本規程は、事業者が、個人情報および機密情報を取り扱う業務を外部の事業者に委託する場合において、適切な情報管理および安全性を確保するための選定基準、契約内容、監督方法等の管理手順を定めることを目的とする。
1 本規程は、事業者が行う業務のうち、個人情報または機密情報を取り扱う業務(以下「委託業務」という)を第三者に委託する場合に適用する。
2 本規程における用語の定義は、次の各号のとおりとする。
(1) 事業者
本事業を行う法人または個人事業主をいう。
(2) 委託先
事業者から委託業務の全部または一部の遂行を委託される外部の法人または個人事業主等をいう。
(3) 再委託先
委託先が、事業者から委託された業務の全部または一部をさらに第三者に委託する場合の当該第三者をいう。
(4) 個人情報・機密情報
個人情報保護規程および情報セキュリティ規程に定める個人情報および機密情報をいう。
1 事業者は、委託業務を外部に委託するにあたり、委託先の次の事項を基準として総合的に審査し、適切と認められる事業者のみを委託先として選定する。
(1) 情報セキュリティおよび個人情報保護に関する管理体制
(2) 関係法令・ガイドライン等の遵守状況
(3) 経営状況および継続的な業務遂行能力
(4) 反社会的勢力との関係の有無
(5) 類似業務の受託実績および専門性
(6) 業務品質およびサービス水準
2 事業者は、委託先の選定基準について、業務の性質や重要度に応じて必要な見直しを行うよう努める。
1 事業者は、前条の選定基準を確認するため、必要に応じて次の方法により委託先の調査を行う。
(1) 会社概要、規程類、体制図等の書面による確認
(2) アンケート方式による自己点検表・チェックリストの提出依頼
(3) オンラインまたは対面での面談によるヒアリング
(4) 必要に応じた参考資料(認証取得状況、実績資料等)の提出依頼
2 事業者は、調査結果を記録として保存し、一定期間保管するよう努める。
3 調査の結果、個人情報・機密情報の取扱いに関して重大な懸念があると判断した場合、当該事業者を委託先として選定してはならない。
1 事業者は、委託業務を実施させる前に、委託先との間で書面またはこれに準ずる記録性のある方法(電子契約サービス、電子署名付きファイル、メールによる合意記録等)により契約を締結するものとする。
2 前項の契約には、少なくとも次の事項を含めるよう努める。
(1) 秘密保持
委託業務に関連して知り得た個人情報および機密情報を、業務遂行目的以外に使用せず、第三者に漏えいしない義務。
(2) 再委託の制限
再委託の可否、その条件、事業者の事前承認の要否および再委託先に課すべき義務。
(3) 安全管理措置
個人情報保護規程および情報セキュリティ規程と同等水準の安全管理措置を講じる義務。
(4) 事故時の報告義務
漏えい、紛失、不正アクセスその他の事故発生時に、速やかに事業者へ報告し、事業者と協力して原因究明および再発防止策を講じる義務。
(5) 契約終了時のデータ削除・返却
契約終了時に、委託業務に関して取り扱った個人情報および機密情報を返却または復元不能な方法で削除する義務、およびその実施証跡の提供義務。
(6) 守秘義務の存続
契約終了後も一定期間守秘義務が継続する旨。
(7) 責任分担および損害賠償
事故発生時の責任の所在および損害賠償に関する基本的な取り決め。
3 事業者は、契約書の雛形を必要に応じて見直し、法令改正や実務の変化を反映させるよう努める。
1 委託先が、事業者から委託された業務の全部または一部を再委託しようとする場合、事業者の事前の書面またはこれに準ずる方法による承認を得なければならない。
2 事業者は、再委託を承認する場合、再委託先に対しても委託先と同等水準の安全管理措置および守秘義務を課すよう、委託先に契約上義務づけるものとする。
3 前項の義務には、少なくとも次の事項を含めるよう努める。
(1) 再委託先に対する個人情報・機密情報保護に関する契約締結
(2) 再委託先における安全管理措置の実施状況の把握
(3) 再委託先で発生した事故の事業者への速やかな報告義務
4 委託先は、再委託先の行為についても、自らの行為と同様の責任を負うものとする。
1 事業者は、委託業務の内容および重要度に応じて、合理的な頻度・方法で委託先の運用状況を確認し、必要に応じて安全管理措置の改善を求めるものとする。
2 前項の確認は、次のいずれかの方法またはこれらを組み合わせて行う。
(1) 委託先からの定期的な報告(書面、メール等)
(2) 自己点検チェックリスト等の提出依頼
(3) オンライン会議等によるヒアリング
(4) 必要に応じた現地訪問(規模・重要度に応じて)
3 事業者は、委託先の運用状況の確認結果を記録し、一定期間保管するよう努める。
4 委託先において、個人情報・機密情報の取扱いに重大な問題が認められた場合、事業者は、是正措置の実施を求め、それでも改善が見込まれない場合には、契約の見直しまたは解除を含めて検討するものとする。
1 事業者は、委託契約が終了したときは、委託先に対し、委託業務に関連して取り扱った個人情報および機密情報を、事業者への返却または復元不能な方法による削除のいずれかの方法により処理させるものとする。
2 前項の処理方法および期限については、あらかじめ契約書等で定めておくものとする。
3 委託先は、データ返却または削除の実施後、事業者に対し、完了報告書、削除証明書等、実施を確認できる証跡を提出するものとする。
4 事業者は、提出された証跡を確認の上、必要な範囲で保管するものとする。