先日の「個人情報の管理の委託に関する覚書/チェックリストシリーズ②」において、続きは次回としていましたが、続きをすっかり忘れていました。。。


前回、『では、①「管理責任者の設置と届け出 ・変更届」とか②「個人情報の返還、消去、破棄義務」なんて条項はどうでしょうか?
あとは、③「(委託者側の承認が必要な)安全管理措置」とかはどうでしょうか?
もし、仮に相手方のドラフトにこういった条項が入っていなかったとしたら。。。
受託者側の法務はどのようにすべきか?』
という問いかけで終わっていましたので、今日は、その続きを。

最終的には、受託者側の法務は、自社内の個人情報の管理体制との関係を考慮して決めることだと思いますが、個人的には、①は不要、②は必要、③は原則必要と考えています。

①は、管理責任者の設置は規定しても良いと思いますが、「設置の届け出・変更届け」はたいした義務ではありませんが、それを規定することに自社(受託者側)にあまりメリットがあることではないので、不要な条項だと思っています。
逆に②は、「個人情報の返還、消去、破棄義務」は、受託者側がわざわざこのような義務は負うべきでないということも考えられますが、個人情報の保護義務を負い、個人情報を漏洩させないと約束している以上、不要な秘密情報は受け取らない、受け取った情報が不要になった場合、即座に、返還、消去、破棄するとした方が、万が一の個人情報漏洩事故を回避できますし、自社以外から漏洩した際に、既に、個人情報を返還、消去、破棄していれば、そしてその記録があれば、自社から個人情報が漏洩していないことを証明することが容易になると思います。
従いまして、規定した上で、会社としてきちんと対応するという方がメリットが高いともいえます。

問題は、③の「(委託者側の承認が必要な)安全管理措置」ですが、自社内の安全管理措置について委託者側の承認が必要としてしまっても良いと思います。
確かに、委託者側の承認が必要となると、色々と社内のことに口出しをされて、ビジネスに影響があるというのも分かりますが、委託者側の協力のもと、社内体制の整備をすることで、実質的にリスクを下げるという考え方は、それほど筋の悪い話ではないと思います。
近時のように、個人情報保護に対する意識が高まっている社会を考えると、委託者側との関係だけを考えて、そもそも「安全管理措置」に関する規定がないから、当社の義務が軽くて有利な契約であるとか、「安全管理措置」に関する規定はあるけれども、委託者側の承認が不要で良かったというのは、少し短絡的な考え方のような気がします。
個人情報漏洩事故を起こしてしまっては、大局的な観点からは、大きなビジネスリスクです。たとえ、規定しなかったことで、相手方との関係で契約上の義務は負わなかったとしても、個人情報を漏洩した会社であるとして、大勢の顧客を失うことに繋がりかねません。

また、委託者側の承認を得た安全管理措置のもと、個人情報漏洩事故が起きた場合、対委託者との関係では「貴社(委託者)が承認した安全管理措置のもと、個人情報漏洩事故が起きてしまったのであるから、当社に帰責性がないか、当社だけの責任ではなく、貴社にも責任がある。」と主張して争うことも可能なように思います。

というわけで、一概に義務を負わない契約が良いとは言えない、と思っています。