見出し画像
Photo by voice_watanabe

業務委託契約の「秘密保持」条項と「個人情報取扱」規定の関係って?

Toshiaki Onda

LINE社の「業務委託」をきっかけに

LINEによる個人情報の取扱に関するニュースが巷をにぎわせています。

#日経COMEMO  

この記事のタイトルの是非はともかく、この件ではLINE社による業務委託先(外注)との関係がひとつ問題になっています。そこで今回は、業務委託契約と、個人情報保護条項の関係について、一見すると似ているようにも見える秘密保持条項との比較を通じてまとめてみたいと思います。

※なお、本記事は、LINE社で今回問題になっている個人情報の取扱に関する問題を契機としたものではありますが、直接この問題について解説したものではないのであしからず。

秘密保持条項で十分なんじゃないの!?

通常業務委託契約を結ぶ場合には、契約内容として、受託先に秘密保持義務を課す「秘密保持条項」が入っているのが一般的です(業務委託契約とは別個に、独立して「秘密保持契約書」を締結しているケースもありますが、ここでは同じ取扱いとして考えます)。条項の内容には様々なバリエーションがあるのですが、ごく簡単な例を挙げれば、こんな条項です。

「本契約において秘密情報とは、甲又は乙が、本目的のため相手方から提供された技術上、営業上その他両当事者の事業に関する一切の情報をいう。」「甲及び乙は、秘密情報を、事前に相手方の書面による承諾を受けることなく、自己以外の者に開示又は漏洩してはならない。」

個人情報を取り扱う業務であれば、その個人情報が「技術上、営業上その他両当事者の事業に関する一切の情報」に含まれる可能性が高そうなことは、容易に想像がつきそうです。 

しかし、日ごろ取り扱う業務委託契約書のなかには、この秘密保持条項とは独立して、「個人情報を本目的以外に使ってはならない」「個人情報を第三者に開示してはならない」などの内容を規定する条項が含まれているケースがあります。

先ほど見たように、「個人情報は秘密情報に含まれる」のであれば、なぜこのような義務が重複して課されるような条項が入っているのでしょうか?

答えは、個人情報保護法のルールにあるのです。

個人情報保護法における「委託スキーム」とは

詳しい解説は別の機会に譲りますが、個人情報保護法では、個人情報(個人データ)を第三者に提供する際には、「あらかじめ本人の同意」を得ることが必要です(§23Ⅰ柱書)。それだけ保護の必要性の高い情報であることは言うまでもありませんよね。

ただそのいっぽうで、個人情報保護法では、取得当初の目的に沿った取扱いを他の事業者に委託することを基本的に許容しています。ただ、無限定ではなく、委託にあたり個人データの安全管理が図られるよう、委託先(受託者)に対する監督義務を果たすことが条件となっています(§22)。

そして、そのような監督義務が機能することを前提として、本来であれば業務委託(平たくいえば「外注」)するにあたって必要な個々人からの同意を、逐一取得しなくてもよいこととされているのです(§23Ⅴ①)。

ここでいう「取扱い」については、個人データの打込の代行や、宅配業者への配送業務委託に伴うようなケースが列挙されることが多いですが、このほかにも取得や分析業務の代行についても、ここでいう委託業務の範疇に入ると考えられています。今回掲げた「業務委託契約」についても、様々な業務を委託するケースが考えられますが、そうなってくると、結構個人情報を取り扱う業務は多いのではないかと思います。

業務委託契約での「個人情報取扱」条項の位置づけ

個人情報保護法の仕組みについて整理してみました。改めていうと、個人情報を取り扱う業務を委託する場合には、個人情報保護法で、「委託先を監督する義務」(§22)が生じることになります。

そして、この監督義務を果たすため、委託者としては、受託者に対して、(個人情報保護法で義務付けられている)監督を受けてもらう必要がありますが、個人情報保護法にはそこまでのルール化はされていません。なので、監督義務を実効性をもって果たすべく、委託者・受託者間のルールを別に定める必要があり、そのルールこそ、業務委託契約における個人情報取扱規定ということができるのです。以下図のようなイメージです。

画像1

個人情報取扱規定の一例

以上のような背景のもと、個人情報取扱規定としては、以下のような文言を入れることが多いかと思います。

「乙は、委託業務に際して甲から個人データの提供を受ける場合、セキュリティその他の観点から合理的に必要と認められる技術水準の体制をもってこれを管理しなければならない。」
「乙は、甲から求めがある場合には、当該個人データの管理状況に関して監査を受け、又は報告を行わなければならず、甲から個人データの管理状況について改善を求められた場合、合理的な理由がない限り、これに従わなければならない。」

実際にどのような監督が適切かは、業務内容や扱う個人データによってだいぶ変わってきます。そのため上記規定の例はあくまでイメージを持っていただくためのサンプルとして捉えていただき、実際には状況に応じ、落としどころを決めていくことになると思います。
あと、上記のような理由があるので、個人情報を取扱う業務委託契約を結ぶ場合には(特に委託者の方は)、この個人情報取扱規定を何かしらの形で盛り込む必要があることについて、強く留意ください。

海外事業者への委託について

最後に1点。個人情報保護法は上記のように、個人情報(個人データ)取扱いに関する「委託スキーム」に関する規定を設け、その規定に従った業務委託契約の書き方があるよ、というお話をしました。しかし、こと海外の事業者への業務委託においては注意が必要です。というのも、個人情報保護法は、外国事業者に個人データを提供するような場合には、原則として、23条の規定を適用しない、と定めています(§24)。23条の規定とは、上記委託スキームのことであり、つまり、海外事業者に対して個人データの取扱を委託する場合には、原則どおり取扱いを委託することについて、本人から同意を得なければならないのです。

今回のLINE社のケースでは、ここまで説明した、業務委託契約上の監督義務が果たされていたのかも問題ですが、この「(外国事業者に業務委託のために個人データを提供することについて)本人からの同意」が得られていたのか(しかも、形式的な同意ではなく、ちゃんと趣旨を理解したうえでの同意だったのか)も問題になりそうです。

来年の改正法施行に向けて

個人情報保護法は来年(2022年)6月までには改正法が施行されますが、日常取引に関連する部分でも多くの改正点があり、ますますその内容の確認には慎重さが求められるところです。業務委託契約書の作り方・読み方ひとつとっても、気にするポイントが増えるという点、気に留めておきたいですね。

この記事が気に入ったらサポートをしてみませんか?