個人情報取扱事務委託基準
(平成8年9月30日制定)
(平成12年4月1日一部改正)
(平成17年3月25日一部改正)
(平成23年1月13日一部改正)
(平成27年11月27日一部改正)
1 趣旨
この基準は、大阪府個人情報保護条例(平成8年大阪府条例第2号。以下「条例」という。)第10条第1項の規定に基づき、個人情報を取り扱う事務を実施機関以外
のものに委託する場合の取扱いを定める。
2 委託
条例第10条第1項の「個人情報取扱事務を実施機関以外のものに委託」とは、個人情報の取扱いを伴う事務を実施機関以外のものに依頼するすべてのものをいい、
電子計算機に係るパンチ委託などのほか、印刷、筆耕、翻訳、文書の廃棄等の委託契約、また、公の施設の管理や収納等の契約も含まれる。
ただし、府の事務の一部を他の地方公共団体に委託する場合(地方自治法第252条の14から第252条の16)は含まれない。
3 委託に当たっての留意事項
(1)委託先に提供する個人情報
委託事務を処理させるために委託先に提供する個人情報は、委託事務の目的を達成するために必要最小限度のものとすること。
(2)個人情報取扱特記事項の策定
契約に先立ち、委託事務の内容や取り扱う個人情報の内容、記録媒体の実態等に応じ、委託先が個人情報の保護について遵守すべき事項を十分に検討し、別紙
「個人情報取扱特記事項(例)」を参考に、当該委託事務における個人情報保護のための特記事項(以下「個人情報取扱特記事項」という。)を定めること。特に、特定
個人情報を取り扱う事務を委託する場合にあっては、府が果たすべき安全管理措置と同等の措置が講じられるものとすること。
(3)委託先の選定
委託先は、個人情報取扱特記事項を遵守できるものを慎重に選定すること。
(4)個人情報取扱特記事項の周知徹底
入札の方法による契約にあっては入札の前、また、随意契約にあっては見積書を徴収するときに、相手方に対し、条例に基づき受託者は漏えい、滅失の防止等
個人情報の適切な管理のために必要な措置を講じる義務があることを十分に説明し、個人情報取扱特記事項の内容の周知徹底を図ること。
(5)委託先への明示
委託契約の相手方に対し、委託事務の内容に応じて個人情報の使用目的及び使用範囲等を明確に示すこと。
(6)再委託等
委託先が委託事務を再委託する場合(再委託先が再々委託を行う場合以降を含む。)にあっては、実施機関の承認を必要とし、その諾否の判断にあたっては、
再委託先(再々委託先以降を含む。)においても個人情報取扱特記事項を遵守することを確認した上で行うこと。
(7)委託先等への監督
ア 委託先に対して、個人情報取扱特記事項の遵守の状況について、定期に及び必要に応じ随時に調査し、報告を求めるなど、適切に監督を行うこと。
イ 再委託が行われた場合には、委託先に対して、再委託先に個人情報取扱特記事項を遵守させるとともに、必要に応じて、委託先を通じて又は実施機関自らが
再委託先に対してアの監督を行うこと。なお、再委託先が再々委託を行う場合以降も同様とする。
(8)情報漏えい時等の対応
委託先において情報漏えい等が発生した場合は、直ちに状況を把握し、当該委託先とともに、被害の拡大防止又は復旧、情報漏えい等の対象となった本人への
対応等のための必要な措置を講じること。また、当該委託先に対して、個人情報の適正管理に関しての指導を行い、事実関係、再発防止策等が記載された報告書の
提出を求めること。なお、再委託先(再々委託先以降を含む。)において情報漏えい等が発生した場合も同様とする。
4 契約に当たっての措置
委託契約を締結するに当たっては、契約書等において、個人情報の保護に関する規定を明記し、個人情報取扱特記事項を追記あるいは添付するものとする。
契約書等の書面を作成しない契約の場合には、個人情報取扱特記事項を契約事項として受託者に書面で交付するものとする。
個人情報取扱特記事項 (例)
(基本的事項)
第1 受注者は、個人情報の保護の重要性を認識し、この契約による事務の実施に当たっては、個人の権利利益を侵害することのないよう、個人情報の取扱いを適正に
行わなければならない。
(責任体制の整備)
第2 受注者は、個人情報の安全管理について、内部における責任体制を構築し、その体制を維持しなければならない。
(作業責任者等の届出)
第3 受注者は、個人情報の取扱いに係る作業責任者を定め、書面により発注者に報告しなければならない。
2 受注者は、作業責任者を変更した場合は、速やかに書面により発注者に報告しなければならない。
3 作業責任者は、特記仕様書に定める事項を適切に実施するよう作業従事者を監督しなければならない。
(秘密の保持)
第4 受注者は、この契約による事務に関して知り得た情報をみだりに他人に知らせてはならない。この契約が終了し、又は解除された後においても、同様とする。
(教育の実施)
第5 受注者は、個人情報の保護、情報セキュリティに対する意識の向上、特記仕様書における作業従事者が遵守すべき事項その他本委託業務の適切な履行に必要
な教育及び研修を、作業従事者全員に対して実施しなければならない。
(再委託)
第6 受注者は、発注者の承諾がある場合を除き、この契約による事務の全部又は一部を第三者に委託してはならない。なお、再委託先が再々委託を行う場合以降も
同様とする。
2 発注者は、前項の承諾をするに当たっては、少なくとも、別に定める条件を付するものとする。
(派遣労働者等の利用時の措置)
第7 受注者は、本委託業務を派遣労働者、契約社員その他の正社員以外の労働者に行わせる場合は、正社員以外の労働者に本契約に基づく一切の義務を遵守させ
なければならない。
2 受注者は、発注者に対して、正社員以外の労働者の全ての行為及びその結果について責任を負うものとする。
(個人情報の適正管理)
第8 受注者は、この契約による事務に関して知り得た個人情報の漏えい、滅失又は損傷の防止その他の個人情報の適切な管理のために必要な措置を講じなければ
ならない。
なお、講じるべき措置における留意すべき点は次のとおり。
(1)個人情報の利用者、作業場所及び保管場所の限定及びその状況の台帳等への記録
(2)施錠が可能な保管庫又は施錠若しくは入退室管理の可能な保管室での個人情報の保管
(3)個人情報を取扱う場所の特定及び当該場所における名札(氏名、会社名、所属名、役職等を記したもの)の着用
(4)定められた場所からの個人情報の持ち出しの禁止
(5)個人情報を電子データで持ち出す場合の、電子データの暗号化処理等の保護措置
(6)個人情報を移送する場合の、移送時の体制の明確化
(7)個人情報を電子データで保管する場合の、当該データが記録された媒体及びそのバックアップの保管状況にかかる確認及び点検
(8)私用パソコン、私用外部記録媒体その他の私用物を持ち込んでの個人情報を扱う作業の禁止
(9)個人情報を利用する作業を行うパソコンへの業務に関係のないアプリケーションのインストールの禁止
(10)その他、委託の内容に応じて、個人情報保護のための必要な措置
(11)上記項目の従事者への周知
(収集の制限)
第9 受注者は、この契約による事務を行うために個人情報を収集するときは、事務の目的を達成するために必要な範囲で、適法かつ公正な手段により行わなければ
ならない。
(目的外利用・提供の禁止)
第10 受注者は、発注者の指示がある場合を除き、この契約による事務に関して知り得た個人情報を契約の目的以外の目的のために利用し、又は発注者の承諾なし
に第三者に提供してはならない。
(複写、複製の禁止)
第11 受注者は、発注者の承諾がある場合を除き、この契約による事務を行うために発注者から引き渡された個人情報が記録された資料等を複写し、又は複製しては
ならない。
(資料等の返還等)
第12 受注者は、この契約による事務を処理するために、発注者から提供を受け、又は受注者自らが収集し、若しくは作成した「個人情報が記録された資料等」を、この
契約完了後直ちに発注者に返還し、又は引き渡すものとする。ただし、発注者が別に指示したときは当該方法によるものとする。
(廃棄)
第13 受注者は、この契約に事務に関して知り得た個人情報について、保有する必要がなくなったときは、確実かつ速やかに廃棄し、又は消去しなければならない。
(調査及び報告)
第14 発注者は、受注者が契約による事務の執行に当たり取り扱っている個人情報の管理の状況について、定期に及び必要に応じ随時に調査することができる。
2 受注者は、発注者の求めに応じて、前項の状況について、報告をしなければならない。
(事故発生時における報告)
第15 受注者は、この契約に違反する事態が生じ、又は生じるおそれのあることを知ったときは、速やかに発注者に報告し、発注者の指示に従うものとする。
(契約の解除)
第16 発注者は、受注者が本特記事項に定める義務を果たさない場合は、この契約による業務の全部又は一部を解除することができるものとする。
(損害賠償)
第17 受注者は、本特記事項に定める義務に違反し、又は怠ったことにより発注者が損害を被った場合には、発注者にその損害を賠償しなければならない。
第6第2項関係 発注者が再委託を承諾する場合に付する条件例
(1)受注者は、業務の一部を再委託する場合は、再委託先の名称、再委託する理由、再委託して処理する内容、再委託先において取り扱う情報、再委託先に おける安全性及び信頼性を確保する対策並びに再委託先に対する管理及び監督の方法を明確にしなければならない。 (2)(1)の場合、受注者は、再委託先に本契約に基づく一切の義務を順守させるとともに、発注者に対して、再委託先の全ての行為及びその結果について責任 を負うものとする。 (3)受注者は、再委託先に対して本委託業務の一部を委託した場合は、その履行状況を管理・監督するとともに、発注者の求めに応じて、管理・監督の状況を報告 しなければならない。 (4)(3)の場合、受注者は、発注者自らが再委託先に対して再委託された業務の履行状況を管理・監督することについて、再委託先にあらかじめ承諾させなければ ならない。 |
(注)再委託先が再々委託を行う場合以降についても、同様の条件を付すること。
第8(1)関係 個人情報管理台帳(例)
項目 | 内容 |
受託業務名 |
|
受領年月日 |
|
大阪府庁担当部局・担当者名 |
|
個人情報が記録されている媒体・数量 | (例) 紙 ○○枚、フロッピーディスク○○枚 |
主たる個人情報の種別 | (例)申請者の氏名・住所・電話番号 |
個人情報の保管場所 | (例)○○室内鍵つきロッカー |
管理責任者名 |
|
作業従事者名・所属部署 |
|
作業場所 |
|
作業場所からの持出しの有無 | (「有」の場合、持出管理簿等を別途作成) |
複写の有無 | (「有」の場合、複写管理簿等を別途作成) |
廃棄・返却年月日 |
|
備考 |
|
(注)受託事務の内容により、適宜項目の追加・削除を行うこと。
【契約書記載例】
第○条 受注者は、この契約による事務を処理するための個人情報の取扱いについては、別記「個人情報取扱特記事項」を守らなければならない。
このページの作成所属
府民文化部 府政情報室情報公開課 情報公開グループ
ここまで本文です。