この基準は、実施機関が個人情報の取り扱いを外部に委託する場合において、個人情報の保護に関する法律（平成15年法律第57号。以下「法」という。）第66条に規定する保有個人情報の安全管理、並びに特定の個人を識別するための番号の利用等に関する法律（平成25年法律第27号）第10条及び第11条に規定する特定個人情報の取り扱いの安全管理のための委託の取扱いに基づき、実施機関が講ずべき措置について定めるものである。

　この基準の対象となる委託は、契約の形態・種類を問わず、行政機関等が他の者に個人情報の取扱いを行わせることをいう。具体的には、個人情報の入力（本人からの取得を含む。）、編集、分析、出力等の処理を行うことを委託すること等が想定されるが、これらに限られない。ただし、県の事務の一部を他の地方公共団体に委託する場合（事務の委託の規定：地方自治法第252条の14から同条の16まで）は含まれない。

(1)個人情報取扱事務を委託する場合は、「行政機関等の保有する適切な管理のための措置に関する指針」において、また、個人番号利用事務又は個人番号関係事務を委託する場合には、「特定個人情報の適正な取扱いに関するガイドライン（行政機関等編）」において、委託に関して行政機関等に求められている措置を講じること。

　また、委託先の選定に当たっては、適切な情報セキュリティ対策が講じられており、別記「個人情報特記事項」（以下「特記事項」という。）を遵守できるものを選定すること。

(2)入札（見積合せ）等においては、契約内容に個人情報保護に関する事項があることを相手方に周知し、契約に当たり支障が生じないようにすること。

(3)委託事務を処理させるために、委託先に提供する個人情報は、委託事務の目的の範囲内で必要最小限のものとすること。

(4)個人情報を提供し、又は個人情報を取り扱う事務を委託する場合には、漏えい等による被害発生のリスクを低減する観点から、提供先の利用目的、委託する業務の内容、個人情報の秘匿性等その内容などを考慮し、必要に応じ、特定の個人を識別することができる記載の全部及び一部を削除し、又は別の記号等に置き換える等の措置を講ずること。

(5)個人情報を取り扱う事務の委託に係る契約に当たっては、契約書に受託者が特記事項に掲げる内容を遵守する旨記載するものとする。ただし、契約書本文中に個人情報取扱特記事項に掲げる内容を記載することを妨げない。なお、契約書の作成を省略できる場合の契約であっても、特記事項を受託者に契約事項として交付するものとする。

(6)再委託先（再々委託先以降を含む。）においても特記事項の内容を遵守できることを確認した上で承諾すること。

(7)委託先における個人情報保護のための措置が適切に履行されるよう、委託する業務に係る個人情報の秘匿性等その内容やその量等に応じて、特記事項の遵守の状況、作業の責任体制、個人情報の管理の状況等について、少なくとも年１回以上、原則として実地検査により必要な措置が確実に講じられていることを確認する。

　なお、実地検査による確認が困難である場合については、書面検査に代えることができる。再委託を行う場合及び再委託先が再々委託を行う場合についても、委託される業務の秘匿性等その内容に応じて、委託先を通じて又は委託先自らが同様の措置を実施する。

　また、委託先における作業責任者及び作業従事者の責任体制、個人情報の管理状況の検査に関する事項等の必要な事項については、書面で確認すること。

・個人情報取扱特記事項（219KB)