委託先リスク管理Blog

業務委託における委託元と委託先の個人情報の取扱いについて解説

本記事では、業務委託における委託先の個人情報の取扱いについて、以下の3点について解説します。

  • 委託先であっても委託元が個人情報を提供する場合には本人の同意が必要なのか
  • 委託先における個人情報の取扱いについて責任を負う義務はあるのか
  • 委託先は委託に伴って提供を受けた個人情報を利用できるか

 

目次
1. 委託先であっても委託元が個人情報を提供する場合には本人の同意が必要なのか
■個人情報の定義
■第三者の定義
2. 委託先における個人情報の取扱いについて委託元が責任を負う義務はあるのか
3. 委託先は委託に伴って提供を受けた個人情報を自由に利用できるか
■個人情報の統合・突合
4. まとめ

1. 委託先であっても委託元が個人情報を提供する場合には本人の同意が必要なのか

委託元が保有する個人情報を委託先へ提供する場合、本人の同意は必要ありません。


なぜなら、委託先が業務を達成することを目的として個人情報を委託先へ提供する場合、委託先は第三者に該当しないと個人情報保護法27条5項1号に明記されているからです。

5 次に掲げる場合において、当該個人データの提供を受ける者は、前各項の規定の適用については、第三者に該当しないものとする。

一 個人情報取扱事業者が利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合

引用:個人情報保護法27条5項1号

 

通常の場合であれば、第三者へ個人情報を提供する場合、個人情報保護法27条に基づき、本人の同意を得る必要があります。

個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

引用:個人情報保護法27条

 

一方、委託先へ委託元が保有する個人情報を委託先へ提供する場合には、本人の同意は不要です。

ただし、委託先であれば無条件に個人情報を提供できるわけではありません。


「個人情報の委託に伴う提供」をする場合のみ、本人の同意が不要となります。

「個人情報の委託に伴う提供」に該当するのは以下のようなケースです。

  • 顧客の氏名や住所等をダイレクトメールの発送業者に伝える場合
  • 外部事業者を利用して、個人情報データベース等に含まれる相手の氏名、住所等宛に荷物等を送付する場合
  • 調査を依頼した事業者に個人データの取扱いに関する権限が付与されている場合

参考資料:「個人情報の保護に関する法律についてのガイドライン」 に関するQ&A

 

 

■個人情報の定義

個人情報は、個人情報保護法第二条で定義されています。


個人情報に該当するのは以下のいずれかに該当する情報です。

  • 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
  • 個人識別符号が含まれるもの

引用:個人情報保護法2条

 

個人情報保護法第二条に記載されている「個人識別符号」とは、特定の個人を識別することができるものとして政令に定められた、以下のような文字、番号、記号その他の符号です。

  • 身体の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号
  • 証明書にその発行を受ける者ごとに異なるものとなるように記載された文字、番号、記号その他の符号
  • 旅券の番号等に準ずる文字、番号、記号その他の符号

引用:個人情報の保護に関する法律施行規則

 

 

■第三者の定義

個人情報保護法における「第三者」とは、以下に該当しない者です。

  • 当該個人データによって特定される本人
  • 当該個人データを提供しようとする個人情報取扱事業者

 

 

2. 委託先における個人情報の取扱いについて委託元が責任を負う義務はあるのか

委託元が委託先へ個人情報を提供する場合、委託先が個人情報をどのように取り扱うか監督する義務があります。

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

引用:個人情報保護法25条

 

委託先が行った行為だからといっても、委託元が無関係でいられるわけではありません。

委託元が委託先に対して個人情報を安全に管理するように指示・指導しなかったり、業務が終わった後に個人情報を削除するように指示しなかったりした場合、委託先の管理が不十分だとみなされる恐れがあります。


委託先の管理が不十分だとみなされた場合、委託先が行った行為についても委託元が責任を負う必要があります。


個人情報に関する委託先の監督義務は主に以下の3つです。

  • 適切な委託先の選定
  • 委託契約の締結
  • 委託先における個人データ取扱状況の把握

 

委託先の選定においては、委託先に対する安全管理ができているかを確認するため、以下の項目が実施されているかをあらかじめ確認しておく必要があります。

  • 基本方針及び取扱規程等の策定
  • 組織的安全管理措置
  • 人的安全管理措置
  • 物理的安全管理措置
  • 技術的安全管理措置

 

また、委託先と業務委託契約を締結する際に以下のような個人情報の管理についても盛り込み、委託元が委託先の個人情報取扱状況を把握することが重要です。

  • 委託先が再委託する条件
  • 再委託先の個人情報管理
  • 業務委託契約期間終了後の委託先の個人情報の取り扱い
  • 業務委託契約期間終了後の個人情報の返却又は廃棄

 

個人情報の取り扱いの具体例

  • 業務委託契約期間終了後に提供したデータを破棄するように委託先へ指示する
  • 委託先へ提供した個人データのコピーを禁止する
  • Googleスプレッドーシートで個人データを提供し、業務委託契約期間終了後にアクセス権を削除する

参考資料:

個人情報取扱事業者等に係るガイドライン 3-4-4 委託先の監督(法第25条関係)

(別添)特定個人情報の適正な取扱いに関する安全管理措置

 

 

3. 委託先は委託に伴って提供を受けた個人情報を自由に利用できるか

業務委託において委託元から個人情報の提供を受けた場合、委託先が個人情報を利用できるのは、委託元からの業務委託で必要な作業のみです。


たとえば、A社・B社・C社からそれぞれ個人情報の提供を受けている場合、A社の業務においては、A社から提供された個人情報しか使用できません。

A社から提供された個人情報をB社・C社の業務で使用したり、委託先が自身の事業のために個人的に使用することは禁止されています。


委託先が上記のような目的で個人情報を使用した場合、委託元は委託に伴う個人情報の提供ではなく第三者への個人情報の提供だとみなされてしまう恐れがあります。

 


■個人情報の統合・突合

委託元が委託先へ提供した個人情報と、委託先がもともと所有していた個人情報を組み合わせて(突合して)業務を行った場合、委託に伴う個人情報の提供ではなく第三者への個人情報の提供だとみなされてしまう恐れがあります。


委託元が委託先へ提供した個人情報だけで作業するのは問題ありませんが、委託元が委託先へ提供した個人情報と、委託先がもともと所有していた個人情報が組み合わされることで新たな個人情報が生成され、その個人情報を元に作業する場合、「委託に伴う提供」とみなされなくなるわけです。

参考資料:委託に伴って提供された個人データを、委託先が独自に取得した個人データ又は個人関連情報と本人ごとに突合することはできますか

 

 

4. まとめ

今回は、業務委託における委託先の個人情報の取扱いについて解説しました。


業務委託で委託先へ個人情報を提供する場合、本人の許可を得る必要はありません。

一方、委託先が不適切に個人情報を取り扱った場合、委託元の管理が不十分だったとみなされ、委託元が責任を負う場合があります。

委託先へ個人情報を提供する際には、個人情報保護法やガイドラインを確認し、適切に委託先を監督することを心がけましょう。

 

アトミテックでは、委託先管理に関するコンサルティングサービスを提供しています。

必要性は認識しているが何からやったらわからない、改善したいがナレッジがない、といったお悩みがございましたらお気軽にご相談ください。