今回は,委託先に対するセキュリティ対応の一環としての委託契約について検討します。これまでも指摘したとおり,委託契約ごとに委託される情報は様々であり,一律に決まっているわけではありません。

 それでは,契約書を作成する上で,どのような点に留意しなければならないのでしょうか。下記の項目は,経済産業省の個人情報保護法ガイドラインにおいて「個人データの取扱いを委託する場合に契約に盛り込むことが望まれる事項」として記載されているものです。

・委託者及び受託者の責任の明確化
・個人データの安全管理に関する事項
 -個人データの漏えい防止,盗用禁止に関する事項
 -委託契約範囲外の加工,利用の禁止
 -委託契約範囲外の複写,複製の禁止
 -委託契約期間
 -委託契約終了後の個人データの返還・消去・廃棄に関する事項
・再委託に関する事項
 -再委託を行うに当たっての委託者への文書による報告
・個人データの取扱状況に関する委託者への報告の内容及び頻度
・契約内容が遵守されていることの確認(例えば,情報セキュリティ監査なども含まれる)
・契約内容が遵守されなかった場合の措置
・セキュリティ事件・事故が発生した場合の報告・連絡に関する事項

 いずれも,「個人情報」に関する委託業務における契約条項としては,一般的な内容と言えるでしょう。ただし,「委託者及び受託者の責任の明確化」は,通常の契約条項には,あまりきちんと明記されていないように思います。記載されている場合でも,委託先が責任を負うというような一方的な内容になりがちではないでしょうか。

 業務委託したのだから「委託先が全部責任を負いなさい」というのは,一見合理的なようです。ですが,独占禁止法上の優越的地位の濫用や下請法違反の問題が生じかねず,問題のある責任の明確化だと考えます。また,仮に契約上は委託先が全責任を負うとしていても,実際には委託先が全責任を負うことはあり得ません。例えば,個人情報の漏えい対策では,法的には委託者にも監督責任があります。従って,監督を行うという部分で,委託者の責任は免れません。

 また,委託業務だからといって,委託先が当然のように責任を負うべきか,微妙な問題もあります。例えば,消費者向けの通販サイトの運営を外部委託していたとします。この場合,SQLインジェクションのようなセキュリティ・ホールの把握と改修は,委託者と委託先のどちらの責任と費用で実施すべきかが問題になります。これについては基本的には,委託業務の内容に「セキュリティ・ホールの把握と改修」が含まれているかどうかによって判断すべきであり,委託先で当然対応すべき問題であるとは言い切れないでしょう。

 パッチをあてるだけで対応可能なセキュリティ・ホールであれば大きな問題ではありません。ですが,それなりの費用が必要となるSQLインジェクション等への対応は,どちらの責任・費用で情報収集や対応を行うのか,契約によるルール決めが必要となってきます。

個人情報保護法以外の法的な要求事項を盛り込む必要も

 個人情報保護法ガイドラインにおける「個人データの安全管理に関する事項」については,一般的な定めであり,特に問題となるような事項はありません。ただ,個人情報以外の機密情報に関する委託の場合には,個人情報保護法以外の法的な要求事項をどのように満たすのかが問題になります。例えば,金融商品取引法上の内部統制の対象となる委託業務であれば,契約書において,金融商品取引法が遵守事項に含まれること,内部統制構築上要求される事項をどのように遵守させるのか,を盛り込む必要がでてくるでしょう。

 さらに,個人情報の場合は機密性が中心となりますが,その他の情報の場合,完全性や可用性が強く要求されることがあります。その場合,完全性,可用性をどのように確保するのかといった事項も,契約書に追加する必要があります。

 なお,「個人データの安全管理に関する事項」に関する詳細な事項は,どちらかというと契約書本体に書くことはなじまないものです。

 契約書本体には,上記のような目的外利用の禁止といった抽象的な条項しか記載できません。前々回のコラムでも指摘したように,現実的には具体的な安全対策に踏み込む必要があるとすれば,詳細な定めが必要となってきます。しかし,あまりに詳細な管理策を契約書に定めることは,実際的ではありません。そればかりか,その後の管理策の変更について,契約書の変更という手続きを経なければならないことになりかねません。

 また,実効的な委託先管理という観点からは,パスワード生成ルール,暗号化の強度等のセキュリティ・レベルの設定などまで踏み込むことも考えられますが,これらは,いったん決めたら固定するような性質のものではありません(例えば,5年前に安全だとされていたことが,現在安全だとは言い切れません)。

 セキュリティ・レベルの設定は,セキュリティ・リスクの変化に応じて見直すことを前提とするべきです。従って,契約書本体では「別途定めるセキュリティ標準に従い安全管理を行う」旨の条項をいれ,別途ルール決めを行うことが合理的です。SLA(サービス・レベル・アグリーメント),あるいはSLM(サービス・レベル・マネジメント)の考えを取り入れ,過剰品質を要求していないかを含め,随時見直していくべきでしょう。

「再委託」の事前同意は形式よりも合理性を重視

 「再委託に関する事項」を契約書に盛り込むことは当然です。ここで指摘したいのは,安易な「再委託禁止」条項です。

 一般的な契約書には,再委託原則禁止,例外的に委託者の事前同意で許可という条項が多いでしょう。確かに,委託先への監督責任が委託者に課せられている以上,フリーハンドで再委託を認めることはできません。

 しかし,情報処理の業界では再委託が不可避であるという場合も少なくありません。こうした状況で,委託者が再委託先の企業の実態を把握できるとは限りませんし,事前同意も形式的なものになりがちではないでしょうか。そうであれば,委託者が自ら定めた委託先選定基準と,委託者と委託先との間で定めた前述の「個人データの安全管理に関する事項」を,委託先と再委託先との契約に適用するよう求める内容を委託契約に盛り込む対応の方が,合理性ありと言えるのではないでしょうか(注1)。この場合,委託先は再委託先について,所定のフォームで委託者に報告することになります。

 要は,事前同意の形式よりも,実質的なリスク・コントロール方法として,自社に何が適切かよく考えて頂きたいのです。

 報告,確認・監査,事故時の連絡等については,形式的になりがちですが,これも具体的な手順を定めることが重要です。この点についても,委託情報のリスクに応じて簡易化できるところは簡易化し,リスクが高いものについては監査を行う等,メリハリが必要ではないかと思います。また,確認・監査の実効性を確保するためにも,委託先においてどのような資料(ログ,データの授受履歴等)を記録,保存するかという観点も重要です。

 見直しのポイントは以上がすべてというわけでは言うことではありませんが,契約書もリスク管理のツールの一つです。実質的なリスクの低減という観点から,今一度見直しをかけることが求められているのではないでしょうか。

(注1)再委託に関する条項の例としては,「情報システムの信頼性向上のための取引慣行・契約に関する研究会」中間のまとめ,「~情報システム・モデル取引・契約書~(受託開発(一部企画を含む),保守・運用)〈第一版〉」の52頁以下参照。許諾を要求する場合と,しない場合の条項例が記載されている。ソフトウエア開発場面での条項例だが,他の業務委託の場合にも考え方は援用できると思われる


→「知っておきたいIT法律入門」の記事一覧へ

■北岡 弘章 (きたおか ひろあき)

【略歴】
 弁護士・弁理士。同志社大学法学部卒業,1997年弁護士登録,2004年弁理士登録。大阪弁護士会所属。企業法務,特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護,プライバシーマーク取得のためのコンサルティング,営業秘密管理に関連する相談業務や,産学連携,技術系ベンチャーの支援も行っている。
 2001~2002年,堺市情報システムセキュリティ懇話会委員,2006年より大阪デジタルコンテンツビジネス創出協議会アドバイザー,情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。

【著書】
 「漏洩事件Q&Aに学ぶ 個人情報保護と対策 改訂版」(日経BP社),「人事部のための個人情報保護法」共著(労務行政研究所),「SEのための法律入門」(日経BP社)など。

【ホームページ】
 事務所のホームページ(http://www.i-law.jp/)の他に,ブログの「情報法考現学」(http://blog.i-law.jp/)も執筆中。