情報漏えい、ランサムウェア、システム停止、再委託先事故が起きたときに、委託元と委託先が何を担い、費用と損害をどう分けるかを契約実務の観点から整理します。
事故後の責任追及だけでなく、予防、検知、通知、調査、復旧、費用精算までを契約で動かせる状態にします。
事故後の責任追及だけでなく、予防、検知、通知、調査、復旧、費用精算までを契約で動かせる状態にします。
委託先インシデント時の責任分担契約とは、委託先または再委託先で事故が起きた場合に、委託元と委託先の間で予防義務、検知義務、初動報告、証拠保全、原因調査、当局報告、本人通知、顧客対応、復旧、再発防止、費用負担、損害賠償、求償、保険、契約終了後の措置を定める契約設計です。
この契約は、単なる損害賠償条項ではありません。委託先の選定、委託範囲、データ分類、セキュリティ要求事項、再委託管理、監査、訓練、連絡体制、ログ保存、復旧目標、広報統制を含めた、企業法務、情報セキュリティ、プライバシー、内部統制の横断的な仕組みです。
委託先インシデント時の責任分担契約で最も重要なのは、誰が、いつ、何を、どの証跡に基づいて、どの基準で実施し、その結果生じる費用と損害をどのルールで分担するかを、運用可能な粒度で明文化することです。
このテーマは、業務委託契約、クラウド利用契約、システム開発・運用契約、BPO契約、コールセンター契約、物流委託契約、広告運用委託契約、データ処理委託契約をレビューする場面で問題になります。
委託元から厳しいセキュリティ条項、無制限責任、監査権、即時報告義務を求められている委託先企業にとっても、自社が管理できる範囲とできない範囲を整理する防御線になります。
次の比較一覧は、責任分担契約が扱う主な読者と関心事を整理したものです。誰が契約を読むかによって重視する論点が変わるため、関係部門ごとの視点を先にそろえることが重要です。列には読者層と確認したい主な論点を示しており、社内レビューの参加者を決める材料として読めます。
| 読者層 | 主な関心事 |
|---|---|
| 法務担当者 | 契約条項、損害賠償、責任制限、解除、紛争予防を確認します。 |
| 経営者・管理部門 | 委託先事故が自社の事業停止、顧客説明、信用毀損に及ぶ範囲を把握します。 |
| 委託先企業 | 自社の管理範囲、通知期限、調査協力、費用負担、責任上限を整理します。 |
| 専門家・監査担当 | 個人情報保護、サイバーセキュリティ、内部監査、会計、保険の観点を接続します。 |
用語の射程を広く取りつつ、実際の報告・対応は重大度で分ける設計が実務的です。
委託先とは、委託元から業務の全部または一部を受けて遂行する事業者です。システム開発会社、クラウドサービス事業者、SaaS事業者、BPO事業者、物流会社、コールセンター、広告代理店、データ分析会社、給与計算会社、印刷会社、保守会社、決済代行会社などが典型例です。
インシデントとは、業務、情報、システム、データ、法令遵守、サービス提供に悪影響を与える事故またはそのおそれです。不正アクセス、マルウェア感染、ランサムウェア、個人データの漏えい・滅失・毀損、誤送信、設定ミス、システム停止、データ改ざん、秘密情報流出、内部不正、再委託先事故、バックアップ失敗、復旧不能、監査ログ消失が含まれます。
責任分担は、損害を誰が負担するかだけではありません。予防、検知、報告、調査、復旧、顧客対応、当局対応、再発防止、広報、証拠保全、費用支出の意思決定を誰が主担当として行うかを決めることです。
次の一覧は、責任分担契約が組み合わせる文書群を示しています。ひとつの契約本文にすべてを詰め込むと更新しにくいため、列の違いから、固定条項と運用別紙を分ける意味を読み取ることが重要です。
| 文書 | 主な内容 | 実務上の注意 |
|---|---|---|
| 基本契約 | 責任分担の基本原則、損害賠償、解除、再委託、秘密保持を定めます。 | 全案件共通の土台にします。 |
| 個別契約・注文書 | 対象業務、対象データ、委託範囲、対価を定めます。 | どのデータ・システムが対象かを明確にします。 |
| セキュリティ別紙 | 技術的・組織的安全管理措置を定めます。 | 抽象論ではなく最低基準を列挙します。 |
| DPA | 個人データ処理の条件、再委託、越境移転、削除を定めます。 | 個人データを扱う場合に重要です。 |
| SLA | 稼働率、復旧時間、問い合わせ応答、障害報告を定めます。 | サービスクレジットと損害賠償の関係を明確にします。 |
| インシデント対応覚書 | 速報、続報、証拠保全、当局報告、本人通知、広報を定めます。 | 事故時の実行手順の中心になります。 |
| RACI表 | 実行責任、説明責任、相談先、報告先を整理します。 | 部署・担当者単位で定めると訓練に使いやすくなります。 |
| 監査・証跡管理手順 | 定期監査、自己点検、第三者認証、改善計画を定めます。 | 年1回以上の見直しが推奨されます。 |
委託先インシデントでは、事故発生後の時間が極めて重要です。初動の遅れは、被害拡大、ログ消失、規制当局への報告遅延、本人通知の混乱、顧客説明の不整合、証拠保全の失敗、復旧費用の増大につながります。
契約に何も書かれていない場合、委託元は「委託先の事故だから委託先が対応する」と考え、委託先は「委託元のデータ・顧客だから委託元が判断する」と考えることがあります。この認識のずれを避けるため、役割分担を契約書やSLAなどへ落とし込みます。
民法、個人情報保護法、サイバーセキュリティ経営の視点を同時に確認します。
委託先インシデント時の責任分担契約は、まず民法上の契約責任を前提にします。委託先が契約で定めた安全管理措置、報告義務、再委託管理義務、秘密保持義務、復旧義務を履行しなかった場合、債務不履行責任が問題になります。
損害の範囲では、通常生ずべき損害と、予見すべき特別事情による損害の区別が重要です。委託先インシデント時の責任分担契約では、通常損害、特別損害、間接損害、逸失利益、信用毀損、行政対応費用、本人対応費用をどこまで含めるかを明確にします。
業務委託の性質が準委任に近い場合、善良な管理者の注意義務や報告義務も重要です。システム運用、BPO、コンサルティング、データ処理のような継続的業務では、成果物の完成だけでなく、過程管理・報告・注意義務の内容を契約上具体化します。
個人データの取扱いを委託する場合、委託元は委託先に任せきりにできません。委託先の選定、委託契約の締結、委託先での取扱状況の把握を通じて、必要かつ適切な監督を行うことが求められます。
次の比較表は、個人データ漏えい等が委託先で起きた場合に契約で決めておきたい実務事項です。各行の論点は、当局報告や本人通知の期限管理に直結するため、委託先から委託元への速報を法令対応より前倒しで設計する必要があります。
| 論点 | 契約上の設計 |
|---|---|
| 委託先から委託元への初動通知 | インシデントを認識または合理的に疑った時点から何時間以内に速報するかを定めます。 |
| 通知内容 | 発生日、検知日時、影響範囲、対象データ、件数、原因、暫定対応、ログ、連絡担当者を定めます。 |
| 個人情報保護委員会への報告 | 委託元が行うか、委託先が共同で行うか、委託先通知で足りるかを整理します。 |
| 本人通知 | 通知文の作成主体、費用負担、問い合わせ窓口の運営主体を定めます。 |
| 続報 | いつまでに、どの粒度で、何回報告するかを定めます。 |
| 原因調査 | フォレンジック調査の主体、専門家選定、証拠保全、報告書共有範囲を定めます。 |
| 再発防止 | 是正計画、期限、検証、監査、契約解除権を定めます。 |
サイバーセキュリティは情報システム部門だけの問題ではありません。サプライヤーや第三者をインシデント対応・復旧計画に含め、役割、責任、情報共有、報告ルールを明確にすることが重視されています。
委託先インシデント時の責任分担契約は、法務部だけで完結しません。法務、情報セキュリティ、個人情報保護、調達、内部監査、広報、経営、事業部門、保険担当、会計担当が連携して設計する経営管理文書です。
「責任を負う」という一文を、実際に動く義務へ分解します。
実務上、「責任」という語は多義的です。契約書で単に「委託先が責任を負う」と書いても、具体的に何を意味するのか不明確になりがちです。少なくとも、予防、検知、通知、調査、対応、費用、損害賠償、行政対応、証拠保全、再発防止に分けて記載します。
次の比較表は、責任の種類と契約条項の対応関係を示しています。行ごとに「作業責任」と「金銭責任」が混在しないように見ると、事故後の担当不明や費用精算の争いを減らせます。
| 責任の種類 | 内容 | 契約条項の例 |
|---|---|---|
| 予防責任 | 事故を起こさないための管理策を実施します。 | セキュリティ要求事項、教育、脆弱性管理、アクセス制御 |
| 検知責任 | 異常を発見し、社内外へエスカレーションします。 | 監視、ログ分析、アラート、検知後の連絡 |
| 通知責任 | 事故またはおそれを相手方へ知らせます。 | 速報期限、通知事項、連絡先、24時間体制 |
| 調査責任 | 原因、範囲、影響を調べます。 | フォレンジック、ログ保全、報告書、専門家選任 |
| 対応責任 | 封じ込め、復旧、本人対応を実施します。 | 復旧義務、本人通知、問い合わせ窓口、広報 |
| 費用負担責任 | 対応費用を負担します。 | 調査費、通知費、弁護士費用、信用監視費用、復旧費 |
| 損害賠償責任 | 相手方または第三者損害を賠償します。 | 補償条項、責任制限、免責、除外事由 |
| 行政対応責任 | 当局報告や調査対応を行います。 | PPC報告、業法当局報告、資料提出、立入検査対応 |
| 証拠保全責任 | 紛争や調査に備えて証跡を保持します。 | ログ保存、改ざん防止、証拠保全手順 |
| 再発防止責任 | 改善策を実施し、検証します。 | 是正計画、期限、監査、解除権 |
次の重要ポイントは、事故後72時間の実務に焦点を当てています。初動で実行する順番を読めば、責任分担契約が損害賠償だけでなく、通知、証拠保全、調査のための道具であることが分かります。
確定情報を待たず、判明している範囲で速報します。
ログ、端末、設定情報、バックアップを保全し、被害拡大を抑えます。
対象データ、件数、本人・顧客への影響を暫定評価します。
報告要否、通知要否、説明文案、窓口体制を準備します。
続報時刻を決め、原因と範囲を更新します。
データと業務の重要度を分け、委託先選定の段階で条項の強さを決めます。
責任分担契約を作る前に、委託する業務とデータを分類します。すべての委託先に同じ厳格条項を課すとコストが過大になり、契約交渉も難航します。一方、重要データを扱う委託先に軽い条項しか課さないと、事故時に統制不備が表面化します。
次の分類表は、委託業務とデータの重要度ごとに契約要求水準を変える考え方を示しています。左から右へリスクが高くなるため、監査権、即時報告、補償、保険、復旧目標をどの段階で強めるかを読み取ってください。
| 分類 | 例 | 契約上の要求水準 |
|---|---|---|
| 低リスク | 公開情報のみを扱う制作委託 | 通常の秘密保持、基本的な情報管理を定めます。 |
| 中リスク | 社内資料、限定的な顧客情報を扱う業務 | アクセス制御、再委託制限、事故報告、削除証明を定めます。 |
| 高リスク | 個人データ、営業秘密、認証情報、決済情報を扱う業務 | 詳細な安全管理措置、監査権、即時報告、補償条項、保険を定めます。 |
| 重要インフラ級 | 基幹システム運用、医療・金融・決済・公共性の高い業務 | BCP、DR、RTO、RPO、訓練、当局対応、ステップイン、厳格な再委託管理を定めます。 |
選定時には、情報セキュリティ方針、組織体制、責任者、インシデント対応体制、アクセス管理、多要素認証、ログ取得、脆弱性管理、バックアップ、個人データ・秘密情報の暗号化、従業者教育、再委託先管理、過去インシデント、第三者認証、保険、事業継続性を確認します。
次の一覧は、選定時に見る項目を監査・契約・保険の観点へ分けたものです。どの欄が空白になるかで、契約に追加すべき別紙や確認書類が分かります。
アクセス権限、多要素認証、ログ、脆弱性管理、バックアップ、復旧訓練、暗号化、マルウェア対策を確認します。
再委託先一覧、海外再委託、越境移転、過去インシデント、是正履歴、訴訟・行政指導履歴を確認します。
ISMS、SOC報告書、監査報告、サイバー保険、賠償責任保険、補償限度額、倒産時のデータ移行可能性を確認します。
認証を取得しているかだけを見るのではなく、認証の適用範囲、対象拠点、対象システム、例外事項、最新性、監査結果の指摘事項を確認します。
通知、安全管理、再委託、外部対応、証拠保全を別々に設計します。
契約上のインシデントを狭く定義しすぎると、委託先は「まだ漏えいが確定していない」「実害が出ていない」「調査中です」として通知を遅らせる可能性があります。初動対応では、確定事故だけでなく、合理的なおそれの段階で共有することが重要です。
次の比較表は、インシデントの重大度別に通知期限と対応を分ける例です。レベルが上がるほど通知期限は短くなり、経営・当局・本人対応へ早く接続する必要がある点を読み取ってください。
| レベル | 例 | 通知期限の例 | 対応 |
|---|---|---|---|
| Level 1 軽微 | 一時的な軽微障害、影響なしの検知アラート | 月次報告または定期報告 | 傾向分析を行います。 |
| Level 2 注意 | 限定的な設定ミス、影響不明の不審アクセス | 24〜48時間以内 | 調査と続報を行います。 |
| Level 3 重大 | 個人データ、秘密情報、認証情報への不正アクセスのおそれ | 認識後24時間以内、重要案件は数時間以内 | 緊急会議、証拠保全、初動封じ込めを行います。 |
| Level 4 危機 | 漏えい確定、大規模停止、ランサムウェア、当局報告対象 | 直ちに、遅くとも数時間以内 | 経営報告、当局・本人対応、広報統制を行います。 |
初回通知ではすべての事項が判明している必要はありません。検知日時、発生推定日時、影響システム、対象データ、件数見込み、類型、封じ込め措置、追加被害の可能性、ログ・証拠・バックアップの保全状況、緊急連絡責任者、次回続報予定時刻を、判明している範囲で共有します。
「適切な安全管理措置を講じます」という抽象条項だけでは、事故時に何が契約違反だったのか立証しにくくなります。対象業務、対象データ、システム重要度に応じて、最低限の要求事項を別紙で定めます。
次の比較表は、安全管理措置を契約別紙に落とし込むときの項目です。項目名だけで満足せず、期限、保存期間、提供方法、例外承認まで列ごとに具体化することが重要です。
| 項目 | 要求事項の例 |
|---|---|
| アクセス管理 | 最小権限、職務分離、権限棚卸し、退職者アカウント即時削除を定めます。 |
| 認証 | 多要素認証、強固なパスワード、共有ID禁止、管理者権限の厳格管理を定めます。 |
| 暗号化 | 通信経路、保存データ、バックアップ、可搬媒体の暗号化を定めます。 |
| ログ | 管理者操作、認証、データアクセス、設定変更、外部通信のログ取得を定めます。 |
| ログ保存 | 保存期間、改ざん防止、時刻同期、調査時の提供方法を定めます。 |
| 脆弱性管理 | パッチ適用期限、脆弱性診断、重大脆弱性の緊急対応を定めます。 |
| バックアップ | バックアップ頻度、オフラインまたは改ざん困難な保管、復旧テストを定めます。 |
| 再委託管理 | 事前承認、同等義務のフローダウン、監査、変更通知を定めます。 |
| クラウド管理 | テナント分離、設定管理、鍵管理、リージョン、越境移転管理を定めます。 |
再委託は最大の盲点になりやすい論点です。委託元がA社に委託したつもりでも、クラウド基盤、保守会社、コールセンター、開発会社、海外拠点、データ入力会社など複数の再委託先が関与していることがあります。
次の重要ポイントは、再委託条項で決めるべき事項を整理しています。順番に確認すると、再委託の承認、変更通知、同等義務、事故時対応、終了時措置まで抜け漏れを見つけやすくなります。
再委託の事前承認制または事前通知制、再委託先変更時の通知期限と拒否権を定めます。
入口管理名称、所在地、業務内容、取扱データ、アクセス権限を記録します。
台帳秘密保持、安全管理、通知、証拠保全、再発防止を再委託先にも課します。
重要再委託先インシデントでも、委託先が委託元へ通知し、調査・復旧・補償に対応します。
事故対応再委託先終了時のデータ削除、返還、削除証明、アクセス権限の抹消を定めます。
出口管理インシデント時に混乱しやすいのが外部説明です。委託元の顧客に対して委託先が直接説明するのか、委託元が一元的に説明するのか、共同で説明するのかを事前に定めます。
次の比較表は、外部対応ごとの論点を整理したものです。誰の名義で発信し、誰が承認し、誰が技術的事実を提供するかを読み取ることで、説明内容の不一致を防げます。
| 外部対応 | 主な論点 |
|---|---|
| 規制当局報告 | 報告主体、報告期限、報告内容、委託先の資料提供、共同報告の可否を定めます。 |
| 本人通知 | 通知要否判断、通知文案、送付方法、費用、問い合わせ窓口を定めます。 |
| 顧客説明 | 説明主体、FAQ、営業担当への指示、重要顧客への個別説明を定めます。 |
| 広報 | プレスリリース、SNS対応、記者問い合わせ、発表時刻を定めます。 |
| 法的文書 | 弁護士意見、調査報告書、証拠資料、守秘義務を整理します。 |
| 行政調査 | 資料提出、ヒアリング、立入検査、再発防止報告を定めます。 |
委託先インシデントでは、ログの保存期間が短い、上書きされる、時刻同期がされていない、委託元がログへアクセスできない、クラウド事業者のログが別契約で提供されない、といった問題が起きやすいです。
次の一覧は、証拠保全条項で指定する対象を整理しています。事故後に「証拠がない」状態になると、原因究明、当局報告、本人通知、損害賠償請求、保険請求、再発防止が難しくなるため、保全対象と提供方法をあらかじめ定めます。
ログ、設定情報、通信記録、管理者操作履歴、アクセス権限情報、バックアップ、端末イメージ、メール、チケット、チャット記録を対象にします。
通常のログローテーション、削除、端末初期化を一時停止し、証拠価値を損なわないようにします。
委託元または委託元指定のフォレンジック専門家への合理的な協力義務を定めます。
時刻、取得者、保管場所、ハッシュ値、チェーン・オブ・カストディを記録します。
調査報告書の所有権、利用範囲、第三者提供、当局提出の可否を定めます。
事故対応費用と損害賠償を分け、通常責任・重大責任・無制限項目を三層で整理します。
インシデント時の金銭負担は、費用と損害に分けて考えます。費用とは、事故対応のために支出するコストです。損害とは、事故により相手方または第三者に生じた損失です。契約では、費用負担ルールと損害賠償ルールを分けて定める方が明確です。
次の比較表は、事故対応費用の主な項目と負担ルールの例です。原因が判明する前と後で負担者が変わることがあるため、原則負担者と例外調整を分けて読むことが重要です。
| 費用項目 | 原則負担者 | 例外・調整 |
|---|---|---|
| 初動調査費 | 各自負担または原因者負担 | 委託先原因が判明した場合、委託先負担に振り替えます。 |
| フォレンジック費 | 原因者負担または協議 | 委託元指定専門家の場合は上限設定を検討します。 |
| 本人通知費 | 原因者負担が多い | 任意通知を拡大する場合は協議します。 |
| コールセンター費 | 原因者負担または按分 | 委託元の商品説明・営業対応を含む場合は按分します。 |
| 当局報告支援費 | 各自負担または原因者負担 | 共同報告の場合は協議します。 |
| 復旧費 | 各自システムは各自負担 | 委託先義務違反で委託元環境が復旧不能となった場合は別途整理します。 |
| 再発防止費 | 原則として各自負担 | 契約違反の是正措置は違反者負担とします。 |
| PR・危機広報費 | 協議 | 委託元ブランド保護の広報は委託元負担となる場合があります。 |
| 信用監視サービス | 原因者負担または協議 | 法令上必須でない任意施策は合理性が争点になります。 |
責任制限は、委託元と委託先の交渉で最も争われやすい論点です。委託元は、個人データ漏えい、大規模停止、規制違反、顧客離反が起きた場合の損害は委託料を大きく超えると考えます。委託先は、委託料が小さいにもかかわらず無制限責任を負うことは事業上不合理と考えます。
次の比較表は、責任制限を三層に分ける設計例です。上限額の大小だけでなく、どの違反が通常責任から重大責任へ移るか、どの項目を例外にするかを読み取る必要があります。
| 層 | 対象 | 上限例 |
|---|---|---|
| 通常責任 | 通常の履行遅滞、軽微な仕様違反 | 直近12か月分の委託料 |
| 重大責任 | 個人データ漏えい、重要秘密漏えい、長期停止 | 通常上限の2〜5倍、または保険限度額 |
| 無制限または法令上許される範囲で無制限 | 故意、重過失、詐欺、不正持出し、秘密保持の重大違反 | 上限なしまたは個別協議 |
SLAでは、稼働率、障害応答時間、復旧時間、データ復旧点、問い合わせ対応、メンテナンス通知などを定めます。RTOは復旧時間の目標、RPOは復旧できるデータ時点の目標、サービスクレジットはSLA未達時に利用料の一部を減額・返金する仕組みです。
次の重要ポイントは、SLA未達と損害賠償の関係を整理するものです。軽微な稼働率未達と重大な漏えい・長期停止を分けて読むことで、サービスクレジットだけで終わらせる範囲と、損害賠償や解除権を残す範囲が見えます。
軽微な稼働率未達はサービスクレジットを中心にしつつ、秘密情報漏えい、個人データ漏えい、故意・重過失、データ消失、長期停止、法令違反では損害賠償や解除権を留保する設計が実務的です。
抽象条項を、実行責任、説明責任、相談先、報告先へ分けて訓練可能にします。
RACIとは、業務ごとに責任を整理する方法です。Rは実行責任者、Aは説明責任者、Cは相談先、Iは報告先を意味します。委託先インシデント時の責任分担契約では、抽象条項だけでなく、RACI表を別紙化すると実効性が高まります。
次の比較表は、インシデント対応項目ごとに委託元、委託先、外部専門家の関与を整理した例です。RとAが空白または重複しすぎている行は、事故時に判断が止まりやすい箇所として重点的に見直します。
| 対応項目 | 委託元 | 委託先 | 外部専門家 | 備考 |
|---|---|---|---|---|
| インシデント検知 | I | R/A | C | 委託先環境で発生した場合を想定します。 |
| 委託元への速報 | I | R/A | - | 重大案件は認識後24時間以内などと定めます。 |
| 初動封じ込め | C | R/A | C | 委託元環境への影響がある場合は共同対応します。 |
| 証拠保全 | C | R/A | C | ログ、端末、設定情報を保存します。 |
| 影響範囲調査 | C | R | C | 委託元データの識別には委託元協力が必要です。 |
| PPC報告要否判断 | A/R | C/R | C | 個人データの管理主体により調整します。 |
| 本人通知文案 | A/R | C | C | 技術的事実は委託先が提供します。 |
| プレスリリース | A/R | C | C | 事前承認制にします。 |
| 復旧作業 | C | R/A | C | RTOとRPOに従います。 |
| 再発防止計画 | C | R/A | C | 委託元承認・監査対象にします。 |
| 費用精算 | A/R | A/R | - | 原因確定後に契約ルールで調整します。 |
次の一覧は、代表的な5つの事故場面を比較するものです。事故類型ごとに、誰が原因を作ったか、誰が判断材料を持つか、誰が外部説明を主導するかが変わる点を読み取ってください。
委託先は速報、感染端末・サーバ・ログの保全、封じ込め、復旧を行います。委託元はPPC報告要否、本人通知要否、顧客説明を判断します。
認証情報管理、MFA設定、異常ログイン検知、ログ提供、アカウント停止権限の分担を確認します。
再委託先一覧、変更通知、同等義務、速報義務が整っていれば、委託先が情報収集と報告を進めやすくなります。
SLA、バックアップ取得可否、データエクスポート、代替手段、障害通知、重大障害時の解除・移行支援を確認します。
委託元は監督と回収可能性、委託先は管理可能性と上限設計を見ます。
委託元は、通知期限を法令報告期限より十分短くし、発生確定ではなく合理的なおそれの段階で通知させることを重視します。対象データ、対象システム、再委託先を別紙で特定し、安全管理措置を具体的要求事項にします。
次の重要ポイントは、委託元が重点的に確保したい権利と義務を整理しています。各項目は事故時の情報取得、意思決定、費用回収に直結するため、契約レビュー時の確認リストとして読めます。
重大インシデントは法令報告期限より前に、委託先から速報を受けます。
対象データ、対象システム、再委託先を契約別紙で明確にします。
ログ保存、フォレンジック協力、報告書共有範囲を明記します。
本人通知、当局報告、顧客説明、広報の承認権を確保します。
事故対応費用を損害賠償とは別に定め、重大違反を責任制限から除外するか検討します。
保険加入、補償限度額、監査権、是正要求権、重大違反時の解除権を確認します。
委託先は、責任分担契約を一方的に拒否するのではなく、自社が実際にコントロールできる範囲とできない範囲を明確にし、合理的な責任分担を提案します。
次の一覧は、委託先が交渉で整理したい境界線です。管理できない領域まで無制限に負うのではなく、通知、調査協力、免責・減責、責任上限、監査範囲を現実的に設計する観点で読めます。
委託先環境、委託元環境、第三者サービス、不可抗力を区別します。
境界委託元の指示、設定、データ提供、認証情報管理に起因する事故を免責・減責事由にします。
減責初回通知は判明している範囲で足りることを明記し、重大事故では迅速な速報義務を受け入れます。
速報頻度、範囲、事前通知、秘密保持、費用負担、他顧客情報への影響を設定します。
監査無制限責任の対象を故意・重過失等に限定し、通常違反には合理的上限を置きます。
上限サンプル文言をそのまま使うのではなく、条項に入れる機能として理解します。
実際の契約では、業務内容、業法、対象データ、取引規模、保険、交渉力に応じて文言を修正します。ここでは、インシデント通知、証拠保全、再委託、費用負担、責任制限の5領域について、契約に入れる機能を整理します。
次の一覧は、条項例の要素を分解したものです。各項目で「起算点」「対象資料」「例外」「上限」を明確にするほど、事故時の解釈争いを減らせます。
情報漏えい、滅失、毀損、不正アクセス、マルウェア感染、ランサムウェア、認証情報漏えい、秘密情報の不正利用、サービス停止を対象にし、知った場合または合理的なおそれを認識した場合に速報します。
ログ、通信記録、アクセス権限情報、設定情報、管理者操作記録、端末、バックアップ、チケット、メールを保全し、通常の削除や上書きを止めます。
重要部分の再委託は事前承諾を原則にし、再委託先にも同等以上の義務を課し、再委託先事故でも委託先が通知・調査・復旧・再発防止へ対応します。
原因、契約違反または過失の有無、費用の必要性・相当性を踏まえ、調査費用、本人通知費用、問い合わせ対応費用、復旧費用、再発防止確認費用を整理します。
条項例では、「適用しない」のか「特別上限を適用する」のかを明確にします。委託先の保険限度額、年間売上、委託料、リスクの性質を踏まえ、現実に回収可能な設計にします。
契約、台帳、訓練、監査、保険、会計をつなげて、現場で使える状態にします。
契約書を作成しても、それが現場に共有されていなければ機能しません。委託先インシデント時の責任分担契約は、内部統制として実装します。
次の比較表は、社内部門ごとの役割を整理したものです。どの部門が事故時に何を判断するかを事前に決めることで、法務条項を現場の連絡網や訓練に接続できます。
| 社内部門 | 主な役割 |
|---|---|
| 法務部 | 契約条項、責任制限、補償、紛争対応、当局対応の法的判断を担います。 |
| 個人情報保護担当 | 個人データ分類、PPC報告、本人通知、委託先監督を担います。 |
| 情報セキュリティ部門 | 技術的管理策、ログ、検知、封じ込め、復旧、フォレンジック連携を担います。 |
| 調達部門 | 委託先選定、契約プロセス、再委託情報、評価更新を担います。 |
| 事業部門 | 業務影響、顧客説明、代替運用、委託先との日常連携を担います。 |
| 内部監査 | 委託先管理プロセス、証跡、改善状況の検証を担います。 |
| 広報 | 公表文、メディア対応、SNS監視、レピュテーション管理を担います。 |
| 経営層 | リスク許容度、重大事故判断、対外説明、予算承認を担います。 |
| 保険・経理 | 保険通知、費用集計、引当・開示、損害額算定を担います。 |
平時には、委託先台帳、委託先リスク分類表、データ処理台帳、再委託先一覧、セキュリティ要求事項テンプレート、インシデント通知テンプレート、本人通知テンプレート、当局報告準備チェックリスト、委託先監査チェックリスト、フォレンジック依頼先リスト、広報・FAQテンプレート、経営報告テンプレート、サイバー保険連絡先、契約解除・データ移行手順を準備します。
次の比較表は、監査とモニタリングの方法を整理したものです。低コストな自己点検から、実効性の高い共同訓練までを組み合わせることで、契約条項が実際に機能しているかを確認できます。
| 方法 | 内容 | 長所 | 注意点 |
|---|---|---|---|
| 自己点検票 | 委託先に定期回答させます。 | 低コストです。 | 回答の実証性が弱いです。 |
| 証跡提出 | 規程、教育記録、権限棚卸し、ログサンプルを提出させます。 | 実態確認しやすいです。 | 機密情報の取扱いが必要です。 |
| 第三者認証確認 | ISMS、SOC報告書などを確認します。 | 客観性があります。 | 適用範囲を確認します。 |
| 現地監査 | 拠点・運用を直接確認します。 | 実効性が高いです。 | コストと日程負担が大きいです。 |
| 共同訓練 | インシデント対応演習を行います。 | 実際の連携を確認できます。 | 年1回以上が推奨されます。 |
| 改善計画管理 | 指摘事項の是正期限・完了確認を行います。 | 継続改善に有効です。 | 未完了時の制裁を定めます。 |
サイバー保険や専門職賠償責任保険は、委託先インシデント時の責任分担契約を補完します。ただし、保険約款には通知義務、免責事由、対象外費用、サブリミット、自己負担額、事前承認が定められています。
重大インシデントが発生した場合、引当金、偶発債務、訴訟リスク、保険金収入、減損、開示、内部統制評価に影響することがあります。上場会社では、適時開示、リスク情報、内部統制報告、監査法人との協議も検討します。
次の時系列は、社内実装を段階的に進めるロードマップです。短期では重要委託先の把握、中期では契約・別紙の整備、長期では監査と経営報告まで進める流れを読み取ってください。
重要委託先一覧、対象データ、既存契約の通知・再委託・損害賠償・監査条項、社内緊急連絡先、新規契約用の最低限条項テンプレートを整えます。
契約改定または覚書、セキュリティ別紙、RACI表、費用負担表、再委託先情報、保険情報、インシデント対応訓練、本人通知・当局報告・顧客説明テンプレートを整備します。
委託先リスク評価、契約管理、監査または証跡確認、訓練結果のテンプレート反映、経営層へのサプライチェーンリスク報告を行います。
契約締結前、条項レビュー、事故発生時の3段階で確認します。
チェックリストは、法務担当者だけでなく、情報セキュリティ、個人情報保護、調達、事業部門、広報、経理が共通言語として使うためのものです。チェックの有無だけで終わらせず、根拠資料と担当者を残します。
次の比較表は、契約締結前に確認する項目です。委託業務、対象データ、再委託、SLA、ログ、バックアップ、保険を一つずつ確認し、契約上の要求水準を決めます。
| 段階 | 確認項目 |
|---|---|
| 契約締結前 | 委託業務の範囲、対象データ、個人データ・要配慮個人情報・営業秘密・認証情報の有無を確認します。 |
| 契約締結前 | 委託先のセキュリティ体制、過去インシデント・是正履歴、再委託先、海外移転、SLA、RTO、RPOを確認します。 |
| 契約締結前 | ログ取得・保存期間、バックアップ・復旧訓練、サイバー保険、契約終了時のデータ返還・削除を確認します。 |
次の比較表は、契約条項をレビューするときの確認項目です。通知、続報、証拠保全、当局・本人対応、再委託、費用負担、責任制限、監査、解除を、条項として明示できているかを確認します。
| 段階 | 確認項目 |
|---|---|
| 契約条項 | インシデント定義が合理的なおそれを含み、重大度分類、初動通知期限、速報内容、続報頻度が明確かを確認します。 |
| 契約条項 | 証拠保全義務、フォレンジック協力義務、当局報告・本人通知の役割分担、広報・公表の事前承認を確認します。 |
| 契約条項 | 再委託先インシデント、費用負担表、損害賠償上限と例外、サービスクレジット、監査権、是正要求権、重大違反時の解除権を確認します。 |
次の比較表は、インシデント発生時の確認項目です。速報受領後、社内展開、証拠保全、外部専門家、当局・本人・顧客対応、費用記録、保険通知、再発防止、求償・解除検討までを順番に進めます。
| 段階 | 確認項目 |
|---|---|
| 事故発生時 | 委託先から速報を受領し、経営、法務、個人情報保護、セキュリティ、広報、事業部門へ展開します。 |
| 事故発生時 | 影響データと影響範囲を特定し、ログ・証拠保全を指示し、フォレンジック専門家の起用を判断します。 |
| 事故発生時 | 個人情報保護委員会等への報告要否、本人通知要否、顧客説明方針、プレスリリース・FAQ、追加被害防止を確認します。 |
| 事故発生時 | 費用を項目別に記録し、保険会社への通知要否、再発防止計画、契約違反・求償・解除を検討します。 |
中小企業では、法務部、情報セキュリティ部門、個人情報保護担当が分かれていないこともあります。その場合でも、重要な委託先を3段階に分類し、顧客情報、従業員情報、決済情報、基幹業務、クラウド管理者権限を扱う委託先から優先して整備します。
最低限の5条項は、秘密保持・個人データ取扱い、再委託の制限、インシデント時の速やかな通知、調査・証拠保全・復旧協力、費用負担・損害賠償・解除です。委託先台帳には、連絡先、扱うデータ、再委託先、契約更新日、保険、緊急連絡先を記録します。
一般的な制度説明として整理します。個別の契約交渉や紛争対応では、具体的事情に基づく専門家相談が必要です。
一般的には、委託先の事故であっても、委託元の委託先選定・監督、個人情報保護法上の委託先監督、契約上の管理義務、第三者に対する説明責任が問題になる可能性があります。ただし、対象データ、契約内容、管理実態、表示、事故原因によって結論は変わります。具体的な見通しは、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、責任分担契約は委託元と委託先の内部関係を定めるものです。規制当局、本人、顧客、第三者との関係では、法令、事実関係、表示、管理実態に基づいて責任が判断される可能性があります。具体的な対応は、事案の資料を確認したうえで弁護士等の専門家へ相談する必要があります。
一般的には、個人データ、重要秘密、基幹システムを扱う重大インシデントでは、認識後24時間以内、場合によっては数時間以内の速報が検討されます。ただし、業務重要度、対象データ、法令報告の要否、委託先の運用体制によって適切な期限は変わります。具体的な設定は、契約類型と運用体制を踏まえて専門家へ相談する必要があります。
一般的には、公開情報しか扱わない委託先と、顧客データベースや決済情報を扱う委託先ではリスクが異なるため、リスク分類に応じて条項を変える設計が現実的です。ただし、業種規制、取扱情報、取引規模、代替可能性によって必要な条項は変わります。具体的な水準は、社内規程と契約実務に詳しい専門家へ相談する必要があります。
一般的には、標準約款しか使えない場合でも、SLA、サポートプラン、ログ取得機能、バックアップ、データエクスポート、サブプロセッサー一覧、障害通知、ステータスページ、認証設定、管理者権限、保険を確認し、自社側のBCPで補完します。ただし、基幹業務への依存度や代替手段によって判断は変わります。具体的には、利用可否判断と内部承認の仕組みを専門家と検討する必要があります。
一般的には、原因者負担は分かりやすい考え方ですが、事故直後には原因が不明なことが多いです。そのため、初動費用は一時的に各自負担または協議とし、原因確定後に契約ルールに従って精算する仕組みが使われます。ただし、任意の顧客補償や広報費の負担は、必要性、相当性、予見可能性、契約文言によって結論が変わる可能性があります。
一般的には、委託元との関係では、委託先が再委託先に同等義務を課し、再委託先の違反について責任を負う設計が多く見られます。ただし、再委託先を委託元が指定した場合、委託元が設定・運用を指示した場合、標準クラウド基盤のように委託先の管理範囲が限定される場合は、個別事情で調整が必要です。具体的には契約書と運用実態を確認して専門家へ相談する必要があります。
一般的には、責任制限は委託先のリスクを限定し、価格を合理化する機能があります。一方、重要データや基幹業務で責任上限が低すぎると、委託元のリスクが大きくなる可能性があります。通常責任、重大責任、故意・重過失等の例外を分けて設計することが重要ですが、具体的な水準は委託料、保険、損害見込み、交渉力によって変わります。
一般的には、委託元の顧客・従業員に対する通知は委託元が主導することが多いです。委託先は、通知判断に必要な技術情報、対象件数、原因、再発防止策を提供します。ただし、個人データの管理実態、法令上の義務主体、契約文言によって役割は変わる可能性があります。具体的な通知方針は、事案ごとに専門家へ相談する必要があります。
一般的には、初動通知と証拠保全が特に重要とされています。早く知らせ、ログや証拠を失わなければ、当局報告、本人通知、復旧、損害算定、責任判断が進めやすくなります。ただし、対象業務、データ、規制、委託先の役割によって重点条項は変わります。具体的な優先順位は、契約全体と運用体制を確認して専門家へ相談する必要があります。