○洋野町個人情報取扱事務等の委託基準
令和5年3月31日
告示第47号
(趣旨)
第1条 この告示は、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第66条第1項、第73条第2項、第121条第2項又は第123条第3項の規定に基づき、実施機関が法第2条第1項に規定する個人情報、法第73条第1項に規定する仮名加工情報、法第109条第1項に規定する行政機関等匿名加工情報又は法第123条第1項に規定する匿名加工情報(以下「個人情報等」という。)を取り扱う事務又は事業(以下「事務等」という。)を実施機関以外のものに委託する場合において、個人情報等の安全管理について講ずべき措置に関し、必要な事項を定めるものとする。
(告示の対象となる委託契約)
第2条 この告示の対象となる委託契約とは、実施機関が個人情報等の取扱いを伴う事務等の全部又は一部を実施機関以外のものに委託する全ての契約をいい、一般に委託と称されるもののほか、印刷、筆耕、翻訳等の契約及び使用料の収納の委託等の公法上の契約を含むものとする。
(委託に当たっての留意事項)
第3条 実施機関が個人情報の取扱いを伴う事務等を実施機関以外のものに委託するときは、次の事項に留意するものとする。
(1) 委託先の選定に当たっては、個人情報の保護に関し安全管理措置がなされ、別記「個人情報取扱特記事項」(以下「特記事項」という。)を遵守できるものを慎重に選定すること。
なお、特定個人情報(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第8項に規定する特定個人情報をいう。)を取り扱う事務等を委託する場合にあっては、実施機関が果たすべき安全管理措置と同等の措置が講じられるか否かについて、あらかじめ確認すること。
(2) 委託する事務等(以下「委託事務等」という。)を処理させるために委託先に提供する個人情報は、委託事務等の目的の範囲内で、必要かつ最小限のものとすること。
(3) 入札に当たっては入札前に、随意契約に当たっては見積書を徴する時に、委託事務等及び当該事務等で取り扱う個人情報の性質を考慮し、次の内容を相手先に周知すること。
なお、周知は、仕様書等の書面に記載して明確にすること。
イ 受注者は、法第66条第2項において準用する同条第1項の規定による安全管理措置を講ずる義務及び契約内容の特記事項について遵守しなければならないこと。
ロ 受注者は、当該業務において取り扱う個人情報の管理責任者(以下「個人情報管理責任者」という。)及び当該業務に従事する者(以下「受注業務従事者」という。)を指定し、実施機関に報告すること。
ハ 受注者は、利用目的以外の目的のために利用しないよう、受託事務等において取り扱う個人情報の使用目的、使用範囲等を明確にすること。
ニ 受注者は、引き渡された個人情報の返還、廃棄等の時期を明確にすること。また、業務完了後も発注者に個人情報の保管を指示された場合は、その方法を明確にすること。その保管が完了したときは、発注者の指示に従い、速やかに個人情報を返還し、又は廃棄すること。
ホ 受注者は、個人情報の運搬が伴う場合には、運搬の過程で個人情報が紛失等することがないように、受注業務従事者が直接運搬する等、運搬及び受渡しの方法について確実な措置を講じなければならないこと。
ヘ 特記事項に違反した場合には、損害賠償請求、指名停止等の措置を採る場合があり、法に違反した場合には、法の規定に基づき処罰される場合があること。
ト 個人情報の適正な取扱いを確保するため、実施機関は、別途報告又は資料の提出を指示する場合があり、その場合、受注者は、実施機関の指示に従うこと。
(委託契約の類型)
第4条 個人情報を取り扱う事務等の委託に係る契約については、事務等の性質によって個人情報の取扱いの実態が異なるため、個人情報を取り扱う事務等の委託契約を分類し、それぞれの類型に応じて個人情報の保護のために必要な措置が講じられるよう、事務等の実態に応じて適切な内容の契約を受注者と締結することが必要であることから、個人情報の取扱いの形態に着目して、次のとおり分類することとする。
【類型1】町が保有する個人情報を受注者に引き渡してその処理を行わせるもの
例:電算入力データエントリーの委託、通知書等の封入封かん作業
【類型2】町は個人情報を引き渡さないが、委託事務等の性質上、受注者において個人情報を取り扱うことが予定されているもの
例:世論調査、アンケート調査等、大会・研修会等の運営の委託
【類型3】委託事務等の性質上、個人情報を取り扱うことが予定されていないが、受注者が当該事務等の遂行に当たって、個人情報を取り扱うことがあり得るもの又は個人情報を入手できる状況となり得るもの
例:庁舎等警備業務、システム等の保守点検・開発業務等
2 実施機関は、契約書によらないで契約するときは、受注者に別記個人情報取扱特記事項を契約事項として交付し、書面による承諾を得なければならない。
契約書記載例
(個人情報の保護) 第○条 受注者は、この契約による事務の処理又は事業の遂行をするための個人情報の取扱いについては、別記「個人情報取扱特記事項」を遵守しなければならない。 |
(委託事務等の遂行に当たっての留意事項)
第6条 実施機関は、委託事務等の遂行に当たり、個人情報の適切な取扱いを確保するため、当該委託事務等の実態等に応じて、受注者に次の事項を指示し、又は報告を求めるものとする。
(1) 個人情報管理責任者及び受注業務従事者の指定及びその報告
(2) 個人情報の取扱いに関する教育研修の実施状況の報告
(3) 保管方法・場所、作業場所等の管理体制の状況の報告
(4) 個人情報が記録された資料等の運搬を伴う場合にあっては、運搬状況の記録及び記録の保管
(5) 事故発生時の対応の報告
(6) その他委託事務等の遂行に当たって取り扱う個人情報の保護のために必要な事項の報告
(1) 個人情報の持出しに関する協議
イ 実施機関の職員と打合せをするために持ち出す場合等正当な理由があると認められること。
ロ 持ち出す個人情報の範囲が特定され、及びその範囲が必要かつ最小限であると認められること。
ハ その他個人情報の保護に関し、安全管理措置が講じられていると認められること。
(2) 契約の目的以外の第三者への提供に関する協議
イ 法令に基づき提供する場合、実施機関の利用目的の範囲内で提供する場合又は法第69条第2項各号のいずれかに該当する場合であって、受注者又は第三者の不正な利益を図るために提供するものではないと認められること。
ロ 提供する個人情報の範囲が特定され、及びその範囲が必要かつ最小限であると認められること。
ハ 提供を受ける第三者が提供した目的以外の目的に利用しないと認められ、かつ、利用後、廃棄、返還等の措置が確実に講じられると認められること。
ニ その他個人情報の保護に関し、安全管理措置が講じられていると認められること。
(3) 複写及び複製に関する協議
イ 複写又は複製をする個人情報の範囲が特定され、及びその範囲が必要かつ最小限であると認められること。
ロ 複写又は複製をした資料等を契約の目的以外の目的に利用しないと認められること。
ハ 複写又は複製の後、当該資料等の廃棄、返還等の措置が確実に講じられると認められること。
ニ その他個人情報の保護に関し、安全管理措置が講じられていると認められること。
(4) 再委託に関する協議
ロ 再委託を行う事務等の範囲及び再委託先に引き渡す個人情報の範囲が特定され、及びその範囲が必要かつ最小限であると認められること。
ハ 再委託先に引き渡した資料等の廃棄、返還等の措置が確実に、かつ、適切に講じられると認められること。
ニ 再委託により事故が発生した場合の責任の所在が明確にされていること。
ホ 実施機関が承諾した場合を除き、再々委託が禁止されていること。
ヘ その他再委託に係る個人情報の保護に関し、安全管理措置が講じられていると認められること。
3 実施機関は、受注者から協議のあった前項の事項について、書面により承諾する場合には、個人情報の保護に関し、必要な条件を付して承諾するものとする。
(事故発生時の対応)
第7条 実施機関は、受注者において個人情報の漏えい等の事故が発生した場合は、直ちに状況を把握し、当該受注者とともに、被害の拡大防止又は復旧、情報漏えい等の対象となった本人への対応等のための必要な措置を講じなければならない。また、当該受注者に対して、個人情報の適正管理に関する指導を行い、当該事故の概要、原因等の事実関係、再発防止のために採った措置等が記載された報告書の提出を求めるものとする。
2 実施機関は、契約の目的以外の第三者への提供について受注者から協議があったときは、法令に基づき提供する場合を除き、承諾してはならない。
2 実施機関は、契約の目的以外の第三者への提供について受注者から協議があったときは、法第109条第2項各号のいずれかに該当する場合を除き、承諾してはならない。
2 実施機関は、契約の目的以外の第三者への提供について受注者から協議があったときは、法令に基づき提供する場合を除き、法第123条第1項の規定による公表を実施機関が行わない限り、承諾してはならない。
制定文 抄
令和5年4月1日から施行する。
別記(第5条関係)
個人情報取扱特記事項
(基本的事項)
第1 受注者は、個人情報の保護の重要性を認識し、この契約に係る事務の処理又は事業の遂行(以下単に「業務」という。)の実施に当たっては個人の権利利益を侵害することのないよう、個人情報の取扱いを適正に行わなければならない。また、死者に関する情報についてもまた、同様に適正に取り扱わなければならない。
(秘密の保持)
第2 受注者は、業務に関して知り得た個人情報をみだりに他に知らせ、又は不当な目的に利用してはならない。業務が終了し、又はこの契約を解除された後においても、同様とする。
(個人情報管理責任者等)
第3 受注者は、業務における個人情報の取扱いに係る管理責任者(以下「個人情報管理責任者」という。)及び業務に従事する者(以下「業務従事者」という。)を定め、書面により発注者に報告しなければならない。
2 受注者は、個人情報管理責任者及び業務従事者を変更する場合は、書面によりあらかじめ発注者に報告しなければならない。
3 個人情報管理責任者は、個人情報取扱特記事項(以下「特記事項」という。)に定める事項を適切に実施するよう業務従事者を監督しなければならない。
4 業務従事者は、個人情報管理責任者の指示に従い、特記事項に定める事項を遵守しなければならない。
(作業場所の特定)
第4 受注者は、個人情報を取り扱う場所(以下「作業場所」という。)を定め、あらかじめ発注者に報告しなければならない。
2 受注者は、作業場所を変更する場合は、書面によりあらかじめ発注者に報告しなければならない。
(個人情報の持出しの禁止)
第5 受注者は、発注者の指示又は事前の承諾がある場合を除き、個人情報を作業場所から持ち出してはならない。
(保有の制限)
第6 受注者は、業務を行うために個人情報を取得し、又は作成するに当たっては、法令(条例を含む。)の定める所掌業務を遂行するため必要な場合に限り、利用目的の達成に必要な範囲を超えて個人情報を保有してはならない。
(個人情報の目的外利用及び提供の禁止)
第7 受注者は、発注者の指示がある場合を除き、業務に関して知り得た個人情報をこの契約の目的以外のために利用し、又は発注者の書面による承諾なしに第三者に提供してはならない。
(漏えい、毀損及び滅失の防止等)
第8 受注者は、業務に関して知り得た個人情報の漏えい、毀損及び滅失の防止その他の個人情報の適切な管理のために必要な措置を講じなければならない。
(教育の実施)
第9 受注者は、個人情報管理責任者及び業務従事者に対して、次に掲げる事項について、教育及び研修を実施しなければならない。
(1) 在職中、当該契約による業務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならないこと。退職後においても、同様とすること。
(2) 特記事項において業務従事者が遵守すべき事項その他業務の適切な履行に必要な事項
(資料の返還等)
第10 受注者は、業務を処理するために、(※①発注者から引き渡された、又は受注者自らが取得し、若しくは作成した②発注者から引き渡された③受注者自ら取得し、又は作成した)個人情報が記録された資料は、業務完了後(※使用する必要がなくなった場合は、)直ちに(※①発注者に返還し、又は引き渡す②発注者に返還する③速やかに、かつ、確実に廃棄する)ものとする。ただし、発注者が別に指示したときは、当該方法によるものとする。
(複写又は複製の禁止)
第11 受注者は、業務を処理するために発注者から引き渡された個人情報が記録された資料等について、発注者の書面による承諾なしに複写又は複製をしてはならない。
(個人情報の運搬)
第12 受注者は、業務を処理するため、又は業務完了後において個人情報が記録された資料等を運搬する(※必要がある)ときは、個人情報の漏えい、紛失又は滅失等を防止するため、受注者の責任において、確実な方法により運搬しなければならない。
(再委託の承諾)
第13 受注者は、業務に関して知り得た個人情報の処理を自ら行うものとし、発注者が書面により承諾した場合を除き、第三者にその取扱いを委託してはならない。なお、再委託した業務を更に委託する場合も同様とする。
2 受注者は、前項の規定による承諾を受ける場合は、再委託先の名称、再委託する理由、再委託して処理する内容、再委託先において取り扱う情報、再委託先における安全性及び信頼性を確保する対策並びに再委託先に対する管理及び監督の方法を明確にした上で、業務の着手前に、書面により再委託する旨を発注者に協議し、その承諾を得なければならない。
3 前項の場合において、受注者は再委託先にこの契約に基づく一切の義務を遵守させるとともに、発注者に対して、再委託先の全ての行為及び結果について責任を負うものとする。
4 受注者は、再委託先との契約において、再委託先に対する管理、監督の手続及び方法について具体的に定めなければならない。
5 受注者は、再委託先に業務を委託した場合は、その履行状況を管理・監督するとともに、発注者の求めに応じて、管理及び監督の状況を発注者に対して適宜報告しなければならない。
(実地調査)
第14 発注者は、受注者が業務に関して取り扱う個人情報の利用、管理状況等について、随時実地に調査することができる。
(指示、報告等)
第15 発注者は、受注者が業務に関して取り扱う個人情報の適切な管理を確保するため、受注者に対して必要な指示を行い、又は必要な事項の報告若しくは資料の提出を求めることができる。
(事故発生時の対応)
第16 受注者は、業務に関し個人情報の漏えい等の事故が発生した場合は、その事故の発生に係る帰責の有無にかかわらず、直ちに発注者に対して、当該事故に関わる個人情報の内容、件数、事故の発生場所、発生状況等を書面により報告し、発注者の指示に従わなければならない。
2 発注者は、業務に関し個人情報の漏えい等の事故が発生した場合は、必要に応じて当該事故に関する情報を公表することができる。
((※①仮名加工情報②行政機関等匿名加工情報③匿名加工情報)の安全管理措置)
第17 第1から第5まで及び第7から第16までの規定は、(※①個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第73条第1項に規定する仮名加工情報②個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第121条第1項に規定する行政機関等匿名加工情報③個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)第123条第1項に規定する匿名加工情報)を取り扱う事務又は事業の委託について準用する。
(仮名加工情報の識別行為の禁止)
第18 受注者は、仮名加工情報を取り扱うに当たっては、当該仮名加工情報の作成に用いられた個人情報に係る本人を識別するために、削除情報等(仮名加工情報の作成に用いられた個人情報から削除された記述等及び個人識別符号並びに法第41条第1項の規定により行われた加工の方法に関する情報をいう。)を取得し、又は当該仮名加工情報を他の情報と照合してはならない。
(仮名加工情報の本人への連絡等の禁止)
第19 受注者は、仮名加工情報を取り扱うに当たっては、法令に基づく場合を除き、本人に対して、電話をかけ、郵便若しくは民間事業者による信書の送達に関する法律(平成14年法律第99号)第2条第6項に規定する一般信書便事業者若しくは同条第9項に規定する特定信書便事業者による同条第2項に規定する信書便により送付し、電報を送達し、ファクシミリ装置若しくは電磁的方法(電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法であって個人情報保護委員会規則で定めるものをいう。)を用いて送信し、又は住居を訪問するために、当該仮名加工情報に含まれる連絡先その他の情報を利用してはならない。
(行政機関等匿名加工情報の識別行為の禁止)
第20 受注者は、行政機関等匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該行政機関等匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該行政機関等匿名加工情報を他の情報と照合してはならない。
(匿名加工情報の識別行為の禁止)
第21 受注者は、匿名加工情報を取り扱うに当たっては、法令に基づく場合を除き、当該匿名加工情報の作成に用いられた個人情報に係る本人を識別するために、当該個人情報から削除された記述等若しくは個人識別符号若しくは法第43条第1項の規定により行われた加工の方法に関する情報を取得し、又は当該匿名加工情報を他の情報と照合してはならない。
注1 特記事項中の(※)の箇所については、業務の実態に則して、適切な事項を選択するものとする。
2 特記事項に違反した場合における契約解除、それに伴う損害賠償については、通常本契約で盛り込まれるものであるため、特記事項中に掲げていないが、本契約において契約事項として措置されてない場合には、特記事項を契約解除の要件、損害賠償の対象に加える等の措置をする必要がある。
3 業務の実態に則し、必要な事項を追加し、及び不要な事項を削除するものとする。
別表(第5条関係)
委託契約上の措置例(類型別)
別記「個人情報取扱特記事項」の各事項に関し、委託契約の類型ごとに特記すべき事項は、以下のとおりである。
なお、当該類型は参考であり、委託契約の性質及び実態に則し、必要な事項を追加し、及び不要な事項を削除するなどして、委託事務等に係る個人情報の適切な取扱いを確保すること。
【類型1】町が保有する個人情報を受注者に引き渡してその処理を行わせるもの
【類型2】町は個人情報を引き渡さないが、委託事務等の性質上、受注者において個人情報を取り扱うことが予定されているもの
【類型3】委託事務等の性質上、特に個人情報を取り扱うことが予定されていないが、受注者が当該事務等の遂行に当たって、個人情報を取り扱うことがあり得るもの又は個人情報を取り扱える状況となり得るもの
措置項目 | 類型1 | 類型2 | 類型3 |
第1 基本的事項 | ○ | ○ | ○ |
第2 秘密の保持 | ○ | ○ | ○ |
第3 個人情報管理責任者等 | ○ | ○ | △ |
第4 作業場所の特定 | ○ | ○ | ― |
第5 個人情報の持出しの禁止 | ○ | ○ | ― |
第6 保有の制限 | ○ | ○ | ― |
第7 個人情報の目的外利用及び提供の禁止 | ○ | ○ | ― |
第8 漏えい、毀損及び滅失の防止等 | ○ | ○ | ○ |
第9 教育の実施 | ○ | ○ | ○ |
第10 資料の返還等 | ○ | ○ | ― |
第11 複写又は複製の禁止 | ○ | ― | ― |
第12 個人情報の運搬 | △ | △ | ― |
第13 再委託の承諾 | ○ | ○ | ― |
第14 実地調査 | ○ | ○ | ― |
第15 指示、報告等 | ○ | ○ | △ |
第16 事故発生時の対応 | ○ | ○ | △ |
※ ○原則として規定すべき事項。△発注者が必要と認める場合に規定すべき事項。―該当しない。