1 個人情報保護法の解説
⑴ 背景
近年、自分の情報を安易に他人に伝えたくない、見られたくないという意識が高まっており、学校、自治会などの連絡網も作れないというような事態も発生しています。その理由として、インターネットやSNSの発達があるといえますし(一度、個人の情報が流出すると、世界中に拡散し、消えることがありません)、また、高齢者の方に対する特殊詐欺では、高齢者の方の名簿が出回っているというような事情もあると考えられます。
このような事情を背景として個人情報保護法が制定されたわけですが、この法律を理解しておらず、個人情報保護法の適切な管理を行わなかった場合、民事上の損害賠償責任を負ったり、社会的信用を失墜したりするほか、個人情報保護委員会から、報告や立ち入り検査のほか、指導、助言、勧告、命令などを受けたり、また、命令に違反した場合に、6か月以下の懲役、30万円以下の罰金を課せられたりします。
⑵ 事例
① エステティックサロン
エステティックサロンを行っていた企業が、顧客の個人情報につき、それらの情報を入れていた電子ファイルに、第三者からのアクセス制限をかけていませんでした。その結果、第三者からのアクセスを許してしまい、顧客のファイルが流出してしまいました。入っていた情報は、顧客の住所、氏名、年齢、職業、電話番号などのほか、身体的状況や関心のあるエステのコース名などの情報もありました。
情報の管理は、委託先企業に任せていましたが、裁判所は、委託元のエステティックサロン企業にも使用者責任があったとして、損害賠償を認めました。認められた損害賠償額は1人当たり3万5000円です。3万5000円といっても、顧客が1000人いれば3500万円になりますから、企業にとっては大きな出費になります。
② 通信教育企業
通信教育を行っている企業(A社)は、システム管理を子会社B社に委託し、B社はC社に再委託しました。流出させたのは、C社の社員Dです。つまり、A社にとっては委託先のさらに委託先の社員による流出ということになります。
民事の裁判は全国各地で起こされましたが、裁判所の判断には、請求を棄却するものから、1人3000円程度の賠償を認めるものまでありました。
本件は、委託先のさらに委託先が情報を流出させた事案であり、しかも、間のB社はセキュリティソフト導入などの対策をしていました。そこで、A社にとって厳しいのではないかという意見もありますが、このような事案でも、裁判所は賠償を認める可能性があります。委託先に対しても監督義務があるということになります。
⑶ 個人情報、個人データ、保有個人データ
ア 個人情報
個人情報とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいうとされています。
一 個人情報に含まれる氏名、生年月日、顔写真、メールアドレスその他により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含みます)
二 個人識別符号が含まれるもの
※ 個人識別符号とは、それぞれの個人ごとに異なるゆえに個人が特定できるものを言います。例えば、指紋、DNA、手の静脈、免許証番号、保険証番号などです。
イ 個人データ
個人データとは、個人情報データベースを構成する個人情報のことで、個人情報データベースとは、特定の個人情報を検索できるように体系的にまとめられたものを言います。個人情報を五十音順に整理してファイルにまとめ、いつでも検索できるようにすれば、これも個人情報データベースになります。
ウ 保有個人データ
保有個人データとは、個人情報取扱事業者が、開示、内容の訂正、追加、削除、利用の停止、消去、第三者への提供の停止を行うことのできる権限を有している個人データを言います。
⑷ 個人情報保護法が適用される事業者
平成29年5月29日までは、取り扱う個人情報の数が5000人分以下の事業者は適用外となっていましたが、平成29年5月30日以降は5000人の要件が撤廃されました。従業員もいない、個人のお客さんもいないという事業者はほぼいないと思われることから、現在では、事実上すべての事業者に適用されるようになっています。
⑸ 個人情報保護法を意識すべき場面
個人情報を意識しなければならなのは、
① 取得・利用
② 保管
③ 提供
➃ 開示請求
の各場面です。②については、多くの方が意識していると思いますが、個人情報については、最初の取得の場面から破棄するまで、各場面で決まりがあります。以下、説明していきます。
⑹ 取得・利用の場面で問題になること(⑸の①)
ア 個人情報の利用目的を特定する。
利用目的を具体的に特定しなければなりません。
例えば、「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせのために利用いたします。」であれば、利用目的を具体的に特定しているといえますが、「事業活動に用いるため」「マーケティング活動に用いるため」というのでは、具体的に特定しているとは言えません。
イ その利用目的を通知または公表する。
利用目的を本人に通知する方法は、口頭、書面、メールなどのいずれでもかまいません。また、公表の方法としては、自社のホームページへの掲載、店舗掲示、申込書に記載するなどです。
一般的には、自社の本サービスに掲載することが多いのではないかと思います。
なお、例外的に通知不要な場合もあります。例えば、
・ 事業者自身に害が及ぶ恐れがある場合
悪質なクレーマーの情報を、本人や第三者から入手したことが明らかになることで、害が及ぶ恐れがある場合など
・ 利用目的が取得の状況からして明らかな場合
商品販売において住所や氏名を取得する際に、商品の発送のためという目的が明らかな場合
・ そのほか、誰かの生命身体に害が及ぶ場合など。
⑺ 保管の場面で問題になること(⑸の②)
ア 安全管理のための必要、適切な措置
個人情報を取り扱う者は、漏えい、滅失又はき損の防止、その他の個人データの安全管理のために必要かつ適切な措置を講じなければなりません。
イ 従業員に個人データを扱わせる場合
個人情報を取り扱う者は、その従業員に個人データを取り扱わせる場合、個人データの安全管理が図られるよう、従業員に対する必要かつ適切な監督を行わなければなりません。
※ 従業員には、正社員、契約社員、嘱託社員、パート社員、アルバイト社員のみならず、取締役、執行役、理事、監査役、監事、派遣社員なども含まれます。
※ 従業員に対して必要かつ適切な監督を行っていない事例として、個人情報保護委員会が公表しているガイドラインでは、次の2つの事例をあげています。
(https://www.ppc.go.jp/personalinfo/legal/2009_guidelines_tsusoku/)
■ 従業者が、個人データの安全管理措置を定める規程などに従って業務を行っていることを確認しなかった結果、個人データが漏えいした場合
■ 内部規程などに違反して個人データが入ったノート型パソコン又は外部記録媒体が繰り返し持ち出されていたにもかかわらず、その行為を放置した結果、当該パソコン又は当該記録媒体が紛失し、個人データが漏えいした場合
ウ 個人データを委託する場合
個人情報を取り扱う者は、個人データの取扱いの全部又は一部を委託する場合は、その取り扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要か適切な監督を行わなければなりません。
※ 適切な委託先の選定、委託契約の締結、委託先における個人データ取り扱い状況の把握が大切です。
※ 委託先に対して必要かつ適切な監督を行っていない事例として、上記のガイドラインでは、次に4つの事例をあげています。
■ 個人データの安全管理措置の状況を契約締結時及びそれ以後も適宜把握せず外部の事業者に委託した結果、委託先が個人データを漏えいした場合
■ 個人データの取扱いに関して必要な安全管理措置の内容を委託先に指示しなかった結果、委託先が個人データを漏えいした場合
■ 再委託の条件に関する指示を委託先に行わず、かつ委託先の個人データの取扱状況の確認を怠り、委託先が個人データの処理を再委託した結果、当該再委託先が個人データを漏えいした場合
■ 契約の中に、委託元は委託先による再委託の実施状況を把握することが盛り込まれているにもかかわらず、委託先に対して再委託に関する報告を求めるなどの必要な措置を行わず、委託元の認知しない再委託が行われた結果、再委託先が個人データを漏えいした場合
冒頭の1⑵の①②の事例も、いずれもこの保管の場面に問題があったことから、訴訟になり、損害賠償が命じられた場合です。個人データを保管する場合、問題が生じないようにきちんとした方法で保管することが大切です。
例えば、社内ルールの整備、責任者を決めてチェック体制を整える、従業員に対する教育、個人情報は施錠できるキャビネットやパスワードを付けての保管、不正アクセス防止、委託先への監督などが考えられます。
なお、上記ガイドラインの中の「8(別添)講ずべき安全管理措置の内容」では、個人情報を取り扱う者が講じなければならない措置や、その措置を実践するための手法の具体的が示されていますのでご参照ください。
⑻ 提供の場面で問題になること(⑸の③)
ア 第三者への提供と本人の同意
個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供することはできません。
・ 法令に基づく場合
・ 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
・ 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
・ 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより事務の遂行に支障を及ぼすおそれがあるとき。
第三者とは、例えば、親子兄弟会社、グループ会社の間で個人データを交換する場合、フランチャイズ組織の本部と加盟店の間で個人データを交換する場合、同業者間で、特定の個人データを交換する場合などです。
イ オプトアウト
ただし、個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて、個人データの第三者への提供を停止することとしている場合であって、下記事項について、あらかじめ本人に通知し、又は本人が容易に知り得る状態に置くとともに、個人情報保護委員会に届け出たときは、本人の同意を得ることなく、個人データを第三者に提供することができます。
a 第三者への提供を利用目的とすること。
b 第三者に提供される個人データの項目
c 第三者への提供の方法
d 本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること。
e 本人の求めを受け付ける方法
「本人が容易に知り得る方法」とは、事業所の窓口などへの書面の掲示・備付や、ホームページへの掲載などの方法を言います。
ウ 第三者に該当しない例
また、下記の場合は、個人データの提供を受ける者は、上記ア、イについて、第三者に該当しないものとされています。つまり、上記のア、イにかかわらず、個人データの提供をすることができます。
a 個人情報取扱事業者が、利用目的の達成に必要な範囲内において、個人データの取扱いの全部又は一部を委託する場合
b 合併その他の事由による事業の承継に伴って個人データが提供される場合
c 特定の者との間で共同して利用される個人データが、その特定の者に提供される場合であって、その旨、共同して利用される個人データの項目、共同して利用する者の範囲、利用する者の利用目的、個人データの管理について責任を有する者の氏名又は名称について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているとき。
とくに、aはよくあることと思いますし、cについても、同業者同士でグループを作り、総合的なサービスを提供するような場合は、この規定を使うことが多いと思います。
⑼ 開示請求(⑸の➃)
ア 知り得る状態に置く事項
個人情報取扱事業者は、保有個人データについて、次の①から④までの事項を、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければなりません。
① 個人情報取扱事業者の氏名又は名称
② 保有個人データの利用目的
③ 本人から、保有個人データの利用目的の通知を求められたとき、開示を求められたとき、訂正・追加・削除を求められたとき、利用の停止・消去を求められたとき、又は第三者への提供の停止を求められたときに、その請求に応じる手続
※ 手数料の額を定めたときは、手数料の額も含む。
④ 苦情の申出先
※ 担当窓口、郵送先住所、受付の電話番号を含む。
イ 本人に対する通知
個人情報取扱事業者は、利用目的の通知を求められたとき、開示を求められたときは、原則として、遅滞なく通知あるいは開示をしなければならず、また、訂正・追加・削除、利用の停止・消去、第三者への提供の停止を求められたときは、必要な調査を行い、その結果に基づき応じるかどうかを決定し、その結果を遅滞なく本人に通知しなければなりません。
2 令和2年の個人情報保護法の改正(令和4年4月1日施行)
改正内容は下記のとおりです。
⑴ 個人情報保護委員会、本人への通知義務
個人情報取扱事業者は、個人データの漏えい、滅失、棄損などが発生し、それが、個人の権利利益を害する恐れがあるものとして個人情報保護委員会規則で定めるものであるときは、漏えいなどが発生したことを個人情報保護委員会に報告し、本人に通知しなければならなくなりました。
ただし、個人情報取扱事業者(委託先)が他の個人情報取扱事業者(委託元)などから個人データの取扱いの委託を受けた場合に、漏えいなどがあったことを委託元に通知した場合は、委託先は個人情報保護委員会に報告する必要はありません。
個人情報保護委員会が規則で定めたものは次のとおりです。
① 要配慮個人情報が含まれる個人データの漏えいなどが発生し、または発生する恐れがある場合
※ 要配慮個人情報とは、「 本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、その他本人に対する不当な差別、偏見その他の不利益が生じないように、その取扱いに特に配慮を要するものとして政令で定める記述などが含まれる個人情報 」をいいます。
個人情報の保護に関する法律についてのガイドライン(以下「ガイドライン」と言います)では、下記の例があげられています。
■ 病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
■ 従業員の健康診断等の結果を含む個人データが漏えいした場合
② 不正に利用されることにより、財産的被害が生じる恐れがある個人データの漏えいなどが発生し、または発生する恐れがある場合
ガイドラインでは、下記の例があげられています。
■ ECサイトからクレジットカード番号を含む個人データが漏えいした場合
■ 送金や決済機能のあるウェブサービスのログインIDとパスワードの組み合わせを含む個人データが漏えいした場合
③ 不正の目的をもって行われた恐れがある個人データの漏えいなどが発生し、または発生する恐れがある場合
ガイドラインでは下記の例があげられています。
■ 不正アクセスにより個人データが漏えいした場合
■ ランサムウェアなどにより個人データが暗号化され、復元できなくなった場合
■ 個人データが記載または記録された書類・媒体などが盗難された場合
■ 従業者が顧客の個人データを不正に持ち出して第三者に提供した場合
➃ 個人データにかかる本人の数が1000人を超える漏えいなどが発生し、または発生する恐れがある場合
ガイドラインでは下記の例があげられています。
■ システムの設定ミスなどによりインターネット上で個人データの閲覧が可能な状態となり、この個人データに係る本人の数が1,000人を超える場合
⑵ 外国にある第三者に個人データを提供
外国にある第三者に個人データを提供する場合は、下記のどれかを満たす必要があります。
① 本人の同意を取得する。
② 個人データの取扱いについて、個人情報取扱事業者が講ずべきものとされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会が定める基準に適合する体制を整備している。
③ 日本と同等の水準にあると認められる個人情報の保護に関する制度を有していると外国として個人情報保護委員会が定める国(具体的には、EUと英国)
今回の改正で、①について、本人の同意を取得する際には、
・ その外国における個人情報の保護に関する制度、
・ その第三者が講ずる個人情報の保護のための措置、
・ その他、本人に参考となる情報、
を本人に提供しなければならないならないことになりました。
また、②について、新たに下記の措置を取らなければならないことが追加されました。
・ 個人データの移転元が、年に1回以上の定期的な確認や、移転先で問題が発生した場合の対応を定めるなどの措置を取る必要がある。
・ 本人の求めに応じて、必要な措置などについての情報を提供する必要がある。
③については変更はありません。
⑶ 保有個人データの開示
保有個人データの開示方法について、以下の点が改正になりました。
① 本人が指定した方法での開示
これまでは、原則として書面による開示でしたが、電磁的記録の提供、その他、本人が指定した方法で開示を請求することができるようになりました。ただし、その方法による開示に多額の費用を要するなど、その方法による開示が困難である場合は、書面による開示を行うことができます。
② 第三者に提供した個人データの開示
今回の改正により、個人情報取扱事業者が個人データを第三者に提供した場合、本人は個人情報取扱事業者に対して、第三者提供した個人データの提供記録の開示を請求できることになりました。
③ 保存期間
6ヶ月以内に消去する保有個人データは開示請求の対象とされていませんでしたが、保存期間にかかわらず、開示請求の対象となることになりました。
⑷ 個人データの停止、消去
個人データが、利用目的による制限の範囲を超えて使われていた場合、不正な方法などにより取得された場合、本人は個人情報取扱事業者に対し、個人データの利用の停止、消去を請求することができます。
今回の改正では、上記に加えて、下記の場合についても、個人データの停止、消去を請求することが可能となりました。
① 個人情報取扱事業者が、個人データを利用する必要がなくなった場合
すなわち、個人データの利用目的が達成され、保有する合理的な理由が存在しなくなった場合、利用目的が達成されなかったものの、その目的の前提となる事業自体が中止となった場合などを言います。
ガイドラインでは下記の例があげられています。
■ ダイレクトメールを送付するために個人情報取扱事業者が保有していた情報について、その個人情報取扱事業者がダイレクトメールの送付を停止した。
■ キャンペーンの懸賞品送付のために個人情報取扱事業者が保有していたキャンペーンの応募者の情報について、懸賞品の発送が終わり、不着対応などのための合理的な期間が経過した。
⑸ 保有個人データの安全管理のために講じた措置
個人情報取扱事業者は、これまで、名称、住所、代表者の氏名、保有個人データの利用目的、開示請求などを受けた場合の手続などを定めなければなりませんでしたが、新たに保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態に置かなければならないとされました。
例えば、安全管理のために講じた措置として、ガイドラインでは次のような例が上がっています。
■ 個人データの適正な取扱いの確保のため、「関係法令・ガイドライン等の遵守」、「質問及び苦情処理の窓口」等についての基本方針を策定
■ 取得、利用、保存、提供、削除・廃棄などの段階ごとに、取扱方法、責任者・担当者及びその任務などについて個人データの取扱規程を策定
※ ほかにもガイドラインには多くの事例が載っています。
ただし、本人の知り得る状態に置くことにより、保有個人データの安全管理に支障を及ぼす恐れがあるものは除くとされています。
その例として、ガイドラインは次のような例が上げられています。
■ 個人データが記録された機器などの廃棄方法、盗難防止のための管理方法
■ 個人データ管理区域の入退室管理方法
■ アクセス制御の範囲、アクセス者の認証手法など
■ 不正アクセス防止措置の内容など
⑹ 違法または不当な行為を助長し、誘発する恐れ
個人情報取扱事業者は、違法または不当な行為を助長し、または誘発するおそれがある方法により個人情報を利用してはならない旨が明確化されました。
ガイドラインでは、次のような行為が例としてあげられています。
■ 違法な行為を営むことが疑われる事業者(貸金業登録を行っていない貸金業者など)からの突然の接触による本人の平穏な生活を送る権利の侵害など、その事業者の違法な行為を助長するおそれが想定されるにもかかわらず、その事業者に本人の個人情報を提供する行為
■ 裁判所による公告などにより散在的に公開されている個人情報(官報に掲載される破産者情報など)を、その個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する行為
■ 広告配信を行っている事業者が、第三者から広告配信依頼を受けた商品が違法薬物などの違法な商品であることが予見できるにもかかわらず、その商品の広告配信のために、自社で取得した個人情報を利用する行為
⑺ 個人関連情報の規定の新設
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報、匿名加工情報のいずれにも該当しない情報を言い、例えば、端末識別子を通じて収集された、個人のウェブサイトの閲覧履歴、個人の商品購買履歴やサービス利用履歴、個人の位置情報など、特定の個人を識別できないものを言います。
このような個人関連情報は、提供元では個人データにあたりませんが、提供先の個人データと統合することによって、特定の個人を識別できる個人データとなることが予想され、このような場合、提供元から提供されるデータ(個人関連情報)が個人データではない場合でも、提供元から提供先へのデータの提供について、原則として、提供先が本人の同意を得る必要があります。
⑻ 仮名加工情報の規定の新設
仮名加工情報とは、個人情報に含まれる記述の一部を削除することによって(例えば、氏名、年齢、商品の種類、金額、店舗名、クレジットカード番号が記載された個人情報のうち、氏名、クレジットカード番号を削除することによって)、他の情報と照合しない限り、特定の個人を識別することができないように加工した個人に関する情報を言います。
個人データを仮名加工情報に変更することによって、個人情報取扱事業者は次の義務の適用から除外されます。
① 個人データの利用目的を変更するためには、個人情報保護法上の制限がありますが、仮名加工情報に変更すれば、本人を再識別しない、内部での分析・利用であることを条件に、この制限は除外され、新たな目的による利用が可能になります。
② 個人データの漏えいなどが生じ、それが、個人の権利利益を害する恐れがあるときは、漏えいなどが発生したことを個人情報保護委員会に報告し、また、本人に通知しなければならなりませんが、この規定は適用されません。
③ 本人からの個人情報の開示請求、利用停止・消去などの本人からの各種請求への対応の規定も適用除外になります。
以上の仮名匿名情報の規定は、加工により一定の安全性を確保しつつ、法に縛られない、詳細な分析を可能とするものです。
3 契約書、誓約書のひな形
以下、個人情報の保護に関する契約書、個人情報の保護に関する誓約書のひな形を提示しますが、ひな形を利用される場合は、具体的な取引を念頭において、内容を変えていただく必要がありますので、よろしくお願い致します。
⑴ 個人情報の保護に関する契約書
想定しているのは、甲という企業と乙という企業が、共同開発の検討をするにあたり、個人情報のやり取りをするために、その個人情報の管理について契約によって定めておくというものです。
個人情報保護に関する契約書
株式会社●●(以下「甲」という)と株式会社●●(以下「乙」という)は、個人情報の保護に関し、下記の契約を締結する。
第1条 目的
本件契約は、甲乙間の●●の開発についての可能性を検討することを目的として(以下「本件目的」という)、相互に提供される個人情報、個人データ(以下「個人情報など」という)の管理、取扱いについて定めるものである。
第2条 秘密情報
本件契約において使用させる、個人情報、個人データ、本人などの用語の意味は、「個人情報の保護に関する法律」(平成15年5月30日法律第57号)に定めるとおりとする。
第3条 秘密保持
1 個人情報の受領者(以下「受領者」という)は、個人情報の開示者(以下「開示者」という)から受領した個人情報などについて、本件目的のためにのみ使用し、その他の目的のために使用してはならない。
2 受領者は、開示者の事前の書面による承諾を得ることなく、下記の行為をしてはならない。
① 個人情報などを、第三者に開示または漏洩すること。
② 個人情報などを、複写または複製すること。
3 受領者は、本件目的の検討に際し、個人情報の漏えい、盗難、紛失、その他、個人情報についての事故が発生した場合、個人情報の安全確保のために必要な措置を取らなければならない。
4 受領者は、個人情報などへのアクセスを、本件目的の検討に必要な最小限の従業員に限らなければならない。
5 受領者は、開示者の承諾を得て、個人情報などを第三者に開示する場合、第三者に対して、本件契約と同様の個人情報保護義務を課するとともに、これらの者の個人情報保護義務違反について、連帯して責任を負う。
第4条 情報の返却
受領者は、本件目的が達成されたないことが決定した場合、本件目的が終了した場合、または開示者が求めた場合には、速やかに個人情報を開示者に返還、または開示者の指示に従って破棄するものとする。
第5条 個人情報情報管理者
1 甲、乙は、それぞれ個人情報などの管理、取扱いについて、連絡、確認を行う個人情報取扱管理者を選任し、連絡、確認については、個人情報取扱管理者を通して行うこととする。
2 甲、乙は、個人情報取扱管理者を変更する場合は、事前に相手方に通知するものとする。
第6条 取り扱い状況に関する報告
1 本件目的の検討に当たり取り扱う個人情報などの管理状況について、受領者は開示者に対し、●ヶ月に一度、書面により報告しなければならない。
2 開示者は、受領したに対し、いつでも個人情報の管理状況について、書面をもって報告を求めることができる。
3 受領者は、個人情報などの管理状況を確認するため、受領者に事前に通知した上で、受領者の事務所、営業所などに立ち入り調査することができる。この場合、受領者は、開示者の調査に協力しなければならない。
第7条 漏えいなどが発生した場合の措置
1 受領者は、個人情報などの漏えい、盗難、紛失、その他、個人情報についての事故が発生した場合、あるいは発生する恐れがある場合、直ちに開示者に対して報告をしなければならない。
2 受領者は、開示者が、受領者の報告内容を公表し、あるいは本人、個人情報保護委員会、その他の関係者に報告することを、あらかじめ承諾する。
3 第1項、第2項の場合、開示者は受領者に対し、本人の利益保護、その他、漏えい、盗難、紛失などの事故の影響を最小限にするために、必要な措置を取ることを指示することができ、受領者は、自己の費用によって、これらの措置を取らなければならない。
第8条 損害賠償
1 前条の事故が発生した場合、その他、受領者が本契約の定めに違反した場合、開示者は、何ら催告することなく、本契約を解除することができる。
2 前項の場合、開示者に損害が発生し、受領者に責めに帰すべき事由があるときは、開示者は受領者に対して、損害賠償を請求することができる。
第9条 管轄裁判所
本契約によって生じた紛争については、●●地方裁判所あるいは●●簡易裁判所を第1審の専属管轄裁判所とする。
第10条 有効期間
本件契約の有効期間は、本契約締結の日から、●年●月●日までとし、契約終了日の●ヶ月前までに、甲、乙いずれからも、契約を終了させる旨の意思表示がないときは、さらに1年間、延長されるものとし、その後も同様とする。
第11条 協議
本件契約に関し、甲、乙間に紛争が生じた場合には、当事者は誠実に協議し、解決に努めるものとする。
本件契約の成立を証するため本書2通を作成し、当事者が記名捺印の上、各1通を保有する。
- 年●月●日
甲(住所)
株式会社●●
代表取締役●● ㊞
乙(住所)
株式会社●●
代表取締役●● ㊞
⑵ 個人情報に関する誓約書
企業が、個人情報を守るため、従業員から取得する誓約書です。
令和●年●月●日●●株式会社代表取締役 ●● 殿住所
氏名
私は、下記の事項を遵守することを誓約いたします。
記
一 貴社の就業規則、個人情報管理規程、●●などを遵守します。
二 在職中に知り得た、貴社が保有する個人情報、個人データを含む一切の個人の情報(以下「個人情報など」と言います。貴社の顧客に関する情報を含みます)を、いかなる方法によっても、開示、漏洩、使用しません。
三 個人情報などに関連して作成または入手した書類、情報などのすべての資料(磁気テープ、CD-ROM・フロッピーディスク・USBメモリなどの磁気媒体、紙媒体、その他一切の資料)について、
① 業務の目的以外に使用、複製、複写しません。
② 厳重に管理し、貴社の許可なく外部に持ちだすことはしません。
③ 業務上の必要がなくなった時は、速やかに貴社に返還し、または貴社の指示に従って消去します。
四 退職時には、前項の資料をすべて貴社に返還し、これらの情報を、私自身のため、あるいは他の事業者、その他の第三者のために開示、漏洩、使用しません。
五 貴社が個人情報などの流失を防止、あるいは調査するため、貴社で私が使用しているパソコン、その他のもの(私の私物を含みます)について、貴社が調査することを承諾します。
六 前各条項に反したときは、それによって会社が被った損害の一切を賠償します。
以上
今回のコラムについてご質問がある場合、電子メール(2021glexpand@g-leaf.or.jp)にてお受けします。件名には、コラムを書いた弁護士名をご記載ください。大変恐縮ですが、電話でのご質問はお受けしておりません。
企業法務を得意とする法律事務所をお探しの場合、ぜひ、当事務所との顧問契約をご検討ください。