個人情報などを取得する場合です。

不正アクセスは、ニュースで数多く報道されています。

ネットによる不正アクセスよる個人情報の漏えい

④ 取得に際しての利用目的の通知（第１８条）
　個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに
　その利用目的を、本人に通知し、又は公表しなければならない、とされています。

　⑤ 安全管理措置（第２０条）
　取り扱う個人データの漏洩、滅失又はき損の防止その他個人データの安全管理のために必
　要かつ適切な措置を講じなければならない、とされています。

  因みに、安全管理措置には、組織的安全管理措置、人的安全管理措置、物理的安全管理措置
  技術的安全管理措置があります。

⑥ 従業員の監督(第２１条）

　従業者に個人データを取り扱わせせるに当たっては、当該個人データの安全管理が図れるように当該従業者に対する必要かつ適切な監督を行わなければならない、とされています。

従業者に対する監督は、個人情報保護について教育が代表的です。具体的には、ａ 個人情報研修の実施 ｂ 個人情報マニュアルの配布 ｃ 仕事に関する個人情報の疑問点の解消等があります。

また、受講後にテストを行い理解度の確認を行います。
 

 ← 従業員に対する個人情報教育

　⑦ 委託先に監督（第２２条）
　個人データの取り扱いの全部又は一部を委託する場合は、取り扱いを委託された個人データの安全管理が図られるよう委託を受けた者に対する必要かつ適切な監督を行わなければならない、とされています。

　個人第情報のデータ入力、商品の配送等を第三者（例えば別の会社）に委託することは、多く行われていますが、委託した者は、委託先に対して監督義務が義務が課されています。

　例えば、秘密保持契約を結び、再委託の制限や守秘義務、事故発生の場合の対応等を定めておく必要があります。

 ⑧ 第三者提供の制限（第２３条）
　あらかじめ本人の同意を得ないで、第三者に個人データを提供することはできない、とされています。

　しかし、ａ 委託先への提供　ｂ 合併等の提供　ｃ グループによる共同利用の場合は、第三者提供に該当しないとされています。

　⑨ 保有個人データの開示（第２５条）
　本人からの求めに応じて、保有個人データを開示しなければならない、とされています。

　因みに、開示しなければならない範囲は、本人が求めて来た範囲とされています。

　⑩ 保有個人データの訂正（第２６条）
　保有個人データに誤りがあるときには、本人からの求めに応じて、訂正、追加又は削除を行わなければならない、とされています。

  ⑪ 保有個人データの利用停止（第２７条）
　利用目的による制限、適正な取得に違反している等、個人情報保護法違反を理由に本人から利用停止又は消去を求めらた場合は、利用停止又は消去を行わなければならない、とされています。

　⑫ 苦情処理（第３１条）
　本人から苦情の申出があった場合には、個人情報の取扱いに関する適切かつ迅速な処理につとめなければならない、とされています。

　また、本人からの苦情を適切かつ迅速に処理するため必要な体制の整備に努めなければならない、とされています。

　例えば、ダイレクトメールを発送した場合、何故、自分の住所・氏名を知っているのか、さらに、どうやって、自分の個人情報を手に入れたのか等との問い合わせが来た場合には苦情受付窓口の設置、クレーム処理規則の制定を行ったうえで、適切に処理していかなければならないとされています。。

個人情報支援サービスのご案内はこちらをクリック

　　  ▼▼お電話でのご依頼・ご相談はこちら▼▼ 　　　　

　　TEL ： 03-4360-8630

　　メールアドレスはこちら：m.isogai@s6.dion.ne.jp

　　ご不明な点、疑問な箇所は遠慮なくご連絡ください。

 （５）個人データの第三者への提供

① 個人情報取扱事業者は、あらかじめ本人の同意をえないで個人データを第三者に提　供してはならないとされています（個人情報保護法第２３条）。

　個人情報に関する問題で比較的多く問題になるのが、第三者への提供です。

　会社に良く、取引先から営業の○○さんの住所・電話等の連絡先を教えて下さいとの電話やメールが来たことはありませんか！

　自社の営業部の○○さんの住所・電話等の連絡先を取引先のお得意さんから問い合わせ
　があった場合、お得意さんだから教えてしまって良いのでしょうか？

　個人情報保護法２３条１項の趣旨は、本人が個人情報取扱事業者と直接にやり取りする個
　人データについては、どの事業者がどのような個人情報を保有し利用しているか、本人が自
　分で管理することができます。

 　ところが、本人の知らないところで個人情報を預けたある事業者から第三者（例えば別の会
 　社）に個人情報の提供が行われた場合には、本人は自分で個人情報の管理ができないことな　
 　ります。

　これを防止するために、本人の同意が必要とされています。　

　 自分の預けた個人情報が、勝手に他の会社、他の個人事業主に渡っているとしたら、気分が悪
　 いですし、悪用されないか心配になります。

　 もっとも、ここであらかじめ本人の同意を必要とするは、個人データとされています。

　 これは、個人データは個人情報データベース等を構成しているため容易に検索できるために第三
  　者に提供する機会が多いことによります。

　② 個人情報取扱事業者は、あらかじめ本人の同意がなければ個人データを第三者に提供すること
　はできないとされています。

　ここで「あらかじめ」とは、第三者に対する個人データが提供される前を意味します。

　第三者とは、個人情報を提供しようとする個人情報取扱事業者及び本人のいずれにも該当
　しない者をいいます。第三者は、法人、個人を問わないとされています。

 ★ 第三者提供の例外
 （１）個人データを第三者に提供する場合は、あらかじめ本人の同意が必要とされています
　（個人情報保護法第２３条）。
　ところが、例外として以下の場合は、本人の同意が不要とされ第三者に提供することができ
　るとれています。個人データの第三者提供には当たらないとされています。

　① 個人情報保護法第２３条１項の定める場合

　ａ 法令に基づく場合

　例えば、警察の捜査関係事項照会に対して回答する場合や令状による捜査があります。

 また、税務署に対する支払調書の提出も該当します。

　ｂ 人の生命、身体又は財産の保護に必要な場合

例えば、事故や災害のように緊急時に負傷者の情報を医師や看護師に提供する場合です。

ｃ 公衆衛生、児童の健全育成に必要な場合。
　例えば、疫学的な調査の場合です。

ｄ 国等に協力する場合
　例えば、事業者が税務署の税務調査に協力して個人情報を提供する場合です。

　また、警察の任意の求めに応じ個人情報を提供することも該当します。

　② 個人情報保護法第２３条２項の定める場合
　本人の求めにより提供停止を行う場合。

　③ 個人情報保護法第２３条４項の定める場合
　ａ 業務委託の場合
　例えば、業務の全部または一部を委託する場合。なお、委託した個人情報取扱事業者は、
　委託した第三者に対して管理義務、監督義務を負います。

　ｂ 事業承継の場合
　合併、事業譲渡、分社化によって承継された場合。もっとも、個人データの利用は、当初
　の利用目的の範囲内に限定されます。

　ｃ 共同利用の場合
　共同利用する者の範囲、利用目的等をあらかじめ明らかにして、プループによる共同利用を
　をする場合。例えば、グループ企業でトータルなサービスを提供する場合です。

 （６）個人情報保護法上の罰則
　個人情報保護法に違反した場合、罰則の規定がありますが、直ちにが罰則が適用されるのではなく
　一定の手続きが規定されています。

 （７）個人情報が漏洩した場合
　① 法律上の責任
会社の役員、従業員等によって個人情報が漏れた場合には、個人情報を預けた本人から債務不履履行に基づく損害賠償請求（民法４１５条）、不法行為に基づく損害賠償請求（民法７０９条）会社の使用者責任に基づく損害賠償請求（民法７１５条）を受ける事があります。

　特に、氏名、年齢、住所、健康状態、家族構成、続柄等の微妙な個人情報が漏れた場合には、はプライバシー侵害とされる恐れがあります。

個人情報を漏えいされ抗議する男性

　個人情報について、安全管理措置（第２０条）従業員の監督（第２１条）委託先の監督（第２２
　条）を怠り、主務大臣から違反に対する勧告・命令を受けたにもかかわらず従わないときは、
　６カ月以下の懲役または３０万円以下の罰金に処せられ可能性があります。

　　
　個人情報の漏えいは、圧倒的に会社内部の人間による漏えいが多いとされています。

これは、従業員に対する教育、個人情報の適切な管理体制の構築や運用で防ぐことができます。

　　
　② 社会的な責任
　個人情報が漏れた場合、会社の社会的信用が失われ、会社のイメージが低下しお客様離れが著しくなります。ブランド価値の低下となります。

　大事な自分の個人情報を漏らすような会社では、信用されませんし、お客として取引をしようとは思われないです。
　これまで地道に築き上げてきた会社のイメージは低下し売り上げは著しく落ちます。

★ このような不利益、法的リスクを避けるためには、自社の個人情報を洗い出し、リスク分析を行い、評価した結果を前提に経営的立場からリスク対策を考えることがポイントです！

【強み1】　個人情報については、企業の法務部において個人情報管理責任者として個人情報に関する実務経験があります。

【強み2】　プライバシーマーク取得プロジェクトチームに参加しプライバシーマークを取得しました。
　　

【強み3】　プライバシーマーク内部監査人、ＩＳＭＳ内部監査人として内部監査の経験があります。

【強み4】　個人情報保護士の資格を保有しております。

　個人情報に関する諸問題,個人情報保護体制の社内構築は、当事務所にお任せください。

個人情報支援サービスのご案内はこちらをクリック

ご依頼・ご相談・フォームはこちらをクリック