個人データを含む電子データを取り扱う情報システム(機器を含む。)の保守の全部又は一部に外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第 27 条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供」(法第 27 条第5項第1号)しているものとして、法第 25 条に基づき当該事業者を監督する必要がありますか。

(第三者に該当しない場合)
Q7-55

個人データを含む電子データを取り扱う情報システム(機器を含む。)の保守の全部又は一部に外部の事業者を活用している場合、個人データを第三者に提供したものとして、「本人の同意」(法第 27 条第1項柱書)を得る必要がありますか。または、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供」(法第 27 条第5項第1号)しているものとして、法第 25 条に基づき当該事業者を監督する必要がありますか。

A7-55

当該保守サービスを提供する事業者(以下本項において「保守サービス事業者」という。)がサービス内容の全部又は一部として情報システム内の個人データを取り扱うこととなっている場合には、個人データを提供したことになり、本人の同意を得るか、又は、「個人データの取扱いの全部又は一部を委託することに伴って・・・提供」(法第 27条第5項第1号)しているものとして、法第 25 条に基づき当該保守サービス事業者を監督する必要があります。
(例)

  • ○ 個人データを用いて情報システムの不具合を再現させ検証する場合
  • ○個人データをキーワードとして情報を抽出する場合

一方、単純なハードウェア・ソフトウェア保守サービスのみを行う場合で、契約条項によって当該保守サービス事業者が個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等には、個人データの提供に該当しません。

(例)
○システム修正パッチやマルウェア対策のためのデータを配布し、適用する場合
○保守サービスの作業中に個人データが閲覧可能となる場合であっても、個人データの取得(閲覧するにとどまらず、これを記録・印刷等すること等をいう。)を防止するための措置が講じられている場合
○保守サービスの受付時等に個人データが保存されていることを知らされていない場合であって、保守サービス中に個人データが保存されていることが分かった場合であっても、個人データの取得を防止するための措置が講じられている場合
○不具合の生じた機器等を交換若しくは廃棄又は機器等を再利用するために初期化する場合等であって、機器等に保存されている個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
○不具合の生じたソフトウェアの解析をするためにメモリダンプの解析をする場合であって、メモリダンプ内の個人データを再現しないこと等が契約等で明確化されており、再現等を防止するための措置が講じられている場合
○個人データのバックアップの取得又は復元を行う場合であって、バックアップデータ内の当該個人データを取り扱わないことが契約等で明確化されており、取扱いを防止するためのアクセス制御等の措置が講じられている場合
検索キーワード