個人情報の取扱いに関する覚書のポイント

Contents

１　はじめに
２　第２条「定義」
３　第３条２項「目的外使用の禁止」
４　第４条「個人情報の管理」
５　第５条「開示の範囲」
６　第７条「返還」
７　第９条「再委託」
８　第１１条「報告・監督」
９　第１３条「事故発生時の対応」

１　はじめに

個人情報の取扱いは、消費者等の関心も高く、自社が有する個人情報を他社に開示する場合は、その取扱いについてルールを個人情報の取扱いに関する覚書などの形で合意しておく必要があります。

個人情報を取得しデータベース化する事業主は個人情報の保護に関する法律（以下「個人情報保護法」といいます。）が適用されることから、覚書の内容も個人情報保護法の内容に従ったものになっているか注意しなければなりません。

なお、本ひな型は、個人情報を開示する側の立場から各条項が定められています。

２　第２条「定義」

あらゆる契約書（合意書・覚書）において、その契約の対象や内容を定める「定義」規定は極めて重要な条項です。

個人情報の取扱いについては、上述のとおり個人情報保護法の適用があることから、「個人情報」の定義は個人情報保護法と同様の定義を定めておくことが一般的です。

個人識別符号が含まれるものの例としては、健康保険証の保険者番号や運転免許証番号、在留カード番号等が挙げられます。

３　第３条２項「目的外使用の禁止」

個人情報保護法上、個人情報取扱事業者は、本人の同意を得ずに、個人情報を利用目的の達成に必要な範囲を超えて利用することはできません（個人情報保護法18条1項）。従って、個人情報を開示する場合は、開示を受ける側においても目的の範囲を超えた取り扱いを行なわないように、目的外使用を禁止する旨を定めておくことが重要です。

４　第４条「個人情報の管理」

個人情報保護法上、個人情報取扱業者は個人データの漏洩、滅失、改竄、毀損を防止するために安全管理措置を定める必要があり、また、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つよう努めなければならないと定められています。

従って、開示を受ける側においても、これらの義務を履行してもらうために、安全管理措置を講じる義務及び正確かつ最新の状態で保管する義務を定めておく必要があります。

５　第５条「開示の範囲」

個人情報の流出を防ぐためには、開示の範囲を制限することが有用です。従って個人情報を開示する場合において、開示先にて個人情報を取り扱う者を制限する規定を定めることが有用です。

６　第７条「返還」

個人情報の返還にあたり、開示先から返還をうけるにとどまらず、開示先に個人情報が残らないようにする必要があります。そこで、個人情報の返還時には開示先に記録された個人情報の消去・廃棄義務を定める必要があります。

７　第９条「再委託」

開示先が自由に個人情報の取扱いを再委託することが出来る場合には、開示元が個人情報の取扱いをコントロールできなくなる恐れがあります。従って、再開示する場合は事前の許可を必要とすると共に、再委託先にも委託先と同様の義務を課すことが必要です。

８　第１１条「報告・監督」

個人情報保護上、開示者は、個人データの取扱い業務を他社に委託する場合は、受領者を監督する義務があります。

そのため、開示先において、個人情報の漏えい事故が発生すると、開示者が責任を問われるリスクがあります。

従って、開示先において個人情報の取扱状況について適切な取扱いがなされているか報告を求め、取扱い状況が不適切な場合は改善を求めることができるように規定することが必要です。

９　第１３条「事故発生時の対応」

万が一、情報漏洩等の事故が発生してしまった場合においても、被害を拡大させないために、被害拡大防止措置を取らせる必要があります。被害拡大防止措置の指示ができる旨を定めると共に、その費用は開示先であることを定めておくことで自己の負担によらずに、開示先に対する監督義務を果たすことが可能となります。

こちらから無料でダウンロードいただけます。

契約書・誓約書書式集

この記事を書いた人
最新の記事

徳田聖也

德田聖也京都府出身・立命館大学法科大学院修了。弁護士登録以来、相続、労務、倒産処理、企業間交渉など個人・企業に関する幅広い案件を経験。「真の解決」のためには、困難な事案であっても「法的には無理です。」とあきらめてしまうのではなく、何か方法はないか最後まで尽力する姿勢を貫く。