← AI法務ラボへ戻る
Insight
契約レビュー法務における生成AI活用法AIサービス法務

個人情報取扱条項とは?委託契約・SaaS契約で確認すべきポイント

こんにちは!Legal Agent 代表弁護士の朝戸です。

個人情報の取扱条項は、近年の契約レビューで重要性がかなり高まっている条項です。SaaS、業務委託、採用支援、マーケティング、CRM、AIサービス、カスタマーサポートなど、個人情報や個人データを扱う取引は非常に多いです。

ところが、契約書では「個人情報保護法を遵守する」とだけ書かれていることがあります。もちろん法令遵守は必要ですが、それだけでは実務上の管理として足りないことが多いです。誰が、どの個人情報を、何の目的で、どこまで扱い、再委託や漏えい時対応をどうするのかを契約書上も整理する必要があります。

この記事では、個人情報取扱条項とは何か、委託契約・SaaS契約で企業法務が確認すべきポイントを整理します。

この記事で分かること

この記事では、このテーマについて、基本的な意味、実務で問題になりやすい場面、契約書で確認すべきポイント、AIで一次整理するときに人が見落としてはいけない点を整理します。定義から入り、次にチェックリストとして確認できる順序にしています

最初に確認するポイント

  • どの取引、手続、社内運用でこの論点が問題になるのか
  • 自社が相手方に何を求め、相手方から何を求められているのか
  • 契約書、発注書、規約、社内承認、実際の運用が同じ前提になっているか
  • 条項だけでなく、証拠として残る資料や連絡経路まで整理されているか
  • AIの指摘をそのまま採用せず、事業上の優先順位とリスク許容度に照らして判断できるか

個人情報取扱条項とは、個人情報・個人データの取扱いを定める条項である

個人情報取扱条項とは、契約に関連して個人情報や個人データを取り扱う場合に、その取扱方法、管理義務、利用目的、再委託、漏えい時対応などを定める条項です。

企業間取引では、次のような場面で問題になります。

  • 採用支援サービス
  • 人材紹介
  • 給与計算や労務管理の委託
  • CRMやMAツールの利用
  • SaaSへの顧客情報登録
  • カスタマーサポートの外部委託
  • マーケティング施策
  • AIサービスへのデータ入力
  • M&Aや法務DDでの資料共有

個人情報を扱う契約では、契約書上の条項だけでなく、実際のデータフローも確認する必要があります。どのデータを、誰が、どのシステムで、どの国で、どの期間保管するのかが重要です。

まずデータの種類と立場を確認する

個人情報取扱条項をレビューするときは、最初にデータの種類と当事者の立場を確認します。

個人情報といっても、氏名やメールアドレスだけではありません。購買履歴、応募者情報、従業員情報、健康情報、本人確認書類、ログ、Cookie、端末識別子など、サービスによって扱う情報は大きく異なります。

また、自社が委託者なのか、受託者なのか、共同利用者なのか、第三者提供を受ける立場なのかによって、確認すべき事項は変わります。

確認すべき点は、次のとおりです。

  • 取り扱う情報の種類
  • 個人情報、個人データ、要配慮個人情報の有無
  • 自社が委託者側か受託者側か
  • 利用目的
  • 取得経路
  • 本人同意の要否
  • 第三者提供の有無
  • 外国にある第三者への提供の有無
  • 共同利用の有無

「個人情報を扱うかどうか」だけでは足りません。どの種類の情報を、どの法的構成で扱うのかを整理することが重要です。

委託契約では委託先管理を契約に落とす

個人データの取扱いを委託する場合、委託元は委託先を必要かつ適切に監督することが求められます。契約実務では、この監督の内容を契約書に落とし込むことが重要です。

委託契約で確認すべき事項は、次のとおりです。

  • 委託業務の範囲
  • 取り扱う個人データの種類
  • 利用目的外利用の禁止
  • 安全管理措置
  • 従業者の監督
  • 再委託の可否
  • 再委託先の管理
  • 漏えい等発生時の報告
  • 監査・報告権
  • 契約終了後の返還・削除

委託者側では、受託者にどこまで管理義務を負わせるかを見ます。受託者側では、求められている義務が自社の体制で実行可能かを確認します。

特に、再委託は重要です。SaaSやBPOでは、クラウド事業者、外部ツール、グループ会社、海外拠点が関与することがあります。再委託を一律禁止するのか、事前承諾制にするのか、通知制にするのかは、事業実態に合わせて設計する必要があります。

SaaS・AIサービスではデータ利用の範囲を確認する

SaaSやAIサービスでは、個人情報取扱条項と利用規約、プライバシーポリシー、データ処理規約が一体になっていることがあります。

特に確認したいのは、入力データや利用データを提供者がどこまで使えるかです。

たとえば、サービス改善、統計分析、AIモデル学習、ログ分析、セキュリティ監視、サポート対応などの目的でデータが利用される場合があります。利用目的が広すぎると、利用者側として受け入れにくいことがあります。

確認すべき点は、次のとおりです。

  • 入力データの利用目的
  • サービス改善への利用
  • AI学習への利用可否
  • 統計化・匿名化された情報の利用
  • ログやメタデータの扱い
  • データ保存期間
  • 外国サーバー利用の有無
  • サブプロセッサーの有無
  • 解約後のデータ削除・エクスポート

AIサービスでは、プロンプトや入力ファイルに個人情報が含まれることがあります。契約上、学習利用の有無や第三者提供の有無を確認することが重要です。

漏えい等発生時の対応を具体化する

個人情報を扱う契約では、漏えい等が発生した場合の対応も重要です。

契約書上、「速やかに報告する」とだけ書かれていても、実務では足りないことがあります。誰に、いつまでに、何を報告するのか、調査協力をどうするのか、本人通知や当局報告を誰が行うのかを整理する必要があります。

確認すべき点は、次のとおりです。

  • 漏えい等の定義
  • 初動報告の期限
  • 報告内容
  • 原因調査の協力義務
  • 被害拡大防止措置
  • 本人通知・当局報告の役割分担
  • 費用負担
  • 損害賠償と責任上限
  • 再発防止策の報告

個人情報漏えいは、法務だけでなく、情報システム、広報、カスタマーサポート、経営陣にも関係します。契約書上も、事故時に動ける内容になっているかを確認した方がよいです。

個人情報取扱条項の実務チェックポイント

個人情報取扱条項をレビューするときは、次の点を確認するとよいです。

  • 取り扱う個人情報の種類
  • 自社と相手方の立場
  • 利用目的
  • 委託、第三者提供、共同利用の区別
  • 安全管理措置
  • 再委託の可否と管理
  • 外国にある第三者への提供
  • AI学習やサービス改善への利用
  • 漏えい等発生時の報告・協力
  • 契約終了後の返還・削除
  • 損害賠償と責任制限

個人情報取扱条項は、ひな形を入れれば終わりではありません。実際のデータフローとサービス仕様に合わせて、契約書に落とし込むことが重要です。

データ処理規約・DPAとの関係を確認する

SaaSや海外サービスでは、契約書本文とは別に、データ処理規約やDPAが用意されていることがあります。

この場合、利用規約、注文書、DPA、プライバシーポリシー、セキュリティ資料を一体として確認する必要があります。本文では個人情報の取扱いが簡単に書かれていても、DPAで再委託先、国際移転、削除、監査、漏えい時対応が詳しく定められていることがあります。

確認すべき点は、次のとおりです。

  • DPAが契約の一部になるか
  • 本文とDPAが矛盾した場合の優先順位
  • サブプロセッサーの一覧
  • 外国移転の説明
  • セキュリティ措置
  • データ削除・返還
  • 監査・報告の方法
  • 改定時の通知

個人情報を扱う契約では、契約書本文だけで「問題なし」と判断しない方がよいです。関連文書をまとめて読んで、データの流れと責任分担を確認する必要があります。

社内台帳と連携する

個人情報取扱条項を整えるだけでは、実務上の管理としては不十分です。

どの委託先に、どの個人データを、どの目的で、どの期間、どの国で扱わせているのかを社内で管理できる必要があります。契約書に再委託や漏えい時対応が定められていても、委託先一覧やデータフローが分からなければ、事故時に動けません。

社内で管理したい項目は、次のとおりです。

  • 委託先名
  • 業務内容
  • 取り扱う個人データ
  • 契約書・DPAの有無
  • 再委託先
  • 保存場所
  • 契約終了時の削除方法
  • 漏えい時の連絡先
  • 定期確認の実施状況

AIやSaaSを使う会社ほど、個人情報の流れは複雑になります。契約書レビューと委託先管理をつなげることが、実務上かなり重要です。

よくある失敗

個人情報取扱条項でよくある失敗は、サービス利用開始後にデータフローを把握しようとすることです。

契約締結時には「個人情報を扱う」とだけ認識していたものの、実際には、顧客情報、従業員情報、応募者情報、問い合わせ履歴、ログ、添付ファイルなど、複数種類のデータが同じサービスに入っていることがあります。後から確認すると、再委託先、保存国、削除方法、AI学習利用の有無が分からないこともあります。

また、プライバシーポリシーには記載しているのに、委託契約やDPAでは必要な条項が入っていないことがあります。逆に、契約書上は厳しい義務があるのに、現場の運用が追いついていないこともあります。

個人情報を扱う契約では、契約締結前に次の点を確認することが重要です。

  • どの個人情報を入れるか
  • 誰がアクセスするか
  • どこに保存されるか
  • どの委託先が関与するか
  • いつ削除するか
  • 本人への説明と整合しているか
  • 事故時に誰が動くか

個人情報の契約レビューは、条項だけを読む作業ではありません。サービス設計、プライバシーポリシー、情報セキュリティ、委託先管理をつなげて確認する作業です。

プライバシーポリシーとの整合性を見る

個人情報取扱条項をレビューするときは、プライバシーポリシーとの整合性も確認する必要があります。

契約書上は委託先にデータを渡せる内容になっていても、プライバシーポリシーで本人に説明していない場合があります。逆に、プライバシーポリシーでは広く利用目的を書いているのに、委託契約では利用目的外利用を厳しく制限していることもあります。

サービスの利用者に何を説明しているのか、契約上どこまで委託先に許しているのか、実際の運用がどうなっているのかをそろえることが重要です。個人情報のレビューでは、契約書と外部向け表示を分けて考えない方がよいです。

AI利用と個人情報取扱条項をつなげて考える

生成AIを使う場合、個人情報取扱条項との関係も確認が必要です。

契約書レビュー、問い合わせ対応、顧客分析、採用、労務、マーケティングでAIを使うとき、入力データに個人情報が含まれることがあります。氏名やメールアドレスだけでなく、相談内容、購買履歴、契約履歴、職務経歴、評価情報、問い合わせログも個人に関する情報になり得ます。

AI利用を前提にする場合は、次の点を確認します。

  • AIに入力するデータの種類
  • 個人情報を含むか
  • 委託先や外部サービスに提供されるか
  • 学習利用されるか
  • 利用目的と本人への説明が整合しているか
  • 保存期間と削除方法
  • 漏えい等が発生した場合の対応
  • 再委託先管理の有無

個人情報取扱条項は、契約書の中だけで閉じるものではありません。実際のサービス設計、プライバシーポリシー、AI利用ルールとあわせて確認する必要があります。

委託先管理は、契約締結後も続く

個人情報の取扱いを委託する場合、契約締結時に条項を入れるだけでは足りません。

委託先がどのような安全管理措置を講じているか、再委託先を使っているか、海外にデータを移転しているか、事故時にどのように連絡するかを、運用として確認する必要があります。

契約書では、報告義務、監査権、事故時の通知、再委託の承諾、安全管理措置、終了後の返還・削除を定めます。そのうえで、実際に委託先管理ができる体制になっているかを確認することが重要です。

LegalAgentの関連サービス

このテーマに関連するLegalAgentのサービスは、以下のページで詳しく確認いただけます。

AI法務ラボで他の記事を見る お問い合わせ