個人データの取扱いの委託とは？委託先による漏えいも委託元の責任？

本記事は2024年6月の情報に基づき執筆されたものです。

2024年に発生した、上場企業およびその子会社で個人情報の漏えいや紛失事故は189件で、2021年から4年連続で最多を更新しています。

参照：株式会社東京商工リサーチ「2024年上場企業の「個人情報漏えい・紛失」事故　過去最多の189件、漏えい情報は1,586万人分」

中には、委託元において「個人データの取扱いの委託を行っていたとの認識が薄く、委託先の監督が結果的に不十分となっていた可能性」が指摘されている事案もあります。

そこで、本記事では、「個人データの取扱いの委託」とはなにか、委託元にどのような責任が課されるのかを説明します。

1. そもそも「個人データ」とは

個人データとは、「個人情報データベース等を構成する個人情報」をいいます（個人情報保護法第16条第3項）。

そして、個人情報とは、次の要件を満たす情報をいいます（同法第2条第1項）。

• 生存する個人に関する情報であること
• 次のいずれかに該当すること
• 氏名・生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別できることとなるものを含む）
• 個人識別符号（生体データやマイナンバー等）が含まれるもの

氏名はそれ単体で特定の個人を識別することができるとされていますが、生年月日や住所等の連絡先も氏名と組み合わせた場合には特定の個人を識別できるとされています。特に、氏名＋会社等所属ドメインのメールアドレスは特定の個人を識別できるとされていますが、個人情報ではないと誤解されることが多く、注意が必要です。

この個人情報の集合体のうち、特定の個人情報を検索することができるように体系的に整理したものである個人情報データベース等を構成するものを「個人データ」といいます。

このように、すべての個人情報が個人データに該当するわけではなく、個人情報の一部が個人データとなります。個人データに該当すると、個人情報のままの場合よりも事業者が遵守すべき事項が増えます。

2. 個人データの提供・取扱い・委託とは

（1）個人データの「提供」とは

個人データの「提供」とは、次のとおり説明されています。

「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。

引用：個人情報の保護に関する法律についてのガイドライン（通則編）2-17

実務上、種々の事情により個人データを第三者に提供する必要がある場合が多いですが、個人情報保護法上、個人データを第三者に「提供」するためには、次のいずれかの事由に該当しない限り、本人の同意が必要とされています（同法第27条第1項）。

事由1：提供先の「第三者」性を否定できる事情がある場合

• 個人データの取扱いの委託（同条第5項第1号）
• 事業承継（同項第2号）
• 共同利用（同項第3号）

事由2：個人の権利利益の侵害を上回る利益が見込まれる事情がある場合

• 法令に基づく場合など（同条第1項）

事由3：本人の同意に代替する手続をとる場合

• オプトアウト（同条第2項から第4項）

なお、本記事では詳細に踏み込みませんが、上記「提供」の定義に照らし、個人情報取扱事業者が自己の取扱う個人データを含む電子データに関してクラウドサービスを利用する場合の考え方（「クラウド例外」などと呼ばれることがあります）も非常に重要です。

詳細は、以下の文書をご参照ください。
「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7-53

（2）個人データの「取扱い」とは

法令及びガイドラインにおいて個人データの「取扱い」について定義したものはありませんが、次のような記述が参考になります。

（「取扱い」の意義に関し）

（個人データの取扱いに係る規律の整備）

事例）取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について個人データの取扱規程を策定"

引用：個人情報の保護に関する法律についてのガイドライン（通則編）3-8-1

（「利用」の意義に関し）

特段の定義があるわけではありませんが、取得及び廃棄を除く取扱い全般を意味すると考えられます。したがって、保管しているだけでも利用に該当します。

 引用：「個人情報の保護に関する法律についてのガイドライン」に関するQ&A2-3

これらによれば、少なくとも個人情報保護委員会は、個人データの取得・利用・保存・提供・削除・廃棄といった個人データの処理全般を「取扱い」と整理していることが伺えます。

なお、EUのGDPRにおける個人データの取扱い/処理（"processing"）は次のとおり定義されており、概ね上記整理と同様です。

「取扱い」とは、自動的な手段によるか否かを問わず、収集、記録、編集、構成、記録保存、修正若しくは変更、検索、参照、使用、送信による開示、配布、又は、それら以外に利用可能なものとすること、整列若しくは結合、制限、消去若しくは破壊のような、個人データ若しくは一群の個人データに実施される業務遂行又は一群の業務遂行を意味する。 

引用：個人情報保護委員会仮訳「一般データ保護規則（GDPR）の条文」

（3）個人データの取扱いの委託とは

個人データの取扱いの委託については、次のとおり説明されています。

「個人データの取扱いの委託」とは、契約の形態・種類を問わず、個人情報取扱事業者が他の者に個人データの取扱いを行わせることをいう。具体的には、個人データの入力（本人からの取得を含む。）、編集、分析、出力等の処理を行うことを委託すること等が想定される。

 引用：個人情報の保護に関する法律についてのガイドライン（通則編）3-4-4

直近では、次のような業務及び事例において、個人情報保護委員会による注意喚起や行政上の対応が行われました。

• コールセンターシステムの運用保守業務（個人情報保護委員会ウェブサイト）
• 社会保険/人事労務業務支援（個人情報保護委員会ウェブサイト）
• 電話営業用の顧客情報管理業務（個人情報保護委員会ウェブサイト）

3. 個人データの取扱いの委託の例

上記のとおり、個人データの取扱いの委託に該当すれば、本人の同意なく個人データを外部に提供することができます。これは実務上使い勝手のよい制度であり重宝されていますが、当然ながら限界があります。

そこで、次のような事例を挙げて説明します。

事例1：百貨店が注文を受けた商品の配送のために、宅配業者に個人データを提供する場合

この場合、百貨店と宅配業者の間には、商品の配送を内容とした業務委託契約が存在することになります。そして、商品の配送を行うためには、当然に配送先の氏名や住所等宛名に関する個人データが必要となり、百貨店から宅配業者に対して個人データが提供されます。

これを個人情報保護法の観点で整理すると次のようになります。

• 商品の配送を行うために氏名や住所等宛名に関する個人データを用いることは、個人データの「利用」に該当し、「取扱い」の一要素を構成します
• 百貨店は商品の配送を個人情報の利用目的として通知又は公表していることが通常だと思われます
• 本来であれば百貨店が自ら商品の配送を行うために個人データの利用（取扱い）を行うことができるところ、それを宅配業者に委託します
• したがって、百貨店という個人情報取扱事業者の利用目的の達成に必要な範囲内で、個人データの取扱いの一部を委託することに伴い、当該個人データを宅配業者に提供する場合として、本人の同意なく提供可能です（個人情報保護法第27条第5項第1号）
• ただし、百貨店が宅配業者に委託したのは宛名に関する個人データの取扱いであり、商品の中身に関する情報について取扱いを委託する特段の合意がなければ、当該情報については、取扱いが委託されているわけではないと考えられます（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7-35）

事例2：百貨店がデータ分析を委託することに伴い分析業者に個人データを提供する場合

事例1より直接的に個人データの取扱いが委託される事例です。つまり、百貨店（委託元）と分析業者（委託先）の間の業務委託契約の内容そのものが個人データの分析（取扱い）です。事例1と事例2を混同するケースが多いように思われます。

契約上の委託の内容と個人データの取扱いの委託の内容をよく吟味することが重要です。

事例2についても、百貨店の利用目的に分析が含まれているのであれば、分析業者への個人データの提供は、個人データの取扱いの委託として本人の同意なく行うことが可能です。

ここで、分析業者が、次のいずれかのために百貨店から提供を受けた個人データを利用できるかは別途問題となります。

①　百貨店から委託された業務を適切に処理するべく分析技術を改善させるため
②　分析業者自身の発展・業績向上のため

この点、「提供先は、委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱われることに合理性があるため、委託された業務以外に当該個人データを取り扱うことはできない」とされています（個人情報の保護に関する法律についてのガイドライン（通則編）3-6-3）。

個別の事情にもよりますが、①のように委託業務を処理する一環でありそのために必要であれば、「委託元から提供された個人データを、自社の分析技術の改善のために利用することができ」るとされており（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7-39）、他方、②のように「委託された業務の範囲外で委託先が当該加工を行い、作成された統計情報を自社のために用いることはでき」ないとされています（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7-38）。

また、百貨店から提供を受けた個人データのみでは十分な分析ができないと考えた分析業者が、次のいずれかの行為ができるかについても別途問題となります。

（a）独自に収集した個人データと突合して分析を行うこと
（b）別の事業者から提供を受けた個人データと突合して分析を行うこと

これは俗に「混ぜるな危険」と呼ばれている事例で、かつてはガイドラインやQ&Aに明記されていなかったこともあり、誤解が多く生じていました。例えば、2018年12月25日結果公表のパブコメNo.6がわかりやすい例かと思います。

もし（a）や（b）の行為が個人データの取扱いの委託を根拠に可能だとすると、法の潜脱（せんだつ）を認めることになります。つまり、本来、（a）や（b）の行為を行うためには、第1段階として分析業者又は他の事業者から百貨店に対し個人データの提供を行い、その後、第2段階として当該個人データと元々百貨店が有していた個人データを突合して分析を行うという手順を踏む必要がありますが、第1段階の個人データの提供は、委託に基づくものではなく、原則として本人の同意が必要となるはずです。

そこで、「複数の個人情報取扱事業者から個人データの取扱いの委託を受けている者が、各個人情報取扱事業者から提供された個人データを区別せずに混ぜて取り扱っている場合」は「委託された業務以外に当該個人データを取扱う」ことに該当すること（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7-37）、「委託先は、委託に伴って委託元から提供された個人データを、独自に取得した個人データ又は個人関連情報と本人ごとに突合することはでき」ないことがQ&Aに明記されました（同Q&A7-41）。

4. 個人データの取扱いの委託に関する規律

（1）委託先管理

個人データの取扱いを委託する場合、委託先において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならないとされています（個人情報保護法第25条）。

具体的には、委託元自らが講ずべき安全管理措置（個人情報保護法第23条）と同等の措置が講じられるよう、監督を行うよう求められています（個人情報の保護に関する法律についてのガイドライン（通則編）3-4-4）。これは、委託先が「委託された業務の範囲内でのみ、本人との関係において提供主体である個人情報取扱事業者と一体のものとして取り扱われることに合理性がある」ため（個人情報の保護に関する法律についてのガイドライン（通則編）3-6-3）、委託元から見て「第三者」に該当しないとされていることと無関係ではありません。

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。"

引用：個人情報保護法第23条

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。"

引用：個人情報保護法第25条

委託先管理は、「取扱いを委託する個人データの内容を踏まえ、個人データが漏えい等をした場合に本人が被る権利利益の侵害の大きさを考慮し、委託する事業の規模及び性質、個人データの取扱状況（取り扱う個人データの性質及び量を含む。）等に起因するリスクに応じ」、次に掲げる必要かつ適切な措置を講じなければならないとされています（個人情報の保護に関する法律についてのガイドライン（通則編）3-4-4）。

①　適切な委託先の選定

委託元に課される安全管理措置（個人情報の保護に関する法律についてのガイドライン（通則編）10（別添）講ずべき安全管理措置の内容）の各項目につき、委託業務の内容に沿って確実に実施されることをあらかじめ確認する必要があります。

②　委託契約の締結

特にクラウドサービスを利用する場合に、当該クラウドサービスを提供・運営するSaaS事業者に個人データを提供することになるのかどうか、いわゆる「クラウド例外」に該当するのかどうかを当該SaaS事業者が準備する利用規約等をよく読み込み検討する必要があります。

クラウドサービスの利用が委託等に該当する場合があることの理解が不足していたと考えられることから、クラウドサービスを利用して個人データを取り扱う場合及び個人データの取扱いの委託先がクラウドサービスを利用している場合に関し、①クラウドサービスの利用が、法第27条第５項第１号に規定される「個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」に該当する場合があること及び②①に該当する場合には、委託元は委託先に対する監督義務があることについて、注意喚起を実施する

引用：個人情報保護委員会ウェブサイト

③　委託先における個人データ取扱状況の把握

特に「委託先における個人データの取扱状況の把握に当たっては、定期的に監査を行う等により、委託契約で盛り込んだ内容の実施の程度を調査した上で、委託の内容等の見直しを検討することを含め、適切に評価することが望ましい」とされています（「コールセンター業務における個人データの取扱いに係る安全管理措置、従業者の監督及び委託先の監督に関する留意点について（注意喚起）」）。

（2）委託先による個人データの漏えい等への対応

個人情報取扱事業者は、自己が取扱う個人データの漏えい等報告対象となる事態が生じたことを知った場合、当該事態が生じた旨を個人情報保護委員会に報告しなければなりません（個人情報保護法第26条第1項、同法施行規則第7条）。

個人情報取扱事業者が取り扱う個人データの取扱いを委託している場合で、委託先において当該個人データの漏えい等報告対象事態が生じた場合、原則として委託元と委託先の双方が報告する義務を負います。なお、委託先は、委託元に当該報告対象事態が生じたことを速やかに通知したときは、個人情報保護委員会への報告義務が免除されます（個人情報保護法第26条第1項但書、同法施行規則第9条）。

他方、個人情報取扱事業者が取り扱う個人データの取扱いを委託している場合で、委託元において当該個人データの漏えい等報告対象事態が生じた場合、委託先は報告義務を負いません（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A6-21）。

また、仮に上記3.の事例1において宅配業者が誤配送し、それにより報告対象事態が生じた場合、当該宅配業者は配送の依頼を受けた中身については関知しないことから、委託元である百貨店のみが報告義務を負います（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A6-23）。

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。ただし、当該個人情報取扱事業者が、他の個人情報取扱事業者又は行政機関等から当該個人データの取扱いの全部又は一部の委託を受けた場合であって、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を当該他の個人情報取扱事業者又は行政機関等に通知したときは、この限りでない。

引用：個人情報保護法第26条第1項

（3）外国にある第三者への提供

個人データの取扱いを委託する場合、委託先は「第三者」に該当しないため、委託先への個人データの提供に本人の同意は必要ありませんが（個人情報保護法第27条第5項第1号）、外国にある第三者に個人データの取扱いを委託する場合、次のいずれかに該当しなければ、外国にある委託先への個人データの提供には本人の同意が必要となります（同法第28条第1項）。

　➀委託先が、我が国と同等の水準にあると認められる個人情報保護制度を有している国（2024年6月時点ではEU及び英国）にある場合

　②委託先が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として個人情報保護法施行規則第16条に定める基準に適合する体制を整備している場合

　➂個人情報保護法第27条第1項各号のいずれかに該当する場合

これは非常に誤解が多い点です。

個人情報保護法第28条第1項は次のような構造であり、①から③は上記①から③に対応しています。上記①から③に該当しない場合、つまり「外国」にある「第三者」に個人データを提供する場合で、かつ、同法第27条第1項各号に掲げる場合に該当しないとき、同条の規定は適用されず、したがって委託や共同利用に関する個人情報保護法第27条第5項も適用されないということです。

個人情報取扱事業者は、

　➀外国（中略）（個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるものを除く。以下この条及び同号において同じ。）にある

　②第三者（個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置（第三項において「相当措置」という。）を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号において同じ。）に個人データを提供する場合には、

　➂前条第一項各号に掲げる場合を除くほか、あらかじめ外国にある第三者への提供を認める旨の本人の同意を得なければならない。

この場合においては、同条の規定は、適用しない。

なお、我が国の個人情報取扱事業者から個人データの取扱いの委託を受けた外国にある委託先は、個人情報保護法の域外適用を受けます（同法第171条）。

（4）個人関連情報との関係

生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しない「個人関連情報」（個人情報保護法第2条第7項）を第三者に提供する場合で、当該第三者が個人データとして取得することが想定されるときは、同法第27条第1項各号に掲げる場合を除き、あらかじめ本人の同意取得を確認せず、当該個人関連情報を当該第三者に提供してはならないとされています（同法第31条第1項）。

ここでも個人関連情報の提供につき委託や共同利用に関する例外規定はなく（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A8-8）、個人関連情報の取扱いを委託する場合で、委託先が個人データとして取得することが想定されるときは、委託元が本人の同意取得を確認する必要があります。

なお、個人データの取扱いの委託に伴って委託元が提供した個人データが、委託先にとって個人関連情報に該当する場合において、委託先が委託業務の範囲内で委託元に当該データを返す行為については、個人情報保護法第31条第1項は適用されないとされています（「個人情報の保護に関する法律についてのガイドライン」に関するQ&A8-9）。

5. まとめ

いかがでしょうか。「委託」と一口に言っても一筋縄ではいかず、万能でもありません。

個人データの取扱いの委託に伴い個人データを提供する場合、委託先の管理にも注意が必要となり、委託先において漏えい等が生じた場合には、自社において漏えい等が生じた場合にも増して対応等が困難になることも想定されます。

また、直近では、「クラウド例外」によりクラウドサービス事業者に個人データを「提供」していないことになるのか、あるいは個人データの取扱いに伴う「提供」なのか、専門家でも悩ましい事例において個人情報保護委員会による行政上の対応がなされています。

弊社Priv Techでは、プライバシーに関するコンサルティングを実施しております。自社の個人データの取り扱い方法や社内体制に不安がある場合など、まずはお気軽にご相談ください。

＞＞お問い合わせはこちらから