個人情報保護法と再委託・管理監督について(許諾書面はどこにあるのだろう):東京都若年被害女性等支援事業
長いので超要約:東京都の再委託許諾文書(個人情報の共有範囲に関する協議文書)が無いと都もWBPCもほとんど東京都個人情報保護条例違反じゃないかな?
事前許諾の無い他者への支出や連携(申請許諾プロセス不正と正しくない都の支出承認プロセス)はダメだよね
あら?個人情報の所有権に関する記述がない?!
(前提)
再委託を行う場合には、個人情報の管理に都からの許諾が前提条件です(契約書別紙1)
監督義務が福祉保健局(委託元)には存在する
(東京都個人情報保護条例 第八条)受託業者は管理監督責任があり、再委託先への管理監督義務があります。
(東京都個人情報保護条例 第九条)再委託先についても監督義務が福祉保健局(委託元)には存在する
(東京都個人情報保護条例 第九条)契約書に定める催告、請求、届出、報告、申出、協議、承諾および解除は書面により行わなければならない(委託契約書第1条第4項)
再委託に関する許諾申請と許諾の状況はどうなっているのでしょうか
個人情報の取り扱いに関する妥当性や前提条件から、契約上の課題は無いのか?(許諾に関する公文書を見たことが無い)
★ボランティアや非正規労働者の参加に関してはどうなるのか?
一般の企業活動とは異なりボランティアを活用しています。管理下にあるという前提を持つならば、正規労働者や非正規労働者と同様に守秘義務契約および個人情報保護に関する管理・教育・破棄の徹底などは整備されていなくてはなりません(都条例、個人情報保護法の前提)。
ボランティアの登録・管理が出来ていたと仮定した場合においても、政党等への勧誘行為は入手した個人情報の適切な利用の範囲を逸脱すると考えられる。
若草は個人情報の提供がアロマテラピーの前提となる。
★税理士について東京都に許諾は必要?
税理士の費用按分と支出が認められています、領収書や各種人別のコストなど確認・仕分けが必要になります。一般的な企業では準委任の費用内訳に税理士は入りませんので、特殊事情になります。
★東京都(委託元)に情報を開示しない権利はあるのか?(New)
監査の勧告に対する措置として調査した際に領収書に記載された個人名等を明かさなかったという特殊事例が複数あります。
個人情報の所有権の帰属に関する記述が契約書にはない?!
★他機関連携や他団体連携についてはどのような契約および許諾申請をしているのでしょうか?
委託元は再委託先に対しても監督責任があります。
連携は無償での再委託という特殊形と捉えることができます。
第三者への個人情報提供には、基本的に本人同意が必要です。
NPO法人ぱっぷすの他機関連携には弁護士事務所というのがあります。
NPO法人ぱっぷすの他機関連携には「ひつじの家」というのがありました。
Colaboはその他支援団体など239件の連携がありました。
★セブンナイツは東京都の委託業務や委託事業の再委託を行っている訳ではない
そもそも委託事業と直接関係のない特殊事情です。
11月29日の提訴記者会見及び関連文書と令和3年度の事業に対する住民監査請求に基づく監査における関係者調査への同席については、帳簿や領収書などを見ているのですから、委託事業における個人情報保護へアクセスする可能性があります。
代理人になることは業務委託範囲外ですが、都の委託事業範囲内の情報へのアクセスです。守秘義務があることと許諾があることは同義ではありません。税理士と同様に捉えるのか、それとも別なのか。
個人情報の取扱いに関する特記事項
(個人情報の保護に係る受託者の責務)
第1 受託者はこの契約の履行に当たって、個人情報を取り扱う場合は個人情報の保護に関する法律(平成15年法律第57号)、東京都個人情報の保護に関する条例(平成2年東京都条例第113号)及び以下の事項を遵守し、個人情報の漏えい、滅失、き損の防止その他個人情報の適正な管理のために必要な措置を講じなければならない。
(再委託)
受託者は、個人情報の適正な安全管理が図られていることを都が確認し、都の許諾を得た場合に限り、再委託を行うことが出来る。再委託を受けたものが更に再委託を行う場合も同様とする。
前項において、受託者は、再委託の相手方に対しその履行を管理監督するとともに都の求めに応じて、その状況等を都に報告しなければならない。再委託を受けた者が更に再委託を行う場合も同様とする。
https://twitter.com/red____/status/1626065459786440704
契約上の課題確認
再委託を行う場合には、個人情報の管理に都からの許諾が前提条件です
東京都個人情報保護条例 第八条において監督義務が福祉保健局には存在する
ただし以下の産業労働局の(定義)の記述が福祉保健局の契約には存在しない
東京都産業労働局の個人情報に関する特記事項 抜粋
【確認】ボランティアや臨時雇用者は再委託にならないが管理下に置く上での義務がある
前述のとおり、運営団体の特殊性としてボランティアの参画がある。
ボランティアや非正規労働者を参画させることができるが管理監督下に置くことが前提。管理・監督下にあるという前提においては使用(参画させる)することが可能と一般的には捉えることが出来る。
ただし、ボランティアの登録・管理が出来ていたと仮定した場合においても、政党等への勧誘行為は入手した個人情報の正当な利用の範囲を逸脱すると考えられる。
【確認】この特殊性は一般的な企業などと全く異なる管理体形になり、個人情報保護条例 第八条の監督に基づき、東京都との合意または許諾を得る必要はあると考えられる。想定される管理等の事項は以下のような流れ。
個人情報を取り扱う団体等は個人情報保護および機密情報の管理が義務付けられている
ボランティアは広義で内部に該当すると捉えてよい
(監督し責任を持つことが前提、ボランティア終了時に消去確認等)非正規労働者等も同様
個人情報保護に関する教育の努力義務は存在する
管理監督責任は存在する
管理には廃棄確認も存在する(組織として不要になった場合、離職等で業務に関わらなくなった場合、一時的ボランティアの場合)
ボランティアや非正規労働者の登録(雇用)・継続・定期棚卸的な継続意思検査・終了(雇用契約終了)に係る情報管理は、上記の履行上の前提となるため、東京都とのプロセス合意および任意の時点での検査・確認(管理監督)は必要だと考えられる
受託元の継続的管理監督対象の正確な管理
受託元の情報管理の変更点などの正確な教育
消去確認と文書での都への報告
福祉保健局(委託者)の監督責任(東京都個人情報保護条例 8条)
以下の暇空茜氏のColaboおよび共産党の元議員に関するツイート内容が事実であるならば、政党や政治系団体への勧誘、政治活動への勧誘と言う行為は、委託事業における個人情報の目的外利用に該当すると考えられ、東京都の管理監督義務および受託事業者の管理監督義務から条例違反が懸念される(契約違反を含む)
ところで俺の言いたかったこと伝わってないみたいだからいうけど
— 暇空茜 (@himasoraakane) January 2, 2023
バスカフェに来た女の子に共産党の元議員や区議をつないで、あなたたちがこうなったのはアベガー、民青に入りませんか共産党員になりませんかって勧誘してたのモロアウトちゃうの?
政治活動やろ? https://t.co/J7wv6Er43n
個人情報を取得している事例(若草)
利用の前提に個人情報取得が存在する。
心に闇を抱えたりして見ず知らずの他人に身分明かす人は少ないような気もしますが、若い女性の考えは分かりませんのでそう言うモノなのでしょう。
https://wakakusa-mh.net/guide
税理士について東京都からの許諾が必要か?
税理士の費用按分と支出が認められています、領収書や各種人別のコストなど確認・仕分けが必要になり、個人情報にアクセスすることになる。一般的な企業では準委任(委託事業)内の経費(費用)に税理士は入りませんので、特殊事情になります。後述の税理士法において守秘義務は一般的には顧問契約や業務委託契約にその旨が含まれているが、受託事業者の管理監督による適切な管理は必要となる。非正規労働者と同等の扱いとして許諾について不要な可能性はあるが、委託事業の費用が使用される範囲であり再委託に関する範囲を勝手に判断することは不適切。東京都との合意は最低限必要。判断結果によっては許諾が必要。再委託の範囲の定義という協議結果が無い。
東京都(委託元)に情報を開示しない権利はあるのか?(New)
監査の勧告に対する措置として調査した際に領収書に記載された個人名を明かさなかったという特殊事例が複数ある。(以下一例))
知事が講じた措置(別紙)(PDF 408KB)
個人情報の所有権(帰属)の明確化が契約書で記述されていない。
しかし「本事業実施に係る収支に関する帳簿、領収書その他の諸記録を整備・保存し、常に計理状況を明らかにしなければならない。」とあり、受託者が事業に関する帳簿や領収書等を開示をしない権利は契約書において存在しない。
なお、東京都個人情報保護条例 第8条において、個人情報に関する十分且つ適切な管理が委託元に義務付けられている。
管理が出来ているか?という観点では情報そのものの管理は出来ていないが、受託元が情報そのものの権利と管理をしていると責任を分離する方法で(管理者と教育等の記録・文書化やプロセスの確認で監督しているという体をなし)管理手法等が適切と判断したとして認めれば強引に条例に則して管理しているとなる可能性はある。
他機関連携(婦人保護施設・児童相談所・警察・法テラス等)については事前合意文書が必要ではないか?
公的機関および婦人保護施設(民間団体の場合あり)を機関として、他団体と分離して考える。
(注)他の地方公共団体の住民である場合の他地方公共団体連携の方法および契約については不明なため、ここでは考慮されていません。
委託事業実施にあたり関連法規(児童虐待防止法、配偶者暴力等防止法、困窮者自立支援法、犯罪被害者等支援法等)があり、個人情報保護法の『要配慮個人情報』『第三者への提供』の二つの条項に関わる前提もある。
事前にどの範囲については守秘義務契約が不要かの合意文書または仕様書の追加別紙が必要と考えられる。
他団体連携については東京都からの許諾が必要
委託業務の再委託を実施する前に東京都からの許諾は必要である。受託元は再委託先について管理監督義務が発生する。(東京都個人情報保護条例第九条)
また、東京都は再委託先に対しても監督義務が存在する。(東京都個人情報保護条例第八条)
委託事業における保護対象者等の個人を中心に扱う必要がある。これは再委託時(連携含む)の費用の発生とは独立であり、なんらかの再委託・連携を委託業務範囲として実施するか自主事業として扱うかではなく、委託事業において入手した保護対象者等の個人情報の受け渡しが行われる可能性において許諾される必要があると考えられる。
保護をしなかったから個人情報を入手し連携しても問題ないということには絶対にならない。
例:【東京都委託事業として】渋谷で声を掛けたら川崎市民で、【川崎の事業として】川崎に保護費請求し、【WBPC等の外部】他団体(例:「ひつじの家」「弁護士事務所」など)へ一時保護・中長期保護等を委託・連携するようなケースが存在する(後述の他機関連携実績情報に公文書抜粋あり)
この流れにおいて、入り口は東京都の委託事業であり、個人情報保護の観点からは自主事業であっても個人情報が委託事業から別事業へ受け渡されることになり、適切な管理と監督が必要な範囲となる。
セブンナイツは東京都に許諾を得ているのでしょうか?
提訴記者会見と令和3年度の事業に対する住民監査請求に基づく監査における関係者調査への同席については、帳簿や領収書などを見ているのですから、委託事業における個人情報保護へアクセスする可能性があります。
都の委託事業範囲内の情報へのアクセスです。職業的な守秘義務があることと許諾があることは同義ではありません。東京都の個人情報保護条例に照らし合わせると過年度であり委託業務の遂行や実施に直接的に必要な情報開示ではないことから目的外の使用になりますが、事情から目的外使用の許可を得ることはできる(条例10条)と考えられます。
契約終了後についても守秘義務は継続します(個人情報に関する特記事項 3)しかし、事前合意または許諾が必要になると考えられます。
(秘密の保持)
第3 受託者は、第2第1項により再委託を行う場合を除き、委託業務の内容を第三者に漏らしてはならない。
なお、この契約終了後も同様とする。
再委託の許諾文書は存在しない(若草)
考えづらいとかいわれてもこまるけども
— 暇空茜 (@himasoraakane) February 11, 2023
これとhttps://t.co/Yq4gv3nUvd
2021年決算報告書みてくださいや
あと再委託を認める書類は開示されてないです
「若年被害女性等支援事業に関する書類全て」で開示して他のもろもろは出てるので存在するなら出るはずだとおもいますが
勘定科目は業務委託費 https://t.co/s9VVGcmOjj pic.twitter.com/lGfIw33QVS
参考
https://anond.hatelabo.jp/20230426001402
参照:委託契約における個人情報の取り扱い前提(契約・要綱・法令等)
前提要件となる記述(国要綱、都要綱、契約書別紙)
個人情報保護の基本(国の要綱)
個人情報保護の基本(国の要綱を受けた東京都のもの)
(参考、上部にある文言の画像版)東京都若年被害女性等支援事業
別紙1 個人情報の取り扱いに関する特記事項
詳細は以下のリンク先文書から検索のこと(PDFからの文字変換)
(参考)税理士法
税理士法(秘密を守る義務)
第三十八条 税理士は、正当な理由がなくて、税理士業務に関して知り得た秘密を他に洩らし、又は窃用してはならない。税理士でなくなつた後においても、また同様とする。
(参考)弁護士法
弁護士法(秘密保持の権利及び義務)
第二十三条 弁護士又は弁護士であつた者は、その職務上知り得た秘密を保持する権利を有し、義務を負う。但し、法律に別段の定めがある場合は、この限りでない。
個人情報保護法
個人情報保護法における個人情報の定義
生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と照合することができ、それにより特定の個人を識別することができることとなるものを含みます)を個人情報といいます
個人情報の取扱いルールとは?
補足
個人符号LINEやSNSや携帯電話番号等+他の情報と容易に照合することができ、それにより特定の個人を識別することができるとなる場合には、個人情報に該当します。
【注意点】要配慮個人情報
(適正な取得)
第二十条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
2 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない。
(定義)
第二条
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
(事件などの通報においては除外)
第三者提供の制限
個人情報保護法(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
東京都個人情報の保護に関する条例
東京都個人情報の保護に関する条例 (適正管理)
保有個人情報を適正に管理します(条例第7条)
◆保有個人情報を取り扱う事務の目的を達成するため、保有個人情報を正確かつ最新の状態に保ちます。
◆保有個人情報の漏えい、滅失、き損等の防止のため、必要な安全管理措置を講じます。
◆必要がなくなった保有個人情報は、速やかに消去し、又は廃棄します。
◆保有個人情報を取り扱う事務の委託などをするときは、個人情報の保護に関して必要な措置を講じます。
(委託等に伴う措置)(条例第8条)
第八条 実施機関は、個人情報を取り扱う事務を委託しようとするとき、又は指定管理者(地方自治法(昭和二十二年法律第六十七号)第二百四十四条の二第三項に規定する指定管理者をいう。以下同じ。)に公の施設の管理を行わせるときは、個人情報の保護に関し必要な措置を講じ、委託を受けた者及び指定管理者(以下「受託者等」という。)に対する十分かつ適切な監督を行わなければならない。
(平一六条例一五九・平二七条例一四〇・一部改正)
(再委託)
第八条の二 受託者等は、当該事務を委託した実施機関の許諾を得た場合に限り、その全部又は一部の再委託をすることができる。
2 前項の規定により再委託を受けた者は、受託者等とみなして、前項及び次条の規定を準用する。
(平二七条例一四〇・追加)
(受託者等の責務)
第九条 受託者等は、個人情報の漏えい、滅失及びき損の防止その他の個人情報の適正な管理のために必要な措置を講じなければならない。
2 前項の受託事務に従事している者若しくは従事していた者又は前項の指定管理者に係る公の施設の管理事務に従事している者若しくは従事していた者は、その事務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない。
3 受託者等は、前条第一項の規定に基づき個人情報を取り扱う事務の全部又は一部の再委託をするときは、当該再委託に係る個人情報の安全管理が図られるよう、当該再委託を受けた者に対する必要かつ適切な監督を行わなければならない。
(平一六条例一五九・平二七条例一四〇・一部改正)
他機関連携の実績情報(NPO法人 ぱっぷす)令和3年度 第2四半期の文書
ひつじの家(シェルター)という団体が見つからない。(候補はあるが確定はできない。そもそもシェルターじゃないところも。)
様々な困難な状況を抱えている場合にはその情報は要配慮個人情報に該当する可能性があり、情報の受け渡しは団体の判断だけで出来るものではなく、協議(依頼の記録等)、許諾の記録が文書で残っている必要があります。(条例および契約書)
画像引用:ヨヨリオーネさんのツイート
スーパーバイザーは有償(謝金)の対応であり、外部委託と言える。
フリーランスは個別事業者であり、外部委託と言える。
委託契約書抜粋
すべての申請は書面にて行う(第1条第4項)、電子的方法も可(第22条)
memo
東京都の事業の中で発見し、他の地方公共団体の居住者であり、その公共団体へ費用負担等を申請する際のプロセスや契約については不明です。
しかし、業務上知り得た秘密を第三者には明かすことは出来ません。許諾なく他者へ委託(謝金)は、不正支出ではないのか?
再委託の制限(委託事業は事業の全額を賄っていないが、事業としてどこまで切り分けているのか?)
東京都の承諾
プライバシーポリシー(情報公開規程等)
個人情報保護規程の整備
ボランティアの登録・終了管理
再委託先の監督
他の地方公共団体の支出での一時・長期保護の扱いと個人情報の受け渡し