【意義】
個人情報取扱業務委託契約書は、委託者が受託者に対して個人情報の取扱いを委託する場合に用いられる契約書で、個人データの安全管理措置の水準、報酬の算定、再委託の可否、監査等の項目が規定されます。
【個人データの安全管理措置の水準】
個人情報保護法では、個人データの取扱いの全部又は一部を委託する場合には、個人データの安全管理が図られるよう、受託者に対して必要かつ適切な監督を行わなければならないとされているため、個人情報取扱業務委託契約書では、受託者が行う安全管理措置の水準が定められるのが一般的です。
その上で安全管理措置の水準については、次の二つが考えられます。
(1)個人情報保護委員会が定めるガイドライン(通則編)の水準に準拠する方法
(2)個人情報保護委員会が定めるガイドライン(通則編)を超える水準を個人情報取扱業務委託契約で定める方法
【再委託の可否】
個人情報取扱業務委託契約は、通常、準委任契約であると考えられるため、特約等がない限り、受託者は、自由に個人情報の取扱業務を再委託できないと考えられます。
そのため、もし、個人情報の取扱業務の再委託を認める場合には、その条件等を個人情報取扱業務委託契約で定めることになります。
【監査】
個人データの取扱いの全部又は一部を委託する場合には、個人データの安全管理を図るため、個人情報保護法上、委託者は、受託者に対して必要かつ適切な監督を行わなければならないとされていることから、監査の規定が個人情報取扱業務委託契約書に規定されることが多いといえます。
ただし、監査だと負担が重いと考えられる場合には、監査ではなく報告の条項が定められることがあります。
【事故時の対応】
個人データの紛失、漏洩等の事故があった場合又はそのおそれがある場合には、受託者は、直ちにその旨を委託者に対して通知し、委託者の指示に従う旨の規定が個人情報取扱業務委託契約書に規定されることがあります。
その上でこれらの事故の原因が受託者の契約違反によるものである場合において、委託者が個人データの情報主体等から損害賠償請求を受けたときは、委託者が受託者に対してその処理解決に要した費用を合理的な範囲で請求できる旨の規定が併せて規定されることがあります。