(趣旨)
第1 この基準は、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第25条及び高知県公立大学法人における個人情報の保護に関する規程(令和5年4月1日制定)第32条並びに行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第11条の規定により、高知県公立大学法人(以下「法人」という。)が法人以外のものに個人情報又は個人番号及び特定個人情報(以下「個人情報等」という。)の取扱いに係る事務を委託する場合において、個人情報等の保護のために講ずべき措置に関し必要な事項を定めるものとする。
(基準の対象となる委託)
第2 この基準の対象となる委託契約は、法人が個人情報等の取扱いに係る事務の全部又は一部を法人以外のものに依頼する契約の全てをいい、一般に委託と称されるもののほか、印刷、筆耕及び翻訳等の契約を含むものとする。
(委託に当たっての留意事項)
第3 委託に当たっては、次に掲げる事項に留意するものとする。
(1)委託先の選定に当たっては、別記「個人情報等取扱特記事項」(以下「特記事項」という。)を遵守することができるものを慎重に選定すること。
(2)入札に当たっては入札の前に、随意契約に当たっては見積書を徴するときに、契約内容に個人情報等に関する特記事項があることを相手先に周知すること。
(3)受託者に対し、受託業務に従事している者又は従事していた者が個人情報等の取扱いに係る事務の漏えい等を行った場合は、個人情報保護法第179条又は番号法第48条及び第49条の規定に基づき処罰される場合があることを説明し、併せて特記事項第18第3項の規定に基づく公表又は特記事項第19第1項の規定に基づく契約の解除を行うことがあることを説明すること。
(契約の締結に当たっての留意事項)
第4 契約の締結に当たっては、次に掲げる事項に留意するものとする。
契約書に受託者が特記事項を守るべき旨を記載するものとする。ただし、契約書中に特記事項に掲げる内容を記載することを妨げない。
なお、契約書によらないで契約するときは、受託者に特記事項を契約事項として交付するものとする。
※契約書記載例
(個人情報等の保護)
第○条 乙は、この契約による業務を処理するための個人情報又は個人番号及び特定個人情報の取扱いについては、別記「個人情報等取扱特記事項」を守らなければならない。
注 委託内容に合わせて、適宜必要な事項を追加し、又は不要な事項を削除することができる。
(委託事務の実施に当たっての留意事項)
第5 委託の実施に当たっては、次に掲げる事項に留意するものとする。
(1)委託事務を行わせるために委託先に提供する個人情報等は、委託事務の目的の範囲内で必要最小限のものとすること。
(2)委託先が委託事務を再委託する場合(再委託先が再々委託を行う場合を含む。)は、あらかじめ法人の承認を必要とすること。
(3)法人が果たすべき安全管理措置と同等の措置が講じられるよう、委託先における個人情報等の取扱状況を把握し、適切に指導すること。
(その他)
第6 特記事項における「甲」は委託者である高知県公立大学法人を、「乙」は受託者を指す。
附 則
1 この基準は、令和6年12月1日から施行する。
2 高知県公立大学法人個人情報取扱事務委託基準(平成23年6月23日制定)は、廃止する。
別記
個人情報等取扱特記事項
(基本的事項)
第1 乙は、個人情報又は個人番号及び特定個人情報(以下「個人情報等」という。)の保護の重要性を認識し、この契約による業務の実施に当たっては、個人の権利利益を侵害することのないよう、個人情報等の取扱いを適正に行わなければならない。
(責任体制の整備)
第2 乙は、個人情報等の安全管理について、内部における責任体制を構築し、その体制を維持しなければならない。
(責任者等の報告)
第3 乙は、この契約による業務に関して知り得た個人情報等を取り扱う責任者(以下「業務責任者」という。)及び業務に従事する者(以下「業務従事者」という。)を定め、書面によりあらかじめ甲に報告しなければならない。業務責任者又は業務従事者を変更する場合も同様とする。
2 業務責任者は、本件特記事項に定める事項を適切に実施するよう、業務従事者を監督しなければならない。
3 業務従事者は、業務責任者の指示に従い、本件特記事項に定める事項を遵守しなければならない。
(作業場所等の特定)
第4 乙は、個人情報等を取り扱う場所(以下「作業場所」という。)を定め、あらかじめ甲に届け出なければならない。
2 乙は、作業場所を変更する場合は、あらかじめ甲に届け出なければならない。
3 乙は、個人番号及び特定個人情報(以下「特定個人情報等」という。)を取り扱う事務を実施する区域を明確にし、物理的安全管理措置を講じるものとする。
4 乙は、業務従事者に対し、身分証明書を常時携行させるとともに、事業者名を明記した名札等を着用させて業務に従事させなければならない。
(業務従事者に対する教育)
第5 乙は、業務従事者に対して、個人情報等の保護、情報セキュリティに対する意識の向上、本件特記事項において業務従事者が遵守すべき事項その他この契約による業務の適切な履行に必要な教育及び研修を実施しなければならない。
(秘密の保持)
第6 乙は、この契約による業務に関して知り得た個人情報等を他に漏らしてはならない。この契約が終了し、又は解除された後においても同様とする。
(再委託の制限)
第7 乙は、この契約による業務の全部又は一部を第三者(以下「再委託先」という。)に委託(以下「再委託」という。)する場合(再委託先が委託先の子会社(会社法(平成17年法律第86号)第2条第3号に規定する子会社をいう。)である場合又は二以上の段階にわたる委託である場合を含む。以下同じ。)は、あらかじめ次に掲げる項目を記載した書面を甲に提出して、甲の承諾を得なければならない。
(1)再委託を行う業務の内容
(2)再委託の期間
(3)再委託の相手方
(4)再委託が必要である理由
(5)再委託で取り扱う個人情報等
(6)再委託の相手方に求める個人情報等保護措置の内容
(7)前号の個人情報等保護措置の内容を遵守し、個人情報等を適切に取り扱うという再委託の相手方の誓約
(8)再委託の相手方の監督方法
(9)その他甲が必要があると認める事項
2 乙は、再委託を行ったときは、遅滞なく再委託の相手方における次に掲げる事項を記載した書面を甲に提出しなければならない。
(1)再委託先
(2)再委託をする業務の内容
(3)再委託の期間
(4)再委託先の責任体制等(業務従事者への教育方法、作業場所、保管場所及び保管方法を含む。)
(5)再委託先の個人情報等の保護に関する事項の内容及び監督方法
(6)その他甲が必要があると認める事項
3 乙は、前項の内容を変更する場合は、事前に甲に報告しなければならない。
4 乙は、再委託を行った場合は、再委託の相手方にこの契約に基づく一切の義務を遵守させるとともに、乙と再委託の相手方との契約内容にかかわらず、甲に対して再委託の相手方による個人情報等の取扱いに関する責任を負うものとする。
5 乙は、再委託を行った場合は、その履行状況を管理監督するとともに、甲の求めに応じて、その状況等を甲に報告しなければならない。
(派遣労働者の利用時の措置)
第8 乙は、この契約による業務を派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第2条第2号に規定する派遣労働者をいう。以下同じ。)に行わせる場合は、労働者派遣契約書に、秘密保持義務等個人情報等の取扱いに関する事項を明記しなければならない。
2 乙は、甲に対して、この契約に基づく一切の義務を遵守させるとともに、派遣労働者の全ての行為及びその結果について責任を負うものとする。
(収集及び保管の制限)
第9 乙は、この契約による業務を行うために個人情報を収集するときは、その業務の目的を明確にし、当該目的を達成するために必要な範囲内で、適法かつ公正な手段により行わなければならない。
2 乙は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第19条各号のいずれかに該当する場合を除き、特定個人情報等を収集し、又は保管してはならない。
(目的外利用及び提供の禁止)
第10 乙は、甲の指示又は承諾があるときを除き、この契約による業務に関して知り得た個人情報を、契約の目的以外に利用し、又は第三者に提供してはならない。
2 乙は、この契約による業務を行うために収集した特定個人情報等について、番号法第19条各号に掲げられたものについて甲が第三者への提供を指示した場合を除き、契約の目的以外に利用し、又は第三者に提供してはならない。
(提供の求めの制限)
第11 乙は、個人番号利用事務又は個人番号関係事務(以下「個人番号利用事務等」という。以下同じ。)を処理するために必要な場合その他番号法で定める場合を除き、個人番号の提供を求めてはならない。
(複写、複製及び作成の禁止)
第12 乙は、甲の承諾があるときを除き、この契約による業務を行うため甲から提供を受けた個人情報等が記録された資料等を複写し、又は複製してはならない。
2 乙は、個人番号利用事務等を処理するために必要な場合その他番号法で定める場合を除き、特定個人情報ファイルを作成してはならない。
(個人情報等の適正管理)
第13 乙は、この契約による業務に関して知り得た個人情報等について、漏えい、滅失及び毀損(以下「漏えい等」という。)の防止その他個人情報等の適正な管理のため、次に掲げる措置を講じなければならない。
(1)個人情報の秘匿性等その内容及び必要に応じて台帳等を整備し、責任者、保管場所その他の項目を当該台帳等に記録すること。
(2)特定個人情報等を管理するための台帳を整備し、責任者、保管場所その他の項目を当該台帳に記録すること。
(3)施錠が可能な保管庫又は施錠若しくは入退室管理の可能な保管室等で個人情報等を保管すること。
(4)甲の承諾があるときを除き、特定した場所から個人情報等を持ち出さないこと。
(5)個人情報等を電子データで持ち出す場合は、暗号化処理又はこれと同等以上の保護措置を行うこと。
(6)個人情報等を電子データで保管する場合は、当該データが記録された記録媒体及びそのバックアップデータの保管状況並びに記録された個人情報等の正確性について、定期的に点検すること。
(7)作業場所に、私用パソコン、私用記録媒体その他の私用物を持ち込んで、個人情報等を扱う作業を行わせないこと。
(8)個人情報等を利用する作業を行うパソコンに、個人情報等の漏えい等につながると考えられる業務に関係のないアプリケーションをインストールしないこと。
(9)インターネット上で提供されているデータ共有サービス等への個人情報等の登録を行ってはならないこと。ただし、この契約による業務の処理において、甲が必要があると認める場合は、この限りでない。この場合においては、情報閲覧者のアクセス制限及び暗号化処理を行うほか、個人情報等の漏えい等の防止に必要な措置を講じること。
(10)前各号に掲げる措置のほか、個人情報等の漏えい等の防止その他個人情報等の適正な管理のために必要な措置を講じること。
(外的環境の把握)
第14 乙は、外国(民間事業者が提供するクラウドサービスを利用する場合においては、クラウドサービス提供事業者が所在する外国及び個人データが保存されるサーバが所在する外国をいう。)において取り扱われる場合は、当該外国の個人情報の保護に関する制度等を把握した上で、個人情報等の安全管理のために必要かつ適切な措置を講じなければならない。
(資料等の返還等)
第15 乙は、この契約による業務を処理するために甲から提供を受け、又は乙自らが収集し、若しくは作成した個人情報等について、この契約の終了後又はこの契約を解除された後において、甲の指示に基づいて返還し、廃棄し、又は消去しなければならない。
2 乙は、前項の個人情報等を廃棄する場合は、記録媒体を物理的に破壊する等当該個人情報等を判読し、又は復元することができないように確実な方法で廃棄しなければならない。
(報告義務)
第16 甲は、この契約による業務を行うに当たり、取り扱っている個人情報等の管理状況について、必要があると認めるときは、乙に報告を求めることができる。
(検査及び調査)
第17 甲は、この契約による業務の処理に伴う個人情報の取扱いについて、秘匿性等その内容、その量等に応じて、本件特記事項の規定に基づき必要な措置が講じられているかどうかを確認する必要があると認めるときは、乙又は再委託先に対して、少なくとも年1回以上、原則として実地検査により行うものとする。
2 甲は、前項の目的を達成するため、乙に対して必要な情報を求め、又はこの契約による事務の執行に関して必要な指示をすることができる。
3 甲は、この契約による業務の処理に伴う特定個人情報等の取扱いについて、本件特記事項の規定に基づき必要な措置が講じられているかどうかを確認する必要があると認めるときは、乙に対して調査を行うことができる。
4 甲は、前項の目的を達成するため、作業場所を立入調査することができるものとし、乙に対して必要な情報を求め、又はこの契約による事務の執行に関して必要な指示をすることができる。
(事故報告等)
第18 乙は、この契約による業務の処理に関して個人情報等の漏えい等の事故が発生した場合は、当該事故に係る個人情報等の内容、件数、発生場所、発生状況等を書面により速やかに甲に報告し、甲の指示に従うものとする。
2 乙は、甲と協議の上、二次被害の防止、類似事案の発生回避等の観点から、可能な限り当該事故に係る事実関係、発生原因及び再発防止策の公表に努めなければならない。
3 甲は、この契約による業務の処理に関して個人情報等の漏えい等の事故が発生した場合は、必要に応じて当該事故に関する情報を公表することができる。
(契約の解除)
第19 甲は、乙が本件特記事項に定める義務を履行しない場合は、この契約による業務の全部又は一部を解除することができる。
2 乙は、前項の規定に基づく契約の解除により損害を受けた場合においては、甲に対して、その損害の賠償を請求することができない。
(損害賠償)
第20 乙は、本件特記事項に定める義務に違反し、又は怠ったことにより甲又は第三者が被害を被った場合には、その損害を賠償しなければならない。