個人情報取り扱いに関する覚書

このセクションでは、個人情報の業務委託覚書が整備されていないことで生じる実際のトラブル事例を整理する。

ECサイト運営会社のA社は、メールマガジンの配信業務をフリーランスのBさんに委託した。A社はBさんに会員10万件のメールアドレスと購買履歴データを渡したが、個人データの取り扱いに関する覚書は作成しなかった。数か月後、Bさんが同データを使って自らが運営する別サービスの宣伝メールを送付していたことが発覚した。A社は個人情報の漏えい・目的外利用として個人情報保護委員会への報告義務が生じ、対象者全員への謝罪対応に追われた。

受託者側にも深刻なリスクがある。Webシステム開発を請け負ったCさんは、クライアントから患者情報データのサンプルを受け取り、テスト環境で使用した。開発終了後もそのデータをローカルPC内に保持していたが、PC盗難により患者情報が流出した。Cさんは個人情報の取り扱いに関する合意書を取り交わしていなかったため、「委託された範囲内での安全管理措置」を立証できず、損害賠償請求を受ける事態となった。

個人データ 取扱 契約の整備が不十分な委託関係では、以下のトラブルが頻発する。委託先による目的外利用、受託者の管理不備による漏えい、再委託先（いわゆる再々委託）による情報拡散、契約終了後のデータ残存、そして漏えい発生時の責任の所在不明確化である。

これらは「悪意」に起因するケースばかりではない。多くの場合は「どこまで使っていいのか知らなかった」「テスト後のデータ削除が漏れていた」「再委託先の管理状況を確認していなかった」という認識不足・管理漏れが原因である。

このセクションでは、個人情報保護法における委託の位置づけと、覚書が法的・実務的に必要な理由を解説する。

個人情報保護法第24条は、個人データの取り扱いを外部に委託する際、委託先に対して必要かつ適切な監督を行わなければならないと定めている。この「監督義務」は、単に覚書を締結するだけでなく、委託先の安全管理措置を継続的に確認することまで含む。

委託者が監督義務を怠った場合、委託先で個人データ漏えいが発生した際に、委託者自身も個人情報保護委員会からの勧告・指導の対象となる。さらに、重大な違反については命令・公表・罰則の対象となり得る。2022年施行の改正個人情報保護法では、個人データ漏えい等が発生した場合の報告・通知義務が強化され、委託者・受託者双方に厳格な対応が求められるようになった。

受託者側からみると、個人情報保護法第24条では委託先も「個人情報取扱事業者」と同等の義務を負う場面がある。具体的には、委託された目的の範囲外での個人データ利用禁止、安全管理措置の実施、従業者への監督、再委託時の委託者への事前承認取得などが求められる。

覚書が存在しない状態では、「どの範囲の個人データを委託されたのか」「どの目的のみ利用可能なのか」「どのレベルの安全管理が求められるのか」が不明確なまま業務が進む。万一、個人データ 取扱 契約に問題が生じた際、委託者は「受託者の管理が不十分だった」と主張し、受託者は「そのような義務は合意していない」と主張して責任のなすり合いになる。

委託先 個人情報の管理責任を明確化し、法令上の要件を満たすためには、業務開始前に覚書を締結することが不可欠である。

このセクションでは、個人情報の業務委託覚書に必ず記載しなければならない内容と、実務的な記載例を示す。

必須項目1：取り扱い目的と範囲の限定

覚書には、個人データを利用してよい目的を具体的かつ限定的に記載する。「本契約に定める業務のために利用する」という包括的な記載では不十分である。例えば「甲が乙に委託するメールマガジン配信業務にのみ使用し、それ以外の目的（他サービスの宣伝、名簿販売、分析等）への利用を一切禁止する」のように、許可される用途と禁止される用途を両方明記する。

取り扱うデータの種別も特定する。氏名・メールアドレスのみか、購買履歴・位置情報・健康情報等の要配慮個人情報を含むかによって求められる安全管理措置が異なるため、対象データを明示することが重要である。

必須項目2：安全管理措置の水準と具体的方法

安全管理措置については、「適切な措置を講じる」という曖昧な記載を避け、実施すべき具体的な措置を列挙する。技術的安全管理措置としては、データの暗号化・アクセス制御（権限管理）・ログ取得・不正アクセス対策が挙げられる。組織的安全管理措置としては、取り扱い担当者の限定・管理台帳の整備・従業員教育が含まれる。物理的安全管理措置としては、施錠保管・廃棄時の確実な削除方法（電子データの場合はワイプ処理等）を規定する。

受託者の事業規模・技術レベルに応じて現実的な措置を定めることが重要である。個人事業主に大企業並みのセキュリティ体制を要求しても実効性がなく、かえって形式的な契約となる。

必須項目3：再委託の可否と承認手続き

個人情報 業務委託 覚書で見落とされやすいのが、再委託に関する条項である。受託者がさらに外部の業者・個人に作業を委託する場合、「委託者の事前承認なしに再委託を禁止する」旨を明記する。

承認を得て再委託を行う場合は、再委託先においても本覚書と同水準の安全管理措置を講じさせる義務を受託者に課す。また、再委託先による漏えい等のトラブルについても、委託者（受託者からみると発注元）に対しては受託者が責任を負う「一次責任の維持」を明記する。

必須項目4：契約終了時のデータ返却・廃棄

業務委託の終了時に個人データをどう処理するかを具体的に定める。原則は「速やかな返却または確実な廃棄」であるが、実務ではこの「確実な廃棄」の証明が問題となる。電子データの場合は、ファイルの完全削除（ゴミ箱からの削除だけでなく、HDDの上書き消去・クラウドストレージからの完全削除を含む）と、完了報告書の提出を義務付ける。

バックアップとして保存されているデータについても、現実的な範囲での廃棄義務を規定する。バックアップサイクル上、すぐに削除できないシステム構成である場合は、その旨を事前に合意しておく。

必須項目5：漏えい発生時の報告義務と責任分担

個人データの漏えい・滅失・毀損が発生した場合または発生のおそれがある場合の報告義務を明記する。改正個人情報保護法では、一定規模以上の漏えいについては個人情報保護委員会への報告と本人への通知が義務付けられている。覚書では、受託者から委託者への報告期限（「発生を知った日から〇時間以内」等）を設定し、委託者が法令上の対応をとれるよう迅速な連携体制を整える。

責任分担については、受託者の管理不備に起因する漏えいの場合は受託者が一次的な責任を負うこと、委託者の指示に起因する問題については委託者が責任を負うこと、を明確化する。損害賠償の上限額設定も実務的に重要な論点であり、業務委託報酬額との均衡を考慮しながら現実的な範囲で定める。

このセクションでは、個人データの委託関係において委託者・受託者それぞれが陥りやすいリスクと、実務的な対策を示す。

委託者側の注意点

委託者が最も陥りやすいのは、「覚書を締結したから安心」という思考停止である。個人情報保護法上の監督義務は継続的なものであり、覚書の存在をもって義務を果たしたことにはならない。

受託者選定の段階から安全管理措置の確認が必要である。特に、委託先 個人情報の管理体制について、事前にセキュリティチェックリストへの回答を求めたり、口頭で確認するだけでなく文書で証跡を残したりする取り組みが重要である。中小規模の受託者の場合、「管理体制はあります」と回答しても具体的な内容が不明確なケースが多い。

最小限のデータしか渡さない（データ最小化の原則）ことも委託者の責務である。マーケティング施策のために顧客全件データを渡す必要があるか、対象セグメントのみで十分かを精査し、不要なデータを渡さないことがリスク低減の基本となる。

覚書締結後も定期的な管理状況確認を実施する。年に1回程度、受託者に安全管理状況の確認票を提出させる、または訪問監査を実施するなど、継続的な監督体制を整える。

受託者側の注意点

受託者が見落としやすいのは、「クライアントから渡されたデータだから、クライアントに責任がある」という誤解である。受託者も個人データを取り扱う以上、安全管理義務を独立して負う。漏えいが発生した場合、その原因が受託者の管理不備にあれば、受託者は委託者だけでなく、場合によっては被害を受けた個人に対しても損害賠償責任を負う可能性がある。

個人データを受け取る前に、目的外利用の禁止・取り扱い範囲・終了後の廃棄方法について明確な合意を得ることが自衛の第一歩である。委託者から覚書が提示されない場合でも、受託者側から覚書の締結を求めることは法的義務の履行として正当な行為である。

再委託を行う予定がある場合は、必ず事前に委託者の承認を取得する。例えばWebデザインを受注し、その一部をライターや外注エンジニアに依頼する場合でも、顧客データを共有する場面があれば再委託の承認が必要となる。承認なしに再委託してデータ漏えいが発生した場合、受託者は委託者に対して全責任を負うリスクがある。

共通チェックリスト

覚書締結前に双方が確認すべき事項をまとめる。

□ 委託する個人データの種別と件数を特定しているか
□ 取り扱い目的が具体的かつ限定的に記載されているか
□ 安全管理措置の具体的内容が記載されているか
□ 再委託の可否と承認手続きが定められているか
□ 契約終了時のデータ廃棄方法と確認手順が明確か
□ 漏えい発生時の報告期限と連絡体制が定まっているか
□ 損害賠償の上限額と責任分担が合理的か

このセクションでは、個人情報の委託覚書を有効に機能させるための、締結後の管理体制と覚書見直しのタイミングについて解説する。

覚書は締結して終わりではない。実際の業務運用が覚書の内容と乖離していないかを定期的に確認する体制が、個人情報保護法上の監督義務を果たすうえで不可欠である。

定期監査と管理状況確認

委託者は、年に1回以上の頻度で受託者の安全管理状況を確認することが望ましい。確認方法は、書面による自己申告（確認票への回答）でもよいが、重要なデータを扱う委託関係では実地確認（訪問監査）も検討する。確認した結果は記録として保存し、問題が発見された場合は改善指示と期限を設定する。

受託者側は、個人データの取り扱い台帳を整備し、どのデータをいつ受け取り、どのように保管・利用し、いつ廃棄したかを記録する。この台帳は、監督義務の履行証跡としても機能する。

インシデント発生時の対応フロー

個人データの漏えい・滅失・毀損が発生した場合、受託者は直ちに委託者へ報告する。報告遅延は委託者の法令対応（個人情報保護委員会への報告・本人通知）を妨げるため、覚書で定めた報告期限を厳守する。

報告内容には、漏えいの概要（いつ・何件・どのような情報）、原因（判明している範囲）、被害拡大防止のために取った措置、今後の対応予定を含める。口頭報告後に書面でも報告する二段階の報告体制を覚書に明記しておくと、実務運用がスムーズになる。

委託者は受託者からの報告を受けた後、必要に応じて個人情報保護委員会への報告（漏えい等報告）、被害を受けた可能性がある個人への通知、プレスリリースなど外部への情報開示を検討する。これらの対応方針について、事前に覚書の附則またはインシデント対応マニュアルとして整備しておくことで、有事の対応速度を高めることができる。

覚書の見直しタイミング

以下のいずれかに該当する場合は、覚書の内容を見直す。委託業務の内容変更（取り扱うデータの種別・件数の増減）、受託者の組織変更・事業体制の変化、法令改正（個人情報保護法・関連ガイドライン）、新たな技術的リスク（クラウドサービスの変更等）、前回締結から2年以上が経過した場合が主な見直しトリガーとなる。

特に個人情報保護法は改正が続いており、2022年改正では漏えい等報告義務の強化、越境データ移転規制の明確化、個人の権利強化（利用停止・削除請求）などが盛り込まれた。委託覚書が最新の法令要件を満たしているかを定期的に確認し、必要に応じて更新する。

個人情報 業務委託 覚書は、単なるリスク回避のための書類ではない。委託者・受託者双方が個人データの扱いについて共通認識を持ち、万一のトラブル時にも速やかに連携できる基盤として機能する。業務開始前の適切な覚書締結と、締結後の継続的な管理体制の整備が、個人情報を預かる業務を担うすべての当事者に求められる実務の要諦である。