個人情報に関わる業務を委託する場合の、受託者等に対する措置と義務

スポンサードリンク

個人情報に関わる業務を委託する場合の、受託者等に対する措置と義務

(受託者等に対する措置)
実施機関は、個人情報に係る業務の処理を外部に委託しようとするときは、その委託契約において、個人情報の保護について必要な措置を講じなければなりません。
また規則等で定める事項を記録し、住民に公開しなければなりません。

 

【説明】
1 (1) 自治体の業務のなかには、専門性、迅速性、経済性などから、住民サービスの向上のために、外部の事業者に業務を委託することがあります。しかし、委託先から住民の個人情報が漏えいするようなことがあれば、取り返しのつかない権利利益の侵害につながるおそれがあります。したがって、個人情報を取り扱う業務の外部委託に当たっては、住民の個人情報を保護するため、万全の措置を講じなければなりません。
(2) 電算処理の個人情報ファイルに係る業務の処理を外部に委託しようとするときは、あらかじめ審査会の意見を聴かなければなりません。なお、審査会からの答申の趣旨を尊重し、具体的な委託内容、方法、個人情報保護のための対策を決定し、契約等の事務処理を行います。
(3) 「個人情報に係る業務の処理」とは、マニュアル処理、電算処理のいかんを問わず、委託しようとする業務のなかに個人情報が含まれるすべての場合をいいます。
個人情報を電子計算組織に入力する作業などの個人情報そのものを処理、加工する業務だけでなく、主たる作業に必要な資料として個人情報が提供される場合も含まれます。
例えば、敬老祝品の配送委託に伴い、対象者リストを配送業者に渡す場合なども本条にいう委託になりますので、契約時には必要な措置を講じなければなりません。このような外部委託業務の例としては、次のようなものがあります。
① 個人情報そのものを収集・処理・加工する業務の委託
ア △△申請書のデータ入力業務委託
イ 世論調査の実施委託
ウ 健康診断実施委託
② 主たる作業に個人情報の提供を伴う委託
ア 通知書等の封入封かん委託
イ プライバシー保護シール貼付委託
ウ △△代金の支払いに伴う金融機関への口座振替委託
エ 見舞品、祝品等の配送委託
(4) 「個人情報の保護について必要な措置」とは、業務の委託に当たり、委託業者を選定するために必要な調査を行うこと及び委託契約等を通じて受託者に個人情報保護の責務を明確にし、かつ、実行させることなどの措置をいいます。
具体的な方法としては、外部に委託するときの契約締結に当たって、契約書等に個人情報保護について必要な事項を明記し、受託者に個人情報保護について責務を課すこととします。その内容については、自治体で用意している「個人情報保護に関する特約条項」等があれば参照してください。
なお、契約書等に記載する事項は、以下のようなことが考えられます。

 

(外部委託をする場合の契約書等の記載事項)
(1) 個人情報の秘密保持に関すること。
(2) 個人情報の目的外利用及び第三者への提供の禁止に関すること。
(3) 再委託の禁止又は制限に関すること。
(4) 個人情報の複写、複製及び加工の禁止に関すること。
(5) 提供資料の返還、廃棄又は消去義務
(6) 個人情報の管理方法の指定
(7) 個人情報の管理状況について、必要に応じて職員が立入調査できること。
(8) 事故発生時における報告義務
(9) 前各号に掲げる事項に違反し、又は怠った場合における受託者名の公表の措置及び損害賠償義務
(10) 前各号に掲げるもののほか、個人情報の保護に関する事項

 

2 外部委託をしたときは、その状況を把握するとともに、住民への透明性を確保するため、規則で定める事項を記載して、住民の閲覧に供します。
この規則等でで定める事項としては、以下のようなことが考えられます。

 

(1) 保有課の名称
(2) 業務の名称
(3) 外部委託をした理由
(4) 処理する個人情報ファイルの名称
(5) 処理する個人情報記録の項目
(6) 審査会の答申年月日
(7) 外部委託を開始した年月日
(8) 外部委託の期限
(9) 委託先
(10) 再委託の有無

 

【運用】
1 個人情報に係る業務の処理を外部に委託しようとするときは、次の点に留意して行います。
① 自治体で処理ができないもので、かつ必要最小限の業務の委託であること。
② 個人情報の保護が、委託によっても十分保障できるものであること。
③ 委託による業務の処理方法が、当該個人情報の性質や記録媒体の性質に照らして適切であること。
2 委託業者の選定
委託業者の選定に当たり、個人情報保護対策についてあらかじめ必要な調査を行わなければなりません。委託先においても十分な個人情報の保護が保障されるものであるか確認します。
3 契約の締結
契約書の明記する場合には、「個人情報保護に関する特約条項」を参照しますが、これは、あくまで一般的な事項に留まるものですので、調査の結果を踏まえて、具体的な個人情報保護対策を契約書や仕様書等の書面で明記し、契約を取り交わします。また、不正に個人情報を漏えいした場合などに、条例の規定により受託業務従事者等に罰則が適用される旨を、委託業者に伝えます。
なお、契約書等に明記することが困難な場合は、委託の内容及び方法等について、総務課長に協議します。
4 委託業務の執行管理
契約時に個人情報保護について取り交わすだけでは十分とはいえません。
実施機関は、契約締結後の委託業務の執行に当たり、契約で取り交わした個人情報保護に関する事項が守られているか、厳格な執行管理を行わなければなりません。委託先に対して報告を求めたり、直接職員が立入調査をしたりする方法が考えられます。万が一、委託先から個人情報が漏えいした場合には、実施機関の管理責任も問われますので、注意が必要です。

 

【受託者等における個人情報保護対策の調査事項】
各主管課は、個人情報を取り扱う業務の委託又は再委託に当たり、主に次に掲げる事項について、委託予定事業者等における個人情報保護対策をあらかじめ調査し、確認を行う必要があります。
1 個人情報の管理責任体制に関する事項
ア 法令に則したプライバシーポリシー等の内部規程の整備
イ 情報セキュリティに関する規程類の整備
ウ 受託業務における個人情報保護責任者、作業責任者、作業従事者の特定
エ 個人情報保護責任者、作業責任者、作業従事者からの誓約書の提出
オ 作業従事者に対する個人情報保護に関する研修及び教育等の実施
2 業務の履行場所に関する事項
ア 履行場所の特定
イ 履行場所の施錠及び開錠の責任者の指定並びに鍵の管理
ウ 履行場所への入退室の管理及び記録
エ 履行場所への持込み又は持出し品等の管理及び記録
オ 履行場所の防犯措置等の実施
3 個人情報の保管、管理、廃棄に関する事項
ア 保管場所の特定
イ 保管場所の施錠及び開錠の責任者の指定並びに鍵の管理
ウ 盗難及び紛失等の事故防止措置の実施
エ 業務上不要になった個人情報の返還又は廃棄等
オ 廃棄又は消去した場合の方法等の報告
4 電子計算組織による個人情報の処理に関する事項
ア 個人情報の処理に使用する端末の特定
イ 個人情報の処理に使用する端末の盗難防止措置
ウ 個人情報に係わる操作記録の保存
エ ID・パスワード、IC カード等の機器又は身体等による利用者認証及びアクセス制限
オ 業務完了後、使用した全機器からの不要になった個人情報の確実な消去
カ 個人情報の消去に関する作業完了報告の提出
5 個人情報の受渡し及び搬送方法に関する事項
ア 個人情報の受渡し及び搬送方法の指定
イ 個人情報の受渡簿の作成(個人情報の内容、受渡日時、担当者等)
ウ 個人情報の受渡し及び搬送従事者の指定
エ 受渡し時の身分証明書又は確認証等による従事者の確認
オ 搬送時の安全確保措置(施錠保管、データの暗号化、パスワードの設定等)
6 緊急時の対応計画に関する事項
ア 個人情報の漏えいなど事故発生時の連絡体制の整備
イ 事故発生時の対応手順の明確化
ウ 個人情報の滅失、毀損、流出等の防止措置の実施
7 委託業務の再委託に関する事項
原則禁止するが、業務上やむを得ないときは、次の事項に留意すること。
ア できる限り個人情報を扱う部分は再委託せず、再委託の範囲が必要最小限であること。ただし、やむを得ず個人情報を処理する場合は、個人が特定される部分をマスキングするなどして、できる限り再委託先へ提供される個人情報を最小限にするよう努めること。
イ 再委託先との契約においても、委託先との契約で明記した上記1 ~ 6 の個人情報保護に関する事項を遵守させること。なお、契約書又は仕様書等の写しを提出させて確認すること。

 

4 外部委託記録票の作成手続
(1) 外部委託をしたときは、当該外部委託に係る個人情報の保有課長は、「外部委託記録票」(2部)を作成し、1部を個人情報業務登録票とともに保管し、もう1部を総務課長に送付します。
また、保有課長は、個人情報の保護について受託者等と取り交わした内容(契約書及び仕様書等の写し)を併せて総務課長に送付します。
(2) 総務課長は、送付を受けた「外部委託記録票」を個人情報業務登録簿につづり込みます。

 

5 「外部委託記録票」の記載要領
(1) 保有課
当該外部委託に係る個人情報の保有課名を記入します。
(2) 業務の名称、個人情報業務登録番号
当該外部委託に係る個人情報の登録業務名及び登録番号を記入します。
(3) 委託の件名
当該外部委託の件名(契約の件名)を記入します。
(4) 外部委託をした理由
外部委託をした理由を具体的に記入します。
(5) 処理する個人情報ファイルの名称
個人情報ファイルに係る業務の処理を委託する場合は、当該個人情報ファイルの名称を記入します。なお、個人情報ファイルの登録がされていない場合には、新たに届出が必要です。
(6) 処理する個人情報記録の項目
外部委託により処理する個人情報の項目を全て記入します。記入欄が足りないときは、別紙により提出します。
(7) 審査会の答申年月日
電算処理の個人情報ファイルに係る業務の処理の外部委託は、審査会への諮問が義務付けられていますので、審査会の答申年月日を記入します。
(8) 委託を開始した年月日
外部委託を開始した年月日を記入します。
(9) 委託の期限
外部委託の期限を定めている場合には、その期限を記入し、今後継続的に行う場合には「□継続」に「レ印」を記入します。
(10) 委託先
外部委託先事業者の名称を記入します。
(11) 再委託の有無
再委託の有無について、「□なし □あり」のいずれかに「レ印」を記入し、「□あり」の場合は、再委託業務の具体的内容を併せて記入します。
( 1 2 ) 担当部課
当該外部委託に係る担当部課係名、電話番号を記入します。

 

 

(受託者等の義務)
受託者等は、個人情報の漏えい、改ざん、毀損、滅失等の防止その他個人情報の適正な管理のために必要な措置を講じなければなりません。
受託業務に従事している者又は従事していた者は、当該受託業務に関して知り得た個人情報を他に漏らしてはなりません。
また受託業務を委託してはなりません。当該受託業務の一部について、やむを得ず委託するときは、あらかじめ実施機関の承認を得なければなりません。

 

【説明】
1 (1) 「受託者等」とは、契約により住から個人情報を取り扱う業務の委託を受けた者のほか、地方自治法に基づき、自治体の指定を受けて公の施設を管理する指定管理者をいいます。
(2) 自治体の出資法人である社会福祉協議会等についても、住の委託を受けて行う業務については、受託者としての義務が課せられることになります。
(3) 受託者等に求める「適正な管理のための必要な措置」とは、業務の内容に応じて個別具体的に検討しなければなりません。さらに、この内容については、契約時に、契約書や仕様書等に明記することが必要となります。
2 受託業務に従事している者及び過去に従事していた者に対して、当該業務で知り得た個人情報について守秘義務を課しています。この義務に反して、条例に規定する不正な提供等が行われた場合には、当該従事者等に対しては、罰則が課せられることになります。
3 (1) 契約により実施機関から委託を受けた個人情報を取り扱う業務は、原則として再委託を禁止するものです。
(2) ただし、受託業務の内容によっては、受託業者において契約内容全ての履行が困難な場合があることから、受託業務の当該部分について事前に実施機関の承認を得たうえで、再委託することを認めています。

 

【運用】
1 説明3(2)により個人情報を取り扱う業務の再委託を承認する場合には、特に次の点に留意して行います。
① 自治体においても、受託者等においても処理ができないもので、かつ必要最小限の業務の処理であること。
② 個人情報の保護が、再委託によっても十分保障できること。
③ 再委託先での処理方法が、当該個人情報の性質や記録媒体の性質に照らして適切であること。
2 再委託先へ個人情報を提供する場合には、できる限りマスキング等の処理を施すこととします。
3 再委託先の選定
住と再委託先との間では直接の契約関係はありませんが、住民の個人情報を取り扱うという点では、受託者等と変わらないため、、再委託先において、個人情報の保護のための必要な措置が講じられていることを確認しておかなければなりません。再委託先における個人情報保護対策について、受託者を通じて、若しくは職員が直接、調査を行います。
4 再委託先との契約の締結
業務の一部の再委託がある場合は、自治体と受託者等との契約に当たり、「再委託の禁止」ではなく、「再委託の制限」との条項を付して、再委託を行う場合の手続をあらかじめ定めておきます。
また、再委託先との間で個人情報の保護に関する事項を定めた契約書や仕様書等の写しを受託者等から提出させて、自治体との契約同様の条項が明記されているか確認を行います。
5 再委託業務の執行管理
契約締結後においては、受託者等を通じて、若しくは職員が直接、契約上取り交わした個人情報の保護に関する事項が遵守されているかどうか、報告を求めたり、又は立入調査をしたりして、厳格に執行管理を行う必要があります。

 

(出資法人等の義務)
自治体が出資する法人等で首長が指定するものが個人情報を収集し、保管し、又は利用するに当たっては、条例の趣旨を十分に尊重し、個人情報の保護について必要な措置を講ずるよう努めなければなりません。
実施機関は、出資法人等が前項に定める必要な措置を講ずるよう指導に努めなければなりません。

 

【説明】
1 出資法人等は、自治体とは別個の法人であるため、条例上の実施機関とすることは困難です。しかし、出資法人等は、政治の重要な役割を担うものであり、自治体が出資その他の財政上の支援及び職員の派遣等の人的支援等を行っています。さらに、その業務においては、住民の個人情報を多く扱うことが想定されることから、出資法人等の設立趣旨や自律性に配慮しつつ、出資法人等が自主的に個人情報の保護に努める責務について定める一方、実施機関に対して、出資法人等の個人情報保護制度の整備について指導する責務を課しています。
「必要な措置」とは、出資法人等が自主的に、個人情報の保護に関する内部規程を制定し、その規程を遵守して個人情報の適正な取扱いに努めることなどが考えられます。
2 (1) 「講ずるよう指導に努める」とは、標準的な規程(モデル規程)を示し、指導を行うこと、また日常的な個人情報の取扱いについて、指導、助言等を行うことなどが考えられます。
(2) モデル規程の内容としては、本条例のみならず、個人情報保護法の趣旨、内容に沿ったものとします。

公文書の書き方が分かりやすく学べるおすすめ書籍