2σ Guide

売上10億円超で発生する
下請法・個情法リスク

売上10億円超は、下請法・取適法や個人情報保護法の形式的な適用基準ではありません。しかし、委託取引と個人データの流れが急拡大し、経営管理上の主要リスクへ変わる警戒線です。

10億円超 管理上の警戒線
60日以内 支払期日の重要目安
3〜5日 漏えい速報の目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

売上10億円超で発生する 下請法・個情法リスク

売上10億円超は、下請法 ・取適法や個人情報保護法の形式的な適用基準ではありません。

動画を読み込み中…
2σ GUIDE ・ VIDEO
売上10億円超で発生する 下請法・個情法リスク
売上10億円超は、下請法 ・取適法や個人情報保護法の形式的な適用基準ではありません。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 売上10億円超で発生する 下請法・個情法リスク
  • 売上10億円超は、下請法 ・取適法や個人情報保護法の形式的な適用基準ではありません。

POINT 1

  • 売上10億円超の下請法・個情法リスクの全体像
  • 法令の形式的な適用ラインではなく、委託取引と個人データ管理が経営課題へ変わる局面として整理します。
  • 売上10億円は法定基準ではなく、管理不能を防ぐ警戒線です
  • 売上10億円超で発生する 下請法 ・個情法リスクを理解するうえで、最初に押さえるべき点は明確です。
  • 対応の中核は、法務部門だけに閉じません。

POINT 2

  • 売上10億円超で下請法・個情法リスクが高まる理由
  • 取引量の増加
  • データ量の増加
  • 説明責任の高度化
  • 取引量、データ量、説明責任の三つが同時に増えるため、従来の現場運用では追いつきにくくなります。

POINT 3

  • 下請法・取適法と個情法の用語整理
  • 検索上のなじみがある下請法という語と、2026年以降の取適法の整理、個情法上の個人データ管理を接続します。
  • 従来、下請法と呼ばれてきた法律は、下請取引における代金支払の遅延、減額、買いたたき、不当なやり直しなどを規制する法律でした。
  • 2026年1月1日から法律名や用語が改められ、公正取引委員会は取適法という略称を用いています。
  • 売上10億円超企業にとっての実務上の核心は、委託取引を取引適正化と個人データ保護の双方から分類し、継続的に監視することです。

POINT 4

  • 売上10億円超企業の下請法・取適法リスク
  • 1. 委託している業務を棚卸しする:製造、修理、情報成果物作成、役務提供、特定運送などに当たるかを確認します。
  • 2. 資本金等と従業員数を確認する:委託側と受託側の規模基準を照合します。
  • 3. 発注・支払・変更履歴を重点確認:発注内容明示、60日以内の支払、価格協議、減額、やり直しの有無を見ます。
  • 4. 優越的地位や契約リスクも確認:取適法の対象外でも、独占禁止法や契約上の不公正な運用が残ることがあります。

POINT 5

  • 売上10億円超企業の個情法リスク
  • 1. 社内連絡と事実確認
  • 2. 速報の検討:報告対象となる漏えい等事案では、個人情報保護委員会への速報が必要となる場面があります。
  • 3. 確報と本人通知:通常の確報は原則30日以内、不正目的のおそれがある場合などは60日以内が目安です。

POINT 6

  • 下請法・個情法リスクが交差する委託場面
  • 現場では取引条件の問題と個人データの問題が同じ委託先で発生します。
  • 下請法・取適法と個情法は別の法律領域ですが、売上10億円超企業の現場では一体化して発生します。
  • 委託契約で納期、単価、支払条件だけを見ていると、個人データの再委託、アクセス権限、ログ、事故時通知が抜けます。
  • 一方、データ処理契約だけを見ていると、発注書、支払期日、価格協議、仕様変更の費用負担が抜けます。

POINT 7

  • 売上10億円超企業の下請法・個情法統制モデル
  • 1. 全委託取引の棚卸し
  • 2. 取適法判定:取引類型、資本金、従業員数、個人事業主該当性、支払条件、発注書交付状況、価格協議履歴、変更履歴を確認します。
  • 3. 個人データ委託判定
  • 4. 契約・発注・支払テンプレートの改訂
  • 5. 内部監査と経営報告

POINT 8

  • 下請法・個情法リスクの実務チェックリスト
  • 下請法・取適法の確認項目
  • 現場で一つでも該当する項目があれば、法務、購買、経理、情報システム、個人情報保護担当で確認します。

まとめ

  • 売上10億円超で発生する 下請法・個情法リスク
  • 売上10億円超の下請法・個情法リスクの全体像:法令の形式的な適用ラインではなく、委託取引と個人データ管理が経営課題へ変わる局面として整理します。
  • 下請法・取適法と個情法の用語整理:検索上のなじみがある下請法という語と、2026年以降の取適法の整理、個情法上の個人データ管理を接続します。
  • 売上10億円超企業の下請法・取適法リスク:適用判断は売上ではなく、取引類型、規模基準、相手方の三点から行います。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

売上10億円超の下請法・個情法リスクの全体像

法令の形式的な適用ラインではなく、委託取引と個人データ管理が経営課題へ変わる局面として整理します。

売上10億円超で発生する下請法・個情法リスクを理解するうえで、最初に押さえるべき点は明確です。下請法、実務上の改正後呼称である取適法、および個人情報保護法には、原則として売上10億円を超えたら適用されるという単純な売上基準はありません。

それでも、売上が10億円を超える企業では、外注、業務委託、システム開発、物流、マーケティング、カスタマーサポート、人事労務、決済、クラウド利用、データ分析が一気に増えます。その結果、発注管理、支払管理、委託先管理、個人データ管理、漏えい等対応、取締役会・監査役・内部監査への説明責任が重くなります。

次の強調表示は、このページ全体の結論を表します。読者にとって重要なのは、法律名ごとに縦割りで見るのではなく、取引先に何を委託しているか、どの委託先がどの個人データに触れているかを同じ管理単位で読み取ることです。

売上10億円は法定基準ではなく、管理不能を防ぐ警戒線です

取適法リスクと個情法リスクは、委託先台帳、支払条件、個人データ台帳、インシデント対応を連動させて把握することで、初めて経営判断に使える情報になります。

対応の中核は、法務部門だけに閉じません。経営陣、経理、購買、情報システム、セキュリティ、個人情報保護担当、内部監査、外部専門家を含め、取引・データガバナンスを同じ言葉で運用することが必要です。

Section 01

売上10億円超で下請法・個情法リスクが高まる理由

取引量、データ量、説明責任の三つが同時に増えるため、従来の現場運用では追いつきにくくなります。

このページで扱うリスクは二つです。第一に、外注先、業務委託先、制作会社、開発会社、物流事業者、倉庫事業者、フリーランス、個人事業主、中小企業に対する代金支払、発注条件の明示、発注変更、返品、やり直し、値下げ要請、振込手数料控除、手形支払、協賛金・リベート要請などで生じる下請法・取適法リスクです。

第二に、顧客、会員、従業員、採用応募者、取引先担当者、問い合わせ者、配送先、アプリ利用者、広告配信対象者などの個人情報または個人データを取得、利用、保管、委託、共同利用、第三者提供、海外移転、分析、削除、開示対応する場面で生じる個人情報保護法リスクです。

次の一覧は、売上10億円超でリスクが高まる三つの理由を表しています。なぜ重要かというと、どれか一つではなく三つが同時に進むと、法務だけでは実態を把握できなくなるためです。読者は、自社で最も先に膨らんでいる領域を確認してください。

取引量の増加

製造、制作、開発、広告、営業代行、配送、倉庫、保守、カスタマーサポート、バックオフィスの委託が増え、発注書未交付、検収日の曖昧さ、支払サイトの長期化、値上げ協議の放置が法令違反リスクに変わります。

データ量の増加

CRM、EC、アプリ、MAツール、広告配信、BI、AI分析、人事システム、給与計算、クラウドストレージに個人データが分散し、安全管理措置、委託先監督、漏えい等対応が難しくなります。

説明責任の高度化

金融機関、投資家、監査法人、税理士、M&A候補先、上場準備関係者、主要取引先から、契約管理、委託先管理、個人情報管理、内部統制、事故対応の状況を問われるようになります。

コールセンター委託は取引適正化の問題であると同時に、個人データの取扱いの委託でもあります。システム開発委託は情報成果物作成委託であると同時に、本番データ、テストデータ、ログ、会員情報、APIキー、アクセス権限の問題でもあります。物流委託も、運送・保管の取引管理と配送先情報・購入履歴の個人データ管理が重なります。

Section 02

下請法・取適法と個情法の用語整理

検索上のなじみがある下請法という語と、2026年以降の取適法の整理、個情法上の個人データ管理を接続します。

従来、下請法と呼ばれてきた法律は、下請取引における代金支払の遅延、減額、買いたたき、不当なやり直しなどを規制する法律でした。2026年1月1日から法律名や用語が改められ、公正取引委員会は取適法という略称を用いています。

次の比較表は、取適法と個情法で押さえるべき基礎用語を並べたものです。用語の違いを理解することが重要なのは、契約書や社内台帳の項目名が古いままだと、適用判断、委託先監督、経営報告で認識ずれが起きるためです。左列で法令領域、右列で実務上の意味を読み取ってください。

領域用語実務上の意味
取適法委託事業者従来の親事業者に相当する整理です。対象取引を委託し、相手方に対する発注条件や支払条件を管理する側を指します。
取適法中小受託事業者従来の下請事業者に相当する整理です。資本金等や従業員数、取引類型により保護対象となり得ます。
取適法製造委託等代金従来の下請代金に相当する整理です。支払期日、減額、遅延利息、支払手段の管理が問題になります。
個情法個人情報生存する個人に関する情報で、氏名、生年月日その他の記述等により特定個人を識別できるもの、または個人識別符号を含むものです。
個情法個人データ個人情報データベース等を構成する個人情報です。Excel、CRM、給与システム、広告配信基盤、問い合わせ管理などに整理された情報が問題になります。
共通委託先管理取引適正化と個人データ保護の交差点です。契約書だけでなく、発注、支払、アクセス権限、再委託、削除、事故時通知まで管理します。

売上10億円超企業にとっての実務上の核心は、委託取引を取引適正化と個人データ保護の双方から分類し、継続的に監視することです。契約書を作るだけではなく、誰が何を外部へ委託し、どの個人データがどこへ渡っているかを追跡できる状態が必要です。

Section 03

売上10億円超企業の下請法・取適法リスク

適用判断は売上ではなく、取引類型、規模基準、相手方の三点から行います。

取適法の適用判断では、委託している業務が製造委託、修理委託、情報成果物作成委託、役務提供委託、特定運送委託などの対象取引に該当するかを確認します。次に、委託事業者と中小受託事業者の資本金等または従業員数が法定基準に該当するかを確認します。さらに、相手方が中小受託事業者、個人事業主、フリーランス等に該当し得るかを見ます。

次の判断の流れは、売上額ではなく取引の中身から確認する順番を表します。この順番が重要なのは、資本金だけを見て対象外と判断していた企業でも、従業員数基準や取引類型によって対象範囲が広がる可能性があるためです。上から順に確認し、どこで追加調査が必要になるかを読み取ってください。

取適法の適用可能性を確認する順番

委託している業務を棚卸しする

製造、修理、情報成果物作成、役務提供、特定運送などに当たるかを確認します。

資本金等と従業員数を確認する

委託側と受託側の規模基準を照合します。2026年改正後は従業員数基準も重要です。

該当可能性あり
発注・支払・変更履歴を重点確認

発注内容明示、60日以内の支払、価格協議、減額、やり直しの有無を見ます。

直ちに該当しない
優越的地位や契約リスクも確認

取適法の対象外でも、独占禁止法や契約上の不公正な運用が残ることがあります。

主要な規模基準

次の比較表は、取引類型ごとに確認する主な規模基準を整理したものです。個別判断では法令、施行令、公正取引委員会資料、最新のガイドライン確認が必要ですが、ここでは社内棚卸しで最初に見るべき区分を読み取れます。

取引類型委託事業者側の主な基準中小受託事業者側の主な基準
製造委託、修理委託、特定運送委託、プログラム作成・運送・倉庫保管・情報処理に係る情報成果物作成委託または役務提供委託資本金3億円超、資本金1千万円超3億円以下、または従業員300人超の区分資本金3億円以下、資本金1千万円以下、または従業員300人以下の区分
上記以外の情報成果物作成委託・役務提供委託資本金5千万円超、資本金1千万円超5千万円以下、または従業員100人超の区分資本金5千万円以下、資本金1千万円以下、または従業員100人以下の区分

売上10億円超企業で典型的に増える対象取引には、製造業の部品加工、金型、検査、梱包、倉庫保管、配送、保守、品質管理、マニュアル制作があります。IT・SaaS企業ではシステム開発、アプリ開発、UIデザイン、テスト、保守、データ入力、ヘルプデスク、カスタマーサポート、クラウド運用、コンテンツ制作、動画制作、広告制作が問題になり得ます。

EC・小売企業では商品撮影、商品ページ制作、広告運用、倉庫保管、物流、返品処理、コールセンター、レビュー分析、会員管理、配送連携が増えます。広告・メディア企業ではライティング、デザイン、動画編集、モデル撮影、システム開発、データ分析、キャンペーン事務局、イベント運営、アンケート集計が問題になります。建設・不動産・設備関連企業では設計、図面作成、施工補助、点検、清掃、設備保守、調査、測量、広告制作、入居者対応が問題になります。

四つの基本義務

次の一覧は、委託事業者に課される基本義務の実務上の意味を表しています。なぜ重要かというと、この四点が崩れると支払遅延、代金減額、記録不備、行政調査対応の弱さにつながるためです。各項目で、社内のどの部署が証跡を持っているかを読み取ってください。

義務 1

発注内容等の明示

業務内容、代金、支払期日、支払方法、納期、給付内容、検査・検収、変更条件を発注時点で明確に示します。口頭発注、チャット発注、仕様未確定のままの着手は高リスクです。

義務 2

取引記録の作成・保存

発注内容、給付内容、受領日、検査日、支払日、支払額、変更経緯などを作成し、原則として2年間保存します。

義務 3

支払期日の設定

受領日または役務提供日から起算して、一定期間内、実務上は60日以内に支払期日を定める必要があります。

義務 4

遅延利息の支払

支払が遅れた場合、一定の遅延利息を支払う必要があり、実務資料では年14.6%という率が示されています。

成長企業で起こりやすい違反パターン

次の注意要素の一覧は、十一の禁止行為のうち売上10億円超企業で特に表面化しやすい運用を表しています。重要なのは、悪意ある値下げだけでなく、検収、請求、振込、仕様変更、価格協議、支払手段という日常処理から違反が生じる点です。自社の経理・購買・発注部署の慣行に近いものを読み取ってください。

検収を口実に支払を遅らせる

社内確認、クライアント入金待ち、月末締め翌々月末払いなどを理由に、受領後60日を超える支払サイトを設定する運用は高リスクです。

振込手数料等を控除する

振込手数料、自社EDI利用料、請求処理手数料、月額管理費を請求額から差し引く運用は、代金減額の問題になり得ます。

仕様変更を無償で求める

追加機能、追加検査、追加撮影、追加修正を軽微な修正として無償で求めると、不当なやり直しや不当な給付内容の変更が問題になります。

価格転嫁協議を放置する

原材料費、人件費、物流費などの上昇に対し、協議に応じない、回答を先延ばしにする、説明なく据え置く運用は、改正後の重点リスクです。

旧来の支払手段を漫然と使う

2026年改正では手形払いが支払手段として認められなくなります。電子記録債権やファクタリングも満額現金化できない場合は問題になります。

勧告・公表の影響を軽く見る

勧告や社名公表は、取引先、金融機関、投資家、採用市場、M&A、上場審査、監査法人、メディア対応へ波及し得ます。

Section 04

売上10億円超企業の個情法リスク

個情法にも売上10億円基準はありませんが、データ量と委託先の増加により違反時の影響が大きくなります。

個人情報保護法は、売上高によって適用される法律ではありません。個人情報データベース等を事業の用に供している場合、取り扱う個人情報によって識別される本人の数にかかわらず、個人情報取扱事業者に該当し得ます。

売上10億円を超えると、顧客数、会員数、問い合わせ数、配送先数、採用応募者数、従業員数が増えます。CRM、MA、広告配信、BI、AI、SaaS、クラウドストレージ、外部APIの利用も増えます。コールセンター、給与計算、採用管理、EC物流、メール配信、システム運用など、個人データを扱う委託先が増えるため、漏えい時の報告、本人通知、広報、顧客対応、行政対応、取引先説明が経営問題になります。

次の比較一覧は、個情法対応をプライバシーポリシーだけで終わらせないための三つの管理対象を表しています。重要なのは、文章の整備よりも、どの部署・どのシステム・どの委託先が個人データに触れるかを継続的に把握することです。各項目から、自社で台帳化すべき情報を読み取ってください。

管理 1

個人データの所在

どの部署が、どの目的で、どの個人データを、どのシステムに保管し、誰に委託し、誰に提供し、いつ削除するのかを一覧化します。

管理 2

委託先の監督

個人データに触れる委託先について、契約、アクセス権限、再委託、セキュリティ、ログ、事故時通知、監査、終了時返却・削除を管理します。

管理 3

漏えい等対応

漏えい等が発生したときに、速報、確報、本人通知、取引先説明、広報、再発防止を実行できる体制を整えます。

委託先監督が中心になる理由

個人データの取扱いを委託する場合、委託元である個人情報取扱事業者は、委託先に対して必要かつ適切な監督を行う必要があります。適切な委託先の選定、委託契約の締結、委託先の取扱状況の把握、再委託管理が求められます。

次の注意要素の一覧は、委託先監督の失敗がどのように表れるかを示しています。なぜ重要かというと、成長企業は外部委託に依存しながら規模を拡大するため、個人データの実際の管理者が社外に分散しやすいからです。自社の委託契約とアクセス権限に同じ弱点がないかを読み取ってください。

再委託先を把握していない

委託先が個人データを再委託先に渡しているにもかかわらず、委託元が範囲、目的、アクセス権限を把握していない状態です。

本番データの扱いが曖昧

システム開発会社に本番データを渡したが、アクセス権限、テスト利用、ログ、削除証明を確認していない状態です。

海外アクセスを見落とす

クラウドベンダーの海外サポート担当者が個人データにアクセスできるのに、外国の制度や外的環境を把握していない状態です。

事故時条項が弱い

契約に漏えい時の通知期限、ログ提供、調査協力、再委託承諾、削除証明がなく、初動が遅れやすい状態です。

漏えい等報告と本人通知

次の時系列は、漏えい等が発覚した後の期限感を表しています。なぜ重要かというと、委託先からの連絡が営業担当で止まる、ログが残っていない、本人通知対象を特定できないといった初動不備が行政対応や顧客対応を悪化させるためです。発覚後の順番と期限の差を読み取ってください。

発覚直後

社内連絡と事実確認

現場、法務、個人情報保護担当、情報システム、経営陣、必要に応じた外部専門家へ速やかに共有し、対象データ、人数、原因、拡大防止策を確認します。

おおむね3〜5日以内

速報の検討

報告対象となる漏えい等事案では、個人情報保護委員会への速報が必要となる場面があります。委託先から委託元へ速やかに通知する運用も重要です。

原則30日以内または60日以内

確報と本人通知

通常の確報は原則30日以内、不正目的のおそれがある場合などは60日以内が目安です。本人通知、取引先説明、広報、再発防止策も並行して進めます。

安全管理措置とデータ提供の整理

安全管理措置は、中小企業だから簡易でよいという発想では足りません。取り扱う個人データの内容、量、性質、漏えい等が生じた場合の本人の権利利益侵害の程度、技術水準、事業規模などを踏まえて、必要かつ適切な措置を講じる必要があります。

個人データ取扱規程、アクセス権限規程、情報セキュリティ規程、個人データ台帳、システム台帳、委託先台帳、退職者・異動者・委託先アカウントの停止、共有アカウントや無断クラウド利用の防止、ログ保存、教育、訓練、監査、事故対応演習が確認対象になります。

また、第三者提供、共同利用、委託、事業承継を混同してはいけません。グループ会社だから自由に共有できる、業務委託だから同意は不要である、共同利用と書けば足りる、M&A検討だから個人データを見せてもよい、という理解は危険です。委託であれば委託の範囲と委託先監督、共同利用であれば共同利用する項目、範囲、目的、管理責任者などの表示、事業承継であれば利用目的、秘密保持、開示範囲、匿名化・マスキング・アクセス管理を検討します。

2026年4月に公表された個人情報保護法等の一部改正に関する法律案資料では、AI活用にも資する円滑なデータ連携、16歳未満の者に関する規律、顔特徴データ等の取扱い、委託を受けた事業者に関する規律、命令、罰則、課徴金制度などが示されています。成立・施行済みの義務と法律案段階の制度は区別しつつ、AI、広告、統計、顔特徴、未成年、委託処理、課徴金を今後のデータ法務の中核テーマとして見ておく必要があります。

Section 05

下請法・個情法リスクが交差する委託場面

現場では取引条件の問題と個人データの問題が同じ委託先で発生します。

下請法・取適法と個情法は別の法律領域ですが、売上10億円超企業の現場では一体化して発生します。委託契約で納期、単価、支払条件だけを見ていると、個人データの再委託、アクセス権限、ログ、事故時通知が抜けます。一方、データ処理契約だけを見ていると、発注書、支払期日、価格協議、仕様変更の費用負担が抜けます。

次の比較一覧は、典型的な委託場面ごとに、取引適正化と個人データ管理がどのように重なるかを表しています。重要なのは、どの委託でも二つの観点を同時に見ることです。左側で委託の内容、中央で取適法上の注意点、右側で個情法上の注意点を読み取ってください。

IT

システム開発委託

情報成果物作成委託として、仕様変更、追加改修、テスト不具合、検収遅延、保守対応の費用負担が問題になります。本番データ、顧客データ、ログ、問い合わせ履歴にアクセスする場合は、目的外利用禁止、アクセス権限、再委託、国外アクセス、暗号化、ログ保存、漏えい時の即時通知、削除証明、監査協力を契約に入れる必要があります。

取引条件本番データ
CS

コールセンター・カスタマーサポート委託

単価、稼働時間、最低保証、支払期日、追加対応費用、繁忙期対応の設計に加え、録音データ、閲覧権限、持ち出し禁止、研修、再委託、在宅勤務時のセキュリティ、事故時通知、問い合わせ履歴の保存期間、終了時返却・削除を定めます。

役務提供顧客情報
物流

物流・倉庫・配送委託

配送先氏名、住所、電話番号、購入商品、返品情報、置き配情報、決済関連情報を扱います。物流費高騰、再配達、倉庫逼迫、荷待ち、荷役、返品対応、在庫移動、キャンペーン増便に伴う価格協議、追加費用、支払遅延、作業範囲変更を口頭合意で済ませないことが重要です。

特定運送配送先情報
広告

広告・マーケティング委託

広告運用、LP制作、動画制作、SNS運用、メール配信、MAツール運用、アクセス解析、キャンペーン事務局、アンケート集計では、短納期、無償修正、成果未達を理由とした減額、協賛金要請が問題になります。広告ID、Cookie、応募者情報、第三者提供、共同利用も整理が必要です。

成果物作成広告データ
人事

人事・労務・給与・採用委託

給与計算、社会保険手続、採用管理、適性検査、勤怠管理、従業員調査、福利厚生代行では、給与、扶養、健康、個人番号、評価、懲戒、休職、障害、ハラスメント相談など高度にセンシティブな情報が含まれる場合があります。

外部委託従業員情報
Section 06

売上10億円超企業の下請法・個情法統制モデル

契約審査だけではなく、発注前から事故時までを同じ台帳と責任分界で管理します。

多くの企業は法務部を置くと、まず契約審査の手順を作ります。しかし、下請法・取適法と個情法の観点では、契約書の審査だけでは足りません。必要なのは、発注前、契約時、業務開始時、運用中、支払時、変更時、終了時、事故時までを一貫して管理するプロセスです。

次の一覧は、統制の土台になる四つの台帳を表しています。重要なのは、取適法判定台帳と個人データ委託台帳を別々の部署に閉じず、同じ委託先を同じ識別子で追えるようにすることです。各台帳で何を記録し、どの台帳同士を照合すべきかを読み取ってください。

台帳 1

委託先台帳

取引先名、法人番号、資本金、従業員数、個人事業主該当性、業務内容、発注部署、契約担当者、支払条件を記録します。

台帳 2

取適法判定台帳

取引類型、委託事業者基準、中小受託事業者基準、発注書交付状況、支払期日、変更履歴、価格協議履歴を記録します。

台帳 3

個人データ委託台帳

委託先が扱う個人データの種類、本人の範囲、目的、保存場所、再委託、国外取扱い、アクセス権限、セキュリティ確認、事故時通知期限を記録します。

台帳 4

インシデント・是正台帳

支払遅延、無償修正、価格協議未了、漏えい、アクセス権限不備、委託先監査指摘、教育未実施などの是正状況を記録します。

RACIで責任分界を明確にする

次の比較表は、Responsible、Accountable、Consulted、Informedの考え方で役割分担を整理したものです。なぜ重要かというと、売上10億円超では、現場、法務、経理、情報システム、内部監査がそれぞれ一部の情報しか持たず、責任の所在が曖昧になりやすいためです。主担当、最終責任、関与部門の違いを読み取ってください。

領域主担当最終責任関与部門
取適法の適用判定法務・購買経営管理担当役員またはCLO経理、発注部署、外部弁護士
発注書・契約書の整備法務・購買法務責任者発注部署、経理
支払期日・振込手数料管理経理CFO法務、購買、内部監査
価格協議記録購買・発注部署事業責任者法務、経理
個人データ台帳個人情報保護担当・情報システムCISOまたは個人情報保護管理者法務、各部署
委託先セキュリティ確認情報システム・セキュリティCISO法務、購買、個人情報保護担当
漏えい等対応個人情報保護担当・法務経営責任者情報システム、広報、外部弁護士
内部監査内部監査監査役・監査等委員会・取締役会法務、経理、情報システム

90日で実施する初期対応

次の時系列は、売上10億円を超えた、または超える見込みの企業が90日以内に進める初期対応を表しています。重要なのは、棚卸し、判定、契約改訂、経営報告の順番を崩さず、後半で初回の是正計画まで落とし込むことです。期間ごとに集める資料と決める事項を読み取ってください。

第1段階

全委託取引の棚卸し

過去12か月の支払先一覧、契約書一覧、請求書一覧、購買台帳、経費精算データ、クラウド契約、業務委託契約、NDA、発注書、見積書を集めます。

第2段階

取適法判定

取引類型、資本金、従業員数、個人事業主該当性、支払条件、発注書交付状況、価格協議履歴、変更履歴を確認します。

第3段階

個人データ委託判定

各委託先が個人データに触れるか、本人の範囲、データ項目、保存場所、アクセス者、再委託、海外取扱い、事故時通知期限を確認します。

第4段階

契約・発注・支払テンプレートの改訂

発注書、業務委託契約、基本契約、個別契約、SaaS契約、DPA、秘密保持契約、価格改定条項、仕様変更条項、再委託条項、事故時通知条項、削除・返却条項を改訂します。

第5段階

内部監査と経営報告

初回棚卸しの結果を経営会議または取締役会に報告し、重大リスク、是正期限、担当役員、予算、人員、外部専門家の利用方針を決めます。

Section 07

下請法・個情法リスクの実務チェックリスト

現場で一つでも該当する項目があれば、法務、購買、経理、情報システム、個人情報保護担当で確認します。

下請法・取適法の確認項目

次の確認一覧は、発注・支払・価格協議の運用に潜むリスクを表しています。重要なのは、契約書の文言だけでなく、日々の発注方法、請求起算、費用控除、変更依頼、記録保存まで見ることです。番号が多く当てはまるほど、初期棚卸しの優先度が高いと読み取ってください。

分類確認すべき運用
発注発注書を業務開始後に出している。チャット、口頭、メールだけで発注している。見積書にない追加作業を無償で依頼している。
支払検収が遅れると支払も遅れる。請求書受領日を支払サイトの起算点にしている。月末締め翌々月末払いなど60日を超える可能性がある。
控除・要請振込手数料を受託者負担にしている。EDI利用料、システム利用料、管理費を控除している。リベート、協賛金、販売協力金を求めている。
変更・価格返品、再納品、やり直しの費用負担を明確にしていない。価格改定の申入れに回答期限がない。原材料費・人件費上昇時の価格協議ルールがない。
相手方把握取引先の資本金・従業員数を把握していない。個人事業主・フリーランスとの取引を例外扱いしている。
物流・支払手段物流、倉庫、配送、荷役、保管の追加費用を曖昧に処理している。手形、電子記録債権、ファクタリングを旧来の慣行で使っている。
記録・体制発注内容、受領日、検査日、支払日を2年間保存していない。事業部が外注先を独自に選び法務・購買へ共有していない。支払条件を経理だけが管理し、違反時の社内報告ルートがない。

個情法の確認項目

次の確認一覧は、個人データ委託と安全管理措置の弱点を表しています。なぜ重要かというと、売上10億円超では委託先、クラウド、広告、採用、人事のデータが分散し、漏えい時に短期間で全体像を把握する必要があるためです。左列の分類ごとに、未整備の管理項目を読み取ってください。

分類確認すべき運用
台帳個人データ台帳がない。委託先がどの個人データに触れているか不明である。個人データに触れる委託先数を答えられない。
契約委託先との契約に個人データ取扱条項がない。再委託の有無を把握していない。監査、報告、改善要求、漏えい時通知、終了時返却・削除・削除証明が契約にない。
海外・クラウド海外SaaSのデータ保存国・サポートアクセス国を把握していない。クラウドや外部APIの責任者が曖昧である。
アクセス管理本番データをテスト環境に使っている。退職者や外部委託先のアカウントが残っている。共有アカウントで個人データにアクセスしている。ログが保存されていない、または調査できない。
表示・本人対応プライバシーポリシーと実際の利用目的が一致していない。共同利用の表示が古い。本人からの開示・削除・利用停止請求への対応手順がない。
事故対応漏えい等報告の要否を判断する責任者がいない。3〜5日以内の速報に必要な情報を集める手順がない。年1回以上の教育、訓練、インシデント演習をしていない。

経営陣が確認すべき質問

経営者、取締役、監査役、社外取締役、CFO、CLO、CCO、CISOは、委託先の総数、取適法対象可能性のある先、支払サイトが60日を超える可能性のある取引、振込手数料や管理費の控除、価格改定協議の回答責任者、個人データに触れる委託先数、再委託先と海外取扱い、漏えい時の報告時間、3〜5日以内の速報可否、取締役会報告時期、是正に必要なシステム・人員・外部専門家予算を確認する必要があります。

Section 08

売上10億円超のケースで見る下請法・個情法リスク

業種ごとの典型例から、取引条件と個人データ管理を同時に見る感覚を確認します。

次の比較一覧は、売上10億円超企業で想定される四つのケースを表しています。なぜ重要かというと、資本金、従業員数、委託内容、個人データの種類が変わると、見るべき論点が変わるためです。各ケースで、取引適正化の論点とデータ保護の論点がどのように重なるかを読み取ってください。

ケース 1

制作会社

資本金1,000万円、売上12億円、従業員120名の制作会社では、Web制作、動画制作、広告クリエイティブ、記事制作、SNS運用を個人事業主や小規模制作会社へ委託する場合に、従業員数基準を含めた取適法の対象可能性を検討します。無償修正、検収前支払遅延、広告主入金後払い、振込手数料控除が問題になりやすく、キャンペーン応募者、メール配信リスト、アクセス解析データ、広告ID、SNSアカウント情報の管理も必要です。

ケース 2

SaaS企業

売上15億円のSaaS企業が外部開発会社に機能追加を委託する場合、情報成果物作成委託として、仕様変更、追加改修、テスト不具合、検収遅延、保守対応の費用負担を明確にします。本番データ、顧客データ、ログ、問い合わせ履歴にアクセスする場合、目的外利用禁止、再委託、国外アクセス、暗号化、ログ保存、漏えい時通知、削除証明、監査協力が必要です。

ケース 3

EC企業

売上20億円のEC企業が倉庫・配送委託先を変更する場合、配送先氏名、住所、電話番号、購入商品、返品情報、問い合わせ履歴を新委託先へ移行します。物流・倉庫・運送に関する支払条件、追加作業、荷役、保管料、返品処理費用を明確にし、旧委託先での削除、新委託先のアクセス権限、再委託先、配送アプリ、配送担当者端末、置き配情報、事故時通知を確認します。

ケース 4

メーカー

メーカーが取引先に金型、治具、図面、部材、専用設備を長期間保管させる場合、保管費用、返却、廃棄、所有権、保険、棚卸、使用頻度、保管場所を明確にします。無償で長期保管を求めると、不当な経済上の利益の提供要請などの問題になり得ます。

Section 09

下請法・個情法リスクを支える専門職と社内部門

外部専門家を含めても、社内の責任分界が曖昧なままでは統制は機能しません。

次の比較表は、専門職と社内部門の役割を整理したものです。重要なのは、誰か一人の専門性で完結させるのではなく、法令解釈、契約、支払、情報システム、内部監査、経営報告を接続することです。各行で、どの部門がどの情報を持ち、どの局面で連携するかを読み取ってください。

担当主な役割連携が必要な場面
弁護士・企業内弁護士・外部弁護士取適法の適用判定、契約条項、価格協議、行政調査対応、勧告リスク、個人情報保護法対応、漏えい等報告、本人通知、委託先契約、M&Aデューデリジェンス、紛争対応を担います。当局対応、事故対応、高度な契約見直し、第三者的レビュー、経営判断への接続
法務・コンプライアンス・個人情報保護担当契約審査、法令適用判定、発注・支払・個人データ委託の実務設計、教育、内部通報、規程整備、違反時是正、本人請求対応を担います。新規委託先の導入、契約ひな形改訂、個人データ台帳整備、漏えい等対応
購買・経理・情報システム・内部監査購買は資本金・従業員数、価格協議、発注書交付、取引先マスターを管理します。経理は支払期日、振込手数料、相殺、支払手段、遅延利息を管理します。情報システムは保存場所、アクセス権限、ログ、クラウド、委託先セキュリティを管理します。内部監査は実効性をサンプリングし報告します。四半期報告、支払条件点検、アクセス権限レビュー、委託先監査
公認会計士・税理士・社会保険労務士・司法書士・弁理士内部統制、IPO、M&A、財務デューデリジェンス、支払、源泉徴収、従業員データ、給与計算、登記、組織再編、開発委託、共同開発、ライセンス、営業秘密、技術情報管理に関与します。上場準備、資金調達、M&A、人事労務委託、知財・技術情報を含む委託
Section 10

売上10億円超の下請法・個情法リスクを成長基盤に変える

取適法と個情法は、急成長で乱れやすい外部委託、支払、データ利用、顧客対応を安定させる経営基盤です。

売上10億円超の企業にとって、下請法・取適法と個情法は単なる禁止規範ではありません。急成長によって乱れやすい外部委託、支払、データ利用、顧客対応を安定させるための経営基盤です。取引先に不当な条件を課さず、価格協議に正面から向き合う企業は、優良な外部パートナーを確保しやすくなります。委託先の個人データ管理を徹底する企業は、顧客、金融機関、投資家、採用候補者、取引先から信頼されやすくなります。

次の強調表示は、設計思想の要点を表しています。重要なのは、法務を事業を止める部署と見るのではなく、成長を持続可能にする仕組みとして位置付けることです。読者は、契約書レビューから委託ライフサイクル管理へ視点を移す必要性を読み取ってください。

売上10億円超で発生するのではなく、売上10億円超で見えなくなる

法律違反は、悪意だけでなく管理不能から生じます。外注先、クラウド、広告、物流、人事、顧客データの流れを見える化することが、最初の法務対応です。

実務対応の優先順位は、すべての委託先を棚卸しし、取引内容、資本金、従業員数、支払条件を把握することから始まります。次に、取適法の対象可能性がある取引について、発注書、支払期日、代金変更、価格協議、手形・振込手数料を是正します。さらに、個人データに触れる委託先を特定し、契約、再委託、国外取扱い、アクセス権限、事故時通知、削除を管理します。

最後に、経理、購買、法務、個人情報保護担当、情報システム、内部監査が同じ台帳を見て運用し、経営陣が四半期ごとに取適法・個情法リスクの是正状況をレビューします。法務の役割は、単に違反を指摘することではなく、事業の成長速度に耐えられる取引・データガバナンスを設計し、取引先にも顧客にも信頼される企業体制を構築することです。

FAQ

売上10億円超の下請法・個情法リスクFAQ

よくある疑問を、一般的な制度説明として整理します。個別の判断は事情により変わります。

売上10億円を超えると下請法・取適法が自動的に適用されますか

一般的には、売上10億円という売上高だけで下請法・取適法が自動的に適用されるわけではないとされています。ただし、取引類型、資本金等、従業員数、相手方の規模、個人事業主該当性によって結論が変わる可能性があります。具体的な適用判断は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

個情法も売上規模で適用されますか

一般的には、個人情報保護法は売上高ではなく、個人情報データベース等を事業の用に供しているかなどによって問題になるとされています。ただし、取り扱う個人情報の内容、データベース化の状況、委託や第三者提供の有無によって対応は変わる可能性があります。具体的な対応は、データの所在と利用目的を整理したうえで専門家へ相談する必要があります。

プライバシーポリシーを作れば個情法対応は足りますか

一般的には、プライバシーポリシーの整備だけで個情法対応が完了するものではないとされています。利用目的、取得項目、委託先監督、安全管理措置、本人請求対応、漏えい等対応、第三者提供、共同利用、外国における取扱いなどを実態に合わせて整える必要があります。具体的には、台帳、契約、権限、ログ、教育、監査の状況を確認する必要があります。

委託先で漏えいが起きた場合、委託元にも責任がありますか

一般的には、個人データの取扱いを委託する場合、委託元には委託先に対する必要かつ適切な監督が求められるとされています。ただし、委託契約、再委託の有無、事故発生経緯、通知体制、ログ、アクセス権限、初動対応によって評価は変わる可能性があります。具体的な報告要否や本人通知の方針は、事実関係を整理したうえで専門家へ相談する必要があります。

Reference

参考資料

公的機関の資料名を中心に、本文の根拠として確認した資料を整理します。

取適法・下請法関連

  • 公正取引委員会「取適法・振興法について」
  • 公正取引委員会「取適法リーフレット」
  • 公正取引委員会「令和7年改正 下請法概要資料」
  • 公正取引委員会「取適法ポイントリーフレット」
  • 公正取引委員会「委託事業者の禁止行為」
  • 公正取引委員会「勧告・指導事例」

個人情報保護法関連

  • 個人情報保護委員会「個人情報保護法等FAQ」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン 通則編」
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案関係資料」