2σ Guide

委託先インシデント時の
責任分担契約

情報漏えい、ランサムウェア、システム停止、再委託先事故が起きたときに、委託元と委託先が何を担い、費用と損害をどう分けるかを契約実務の観点から整理します。

24時間 重大インシデント速報の目安
3〜5日 漏えい等速報の目安
30日/60日 確報期限の基本枠
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

委託先インシデント時の 責任分担契約

事故後の責任追及だけでなく、予防、検知、通知、調査、復旧、費用精算までを契約で動かせる状態にします。

動画を読み込み中…
2σ GUIDE ・ VIDEO
委託先インシデント時の 責任分担契約
事故後の責任追及だけでなく、予防、検知、通知、調査、復旧、費用精算までを契約で動かせる状態にします。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 委託先インシデント時の 責任分担契約
  • 事故後の責任追及だけでなく、予防、検知、通知、調査、復旧、費用精算までを契約で動かせる状態にします。

POINT 1

  • 委託先インシデント時の責任分担契約の全体像
  • 事故後の責任追及だけでなく、予防、検知、通知、調査、復旧、費用精算までを契約で動かせる状態にします。
  • 想定される利用場面
  • この契約は、単なる損害賠償条項ではありません。
  • 次の比較一覧は、責任分担契約が扱う主な読者と関心事を整理したものです。

POINT 2

  • 委託先インシデント時の責任分担契約で定義する対象
  • 用語の射程を広く取りつつ、実際の報告・対応は重大度で分ける設計が実務的です。
  • 契約で定める理由
  • 委託先とは、委託元から業務の全部または一部を受けて遂行する事業者です。
  • インシデントとは、業務、情報、システム、データ、法令遵守、サービス提供に悪影響を与える事故またはそのおそれです。

POINT 3

  • 委託先インシデント時の責任分担契約を支える法的基礎
  • 民法、個人情報保護法、サイバーセキュリティ経営の視点を同時に確認します。
  • サイバーガバナンスとサプライチェーン
  • 委託先インシデント時の責任分担契約は、まず民法上の契約責任を前提にします。
  • 損害の範囲では、通常生ずべき損害と、予見すべき特別事情による損害の区別が重要です。

POINT 4

  • 委託先インシデント時の責任分担契約で分解する責任
  • 1. 認識または合理的なおそれ:確定情報を待たず、判明している範囲で速報します。
  • 2. 証拠保全と封じ込め:ログ、端末、設定情報、バックアップを保全し、被害拡大を抑えます。
  • 3. 個人データ・秘密情報の影響確認:対象データ、件数、本人・顧客への影響を暫定評価します。
  • 4. 当局・本人対応へ進める:報告要否、通知要否、説明文案、窓口体制を準備します。
  • 5. 続報と再評価を続ける:続報時刻を決め、原因と範囲を更新します。

POINT 5

  • 委託先インシデント時の責任分担契約は締結前確認から始まります
  • データと業務の重要度を分け、委託先選定の段階で条項の強さを決めます。
  • 委託先選定時の確認事項
  • 技術的統制
  • 委託先管理

POINT 6

  • 委託先インシデント時の責任分担契約で中核になる条項
  • 保存対象
  • 削除停止
  • 通常のログローテーション、削除、端末初期化を一時停止し、証拠価値を損なわないようにします。

POINT 7

  • 委託先インシデント時の責任分担契約における費用負担と責任制限
  • 事故対応費用と損害賠償を分け、通常責任・重大責任・無制限項目を三層で整理します。
  • SLA、RTO、RPO、サービスクレジット
  • 軽微なSLA未達と重大事故は救済範囲を分けます
  • インシデント時の金銭負担は、費用と損害に分けて考えます。

POINT 8

  • 委託先インシデント時の責任分担契約をRACI表で実装する
  • 抽象条項を、実行責任、説明責任、相談先、報告先へ分けて訓練可能にします。
  • 場面別の責任分担
  • ランサムウェアと個人データ漏えいのおそれ
  • 委託元認証情報のフィッシング被害

まとめ

  • 委託先インシデント時の 責任分担契約
  • 委託先インシデント時の責任分担契約の全体像:事故後の責任追及だけでなく、予防、検知、通知、調査、復旧、費用精算までを契約で動かせる状態にします。
  • 委託先インシデント時の責任分担契約で定義する対象:用語の射程を広く取りつつ、実際の報告・対応は重大度で分ける設計が実務的です。
  • 委託先インシデント時の責任分担契約を支える法的基礎:民法、個人情報保護法、サイバーセキュリティ経営の視点を同時に確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

委託先インシデント時の責任分担契約の全体像

事故後の責任追及だけでなく、予防、検知、通知、調査、復旧、費用精算までを契約で動かせる状態にします。

委託先インシデント時の責任分担契約とは、委託先または再委託先で事故が起きた場合に、委託元と委託先の間で予防義務、検知義務、初動報告、証拠保全、原因調査、当局報告、本人通知、顧客対応、復旧、再発防止、費用負担、損害賠償、求償、保険、契約終了後の措置を定める契約設計です。

この契約は、単なる損害賠償条項ではありません。委託先の選定、委託範囲、データ分類、セキュリティ要求事項、再委託管理、監査、訓練、連絡体制、ログ保存、復旧目標、広報統制を含めた、企業法務、情報セキュリティ、プライバシー、内部統制の横断的な仕組みです。

委託先インシデント時の責任分担契約で最も重要なのは、誰が、いつ、何を、どの証跡に基づいて、どの基準で実施し、その結果生じる費用と損害をどのルールで分担するかを、運用可能な粒度で明文化することです。

要点「事故が起きたら全額賠償する」という抽象的な文言だけでは、初動対応は動きません。通知、証拠保全、当局対応、本人通知、費用精算を具体化することが、実効性のある契約につながります。

想定される利用場面

このテーマは、業務委託契約、クラウド利用契約、システム開発・運用契約、BPO契約、コールセンター契約、物流委託契約、広告運用委託契約、データ処理委託契約をレビューする場面で問題になります。

委託元から厳しいセキュリティ条項、無制限責任、監査権、即時報告義務を求められている委託先企業にとっても、自社が管理できる範囲とできない範囲を整理する防御線になります。

次の比較一覧は、責任分担契約が扱う主な読者と関心事を整理したものです。誰が契約を読むかによって重視する論点が変わるため、関係部門ごとの視点を先にそろえることが重要です。列には読者層と確認したい主な論点を示しており、社内レビューの参加者を決める材料として読めます。

読者層主な関心事
法務担当者契約条項、損害賠償、責任制限、解除、紛争予防を確認します。
経営者・管理部門委託先事故が自社の事業停止、顧客説明、信用毀損に及ぶ範囲を把握します。
委託先企業自社の管理範囲、通知期限、調査協力、費用負担、責任上限を整理します。
専門家・監査担当個人情報保護、サイバーセキュリティ、内部監査、会計、保険の観点を接続します。
Section 01

委託先インシデント時の責任分担契約で定義する対象

用語の射程を広く取りつつ、実際の報告・対応は重大度で分ける設計が実務的です。

委託先とは、委託元から業務の全部または一部を受けて遂行する事業者です。システム開発会社、クラウドサービス事業者、SaaS事業者、BPO事業者、物流会社、コールセンター、広告代理店、データ分析会社、給与計算会社、印刷会社、保守会社、決済代行会社などが典型例です。

インシデントとは、業務、情報、システム、データ、法令遵守、サービス提供に悪影響を与える事故またはそのおそれです。不正アクセス、マルウェア感染、ランサムウェア、個人データの漏えい・滅失・毀損、誤送信、設定ミス、システム停止、データ改ざん、秘密情報流出、内部不正、再委託先事故、バックアップ失敗、復旧不能、監査ログ消失が含まれます。

責任分担は、損害を誰が負担するかだけではありません。予防、検知、報告、調査、復旧、顧客対応、当局対応、再発防止、広報、証拠保全、費用支出の意思決定を誰が主担当として行うかを決めることです。

次の一覧は、責任分担契約が組み合わせる文書群を示しています。ひとつの契約本文にすべてを詰め込むと更新しにくいため、列の違いから、固定条項と運用別紙を分ける意味を読み取ることが重要です。

文書主な内容実務上の注意
基本契約責任分担の基本原則、損害賠償、解除、再委託、秘密保持を定めます。全案件共通の土台にします。
個別契約・注文書対象業務、対象データ、委託範囲、対価を定めます。どのデータ・システムが対象かを明確にします。
セキュリティ別紙技術的・組織的安全管理措置を定めます。抽象論ではなく最低基準を列挙します。
DPA個人データ処理の条件、再委託、越境移転、削除を定めます。個人データを扱う場合に重要です。
SLA稼働率、復旧時間、問い合わせ応答、障害報告を定めます。サービスクレジットと損害賠償の関係を明確にします。
インシデント対応覚書速報、続報、証拠保全、当局報告、本人通知、広報を定めます。事故時の実行手順の中心になります。
RACI表実行責任、説明責任、相談先、報告先を整理します。部署・担当者単位で定めると訓練に使いやすくなります。
監査・証跡管理手順定期監査、自己点検、第三者認証、改善計画を定めます。年1回以上の見直しが推奨されます。

契約で定める理由

委託先インシデントでは、事故発生後の時間が極めて重要です。初動の遅れは、被害拡大、ログ消失、規制当局への報告遅延、本人通知の混乱、顧客説明の不整合、証拠保全の失敗、復旧費用の増大につながります。

契約に何も書かれていない場合、委託元は「委託先の事故だから委託先が対応する」と考え、委託先は「委託元のデータ・顧客だから委託元が判断する」と考えることがあります。この認識のずれを避けるため、役割分担を契約書やSLAなどへ落とし込みます。

Section 03

委託先インシデント時の責任分担契約で分解する責任

「責任を負う」という一文を、実際に動く義務へ分解します。

実務上、「責任」という語は多義的です。契約書で単に「委託先が責任を負う」と書いても、具体的に何を意味するのか不明確になりがちです。少なくとも、予防、検知、通知、調査、対応、費用、損害賠償、行政対応、証拠保全、再発防止に分けて記載します。

次の比較表は、責任の種類と契約条項の対応関係を示しています。行ごとに「作業責任」と「金銭責任」が混在しないように見ると、事故後の担当不明や費用精算の争いを減らせます。

責任の種類内容契約条項の例
予防責任事故を起こさないための管理策を実施します。セキュリティ要求事項、教育、脆弱性管理、アクセス制御
検知責任異常を発見し、社内外へエスカレーションします。監視、ログ分析、アラート、検知後の連絡
通知責任事故またはおそれを相手方へ知らせます。速報期限、通知事項、連絡先、24時間体制
調査責任原因、範囲、影響を調べます。フォレンジック、ログ保全、報告書、専門家選任
対応責任封じ込め、復旧、本人対応を実施します。復旧義務、本人通知、問い合わせ窓口、広報
費用負担責任対応費用を負担します。調査費、通知費、弁護士費用、信用監視費用、復旧費
損害賠償責任相手方または第三者損害を賠償します。補償条項、責任制限、免責、除外事由
行政対応責任当局報告や調査対応を行います。PPC報告、業法当局報告、資料提出、立入検査対応
証拠保全責任紛争や調査に備えて証跡を保持します。ログ保存、改ざん防止、証拠保全手順
再発防止責任改善策を実施し、検証します。是正計画、期限、監査、解除権

次の重要ポイントは、事故後72時間の実務に焦点を当てています。初動で実行する順番を読めば、責任分担契約が損害賠償だけでなく、通知、証拠保全、調査のための道具であることが分かります。

事故後72時間で確認する判断の流れ

認識または合理的なおそれ

確定情報を待たず、判明している範囲で速報します。

証拠保全と封じ込め

ログ、端末、設定情報、バックアップを保全し、被害拡大を抑えます。

個人データ・秘密情報の影響確認

対象データ、件数、本人・顧客への影響を暫定評価します。

報告対象の可能性あり
当局・本人対応へ進める

報告要否、通知要否、説明文案、窓口体制を準備します。

影響限定または調査中
続報と再評価を続ける

続報時刻を決め、原因と範囲を更新します。

Section 04

委託先インシデント時の責任分担契約は締結前確認から始まります

データと業務の重要度を分け、委託先選定の段階で条項の強さを決めます。

責任分担契約を作る前に、委託する業務とデータを分類します。すべての委託先に同じ厳格条項を課すとコストが過大になり、契約交渉も難航します。一方、重要データを扱う委託先に軽い条項しか課さないと、事故時に統制不備が表面化します。

次の分類表は、委託業務とデータの重要度ごとに契約要求水準を変える考え方を示しています。左から右へリスクが高くなるため、監査権、即時報告、補償、保険、復旧目標をどの段階で強めるかを読み取ってください。

分類契約上の要求水準
低リスク公開情報のみを扱う制作委託通常の秘密保持、基本的な情報管理を定めます。
中リスク社内資料、限定的な顧客情報を扱う業務アクセス制御、再委託制限、事故報告、削除証明を定めます。
高リスク個人データ、営業秘密、認証情報、決済情報を扱う業務詳細な安全管理措置、監査権、即時報告、補償条項、保険を定めます。
重要インフラ級基幹システム運用、医療・金融・決済・公共性の高い業務BCP、DR、RTO、RPO、訓練、当局対応、ステップイン、厳格な再委託管理を定めます。

委託先選定時の確認事項

選定時には、情報セキュリティ方針、組織体制、責任者、インシデント対応体制、アクセス管理、多要素認証、ログ取得、脆弱性管理、バックアップ、個人データ・秘密情報の暗号化、従業者教育、再委託先管理、過去インシデント、第三者認証、保険、事業継続性を確認します。

次の一覧は、選定時に見る項目を監査・契約・保険の観点へ分けたものです。どの欄が空白になるかで、契約に追加すべき別紙や確認書類が分かります。

Security

技術的統制

アクセス権限、多要素認証、ログ、脆弱性管理、バックアップ、復旧訓練、暗号化、マルウェア対策を確認します。

Vendor

委託先管理

再委託先一覧、海外再委託、越境移転、過去インシデント、是正履歴、訴訟・行政指導履歴を確認します。

Assurance

証跡と保険

ISMS、SOC報告書、監査報告、サイバー保険、賠償責任保険、補償限度額、倒産時のデータ移行可能性を確認します。

認証を取得しているかだけを見るのではなく、認証の適用範囲、対象拠点、対象システム、例外事項、最新性、監査結果の指摘事項を確認します。

Section 05

委託先インシデント時の責任分担契約で中核になる条項

通知、安全管理、再委託、外部対応、証拠保全を別々に設計します。

インシデント定義と報告義務

契約上のインシデントを狭く定義しすぎると、委託先は「まだ漏えいが確定していない」「実害が出ていない」「調査中です」として通知を遅らせる可能性があります。初動対応では、確定事故だけでなく、合理的なおそれの段階で共有することが重要です。

次の比較表は、インシデントの重大度別に通知期限と対応を分ける例です。レベルが上がるほど通知期限は短くなり、経営・当局・本人対応へ早く接続する必要がある点を読み取ってください。

レベル通知期限の例対応
Level 1 軽微一時的な軽微障害、影響なしの検知アラート月次報告または定期報告傾向分析を行います。
Level 2 注意限定的な設定ミス、影響不明の不審アクセス24〜48時間以内調査と続報を行います。
Level 3 重大個人データ、秘密情報、認証情報への不正アクセスのおそれ認識後24時間以内、重要案件は数時間以内緊急会議、証拠保全、初動封じ込めを行います。
Level 4 危機漏えい確定、大規模停止、ランサムウェア、当局報告対象直ちに、遅くとも数時間以内経営報告、当局・本人対応、広報統制を行います。

初回通知ではすべての事項が判明している必要はありません。検知日時、発生推定日時、影響システム、対象データ、件数見込み、類型、封じ込め措置、追加被害の可能性、ログ・証拠・バックアップの保全状況、緊急連絡責任者、次回続報予定時刻を、判明している範囲で共有します。

安全管理措置とセキュリティ要求事項

「適切な安全管理措置を講じます」という抽象条項だけでは、事故時に何が契約違反だったのか立証しにくくなります。対象業務、対象データ、システム重要度に応じて、最低限の要求事項を別紙で定めます。

次の比較表は、安全管理措置を契約別紙に落とし込むときの項目です。項目名だけで満足せず、期限、保存期間、提供方法、例外承認まで列ごとに具体化することが重要です。

項目要求事項の例
アクセス管理最小権限、職務分離、権限棚卸し、退職者アカウント即時削除を定めます。
認証多要素認証、強固なパスワード、共有ID禁止、管理者権限の厳格管理を定めます。
暗号化通信経路、保存データ、バックアップ、可搬媒体の暗号化を定めます。
ログ管理者操作、認証、データアクセス、設定変更、外部通信のログ取得を定めます。
ログ保存保存期間、改ざん防止、時刻同期、調査時の提供方法を定めます。
脆弱性管理パッチ適用期限、脆弱性診断、重大脆弱性の緊急対応を定めます。
バックアップバックアップ頻度、オフラインまたは改ざん困難な保管、復旧テストを定めます。
再委託管理事前承認、同等義務のフローダウン、監査、変更通知を定めます。
クラウド管理テナント分離、設定管理、鍵管理、リージョン、越境移転管理を定めます。

再委託先インシデント

再委託は最大の盲点になりやすい論点です。委託元がA社に委託したつもりでも、クラウド基盤、保守会社、コールセンター、開発会社、海外拠点、データ入力会社など複数の再委託先が関与していることがあります。

次の重要ポイントは、再委託条項で決めるべき事項を整理しています。順番に確認すると、再委託の承認、変更通知、同等義務、事故時対応、終了時措置まで抜け漏れを見つけやすくなります。

1

承認・通知

再委託の事前承認制または事前通知制、再委託先変更時の通知期限と拒否権を定めます。

入口管理
2

再委託先情報

名称、所在地、業務内容、取扱データ、アクセス権限を記録します。

台帳
3

同等義務

秘密保持、安全管理、通知、証拠保全、再発防止を再委託先にも課します。

重要
4

事故時対応

再委託先インシデントでも、委託先が委託元へ通知し、調査・復旧・補償に対応します。

事故対応
5

終了時措置

再委託先終了時のデータ削除、返還、削除証明、アクセス権限の抹消を定めます。

出口管理

当局報告・本人通知・顧客対応

インシデント時に混乱しやすいのが外部説明です。委託元の顧客に対して委託先が直接説明するのか、委託元が一元的に説明するのか、共同で説明するのかを事前に定めます。

次の比較表は、外部対応ごとの論点を整理したものです。誰の名義で発信し、誰が承認し、誰が技術的事実を提供するかを読み取ることで、説明内容の不一致を防げます。

外部対応主な論点
規制当局報告報告主体、報告期限、報告内容、委託先の資料提供、共同報告の可否を定めます。
本人通知通知要否判断、通知文案、送付方法、費用、問い合わせ窓口を定めます。
顧客説明説明主体、FAQ、営業担当への指示、重要顧客への個別説明を定めます。
広報プレスリリース、SNS対応、記者問い合わせ、発表時刻を定めます。
法的文書弁護士意見、調査報告書、証拠資料、守秘義務を整理します。
行政調査資料提出、ヒアリング、立入検査、再発防止報告を定めます。

証拠保全とフォレンジック

委託先インシデントでは、ログの保存期間が短い、上書きされる、時刻同期がされていない、委託元がログへアクセスできない、クラウド事業者のログが別契約で提供されない、といった問題が起きやすいです。

次の一覧は、証拠保全条項で指定する対象を整理しています。事故後に「証拠がない」状態になると、原因究明、当局報告、本人通知、損害賠償請求、保険請求、再発防止が難しくなるため、保全対象と提供方法をあらかじめ定めます。

保存対象

ログ、設定情報、通信記録、管理者操作履歴、アクセス権限情報、バックアップ、端末イメージ、メール、チケット、チャット記録を対象にします。

削除停止

通常のログローテーション、削除、端末初期化を一時停止し、証拠価値を損なわないようにします。

専門家協力

委託元または委託元指定のフォレンジック専門家への合理的な協力義務を定めます。

完全性記録

時刻、取得者、保管場所、ハッシュ値、チェーン・オブ・カストディを記録します。

共有範囲

調査報告書の所有権、利用範囲、第三者提供、当局提出の可否を定めます。

Section 06

委託先インシデント時の責任分担契約における費用負担と責任制限

事故対応費用と損害賠償を分け、通常責任・重大責任・無制限項目を三層で整理します。

インシデント時の金銭負担は、費用と損害に分けて考えます。費用とは、事故対応のために支出するコストです。損害とは、事故により相手方または第三者に生じた損失です。契約では、費用負担ルールと損害賠償ルールを分けて定める方が明確です。

次の比較表は、事故対応費用の主な項目と負担ルールの例です。原因が判明する前と後で負担者が変わることがあるため、原則負担者と例外調整を分けて読むことが重要です。

費用項目原則負担者例外・調整
初動調査費各自負担または原因者負担委託先原因が判明した場合、委託先負担に振り替えます。
フォレンジック費原因者負担または協議委託元指定専門家の場合は上限設定を検討します。
本人通知費原因者負担が多い任意通知を拡大する場合は協議します。
コールセンター費原因者負担または按分委託元の商品説明・営業対応を含む場合は按分します。
当局報告支援費各自負担または原因者負担共同報告の場合は協議します。
復旧費各自システムは各自負担委託先義務違反で委託元環境が復旧不能となった場合は別途整理します。
再発防止費原則として各自負担契約違反の是正措置は違反者負担とします。
PR・危機広報費協議委託元ブランド保護の広報は委託元負担となる場合があります。
信用監視サービス原因者負担または協議法令上必須でない任意施策は合理性が争点になります。

責任制限は、委託元と委託先の交渉で最も争われやすい論点です。委託元は、個人データ漏えい、大規模停止、規制違反、顧客離反が起きた場合の損害は委託料を大きく超えると考えます。委託先は、委託料が小さいにもかかわらず無制限責任を負うことは事業上不合理と考えます。

次の比較表は、責任制限を三層に分ける設計例です。上限額の大小だけでなく、どの違反が通常責任から重大責任へ移るか、どの項目を例外にするかを読み取る必要があります。

対象上限例
通常責任通常の履行遅滞、軽微な仕様違反直近12か月分の委託料
重大責任個人データ漏えい、重要秘密漏えい、長期停止通常上限の2〜5倍、または保険限度額
無制限または法令上許される範囲で無制限故意、重過失、詐欺、不正持出し、秘密保持の重大違反上限なしまたは個別協議
注意責任制限条項は、法令上の義務や第三者に対する責任を当然に消すものではありません。委託元と委託先の内部関係として負担を定めることはできますが、規制当局や本人・顧客との関係では、法令、事実関係、表示、データ管理実態が問題になります。

SLA、RTO、RPO、サービスクレジット

SLAでは、稼働率、障害応答時間、復旧時間、データ復旧点、問い合わせ対応、メンテナンス通知などを定めます。RTOは復旧時間の目標、RPOは復旧できるデータ時点の目標、サービスクレジットはSLA未達時に利用料の一部を減額・返金する仕組みです。

次の重要ポイントは、SLA未達と損害賠償の関係を整理するものです。軽微な稼働率未達と重大な漏えい・長期停止を分けて読むことで、サービスクレジットだけで終わらせる範囲と、損害賠償や解除権を残す範囲が見えます。

軽微なSLA未達と重大事故は救済範囲を分けます

軽微な稼働率未達はサービスクレジットを中心にしつつ、秘密情報漏えい、個人データ漏えい、故意・重過失、データ消失、長期停止、法令違反では損害賠償や解除権を留保する設計が実務的です。

Section 07

委託先インシデント時の責任分担契約をRACI表で実装する

抽象条項を、実行責任、説明責任、相談先、報告先へ分けて訓練可能にします。

RACIとは、業務ごとに責任を整理する方法です。Rは実行責任者、Aは説明責任者、Cは相談先、Iは報告先を意味します。委託先インシデント時の責任分担契約では、抽象条項だけでなく、RACI表を別紙化すると実効性が高まります。

次の比較表は、インシデント対応項目ごとに委託元、委託先、外部専門家の関与を整理した例です。RとAが空白または重複しすぎている行は、事故時に判断が止まりやすい箇所として重点的に見直します。

対応項目委託元委託先外部専門家備考
インシデント検知IR/AC委託先環境で発生した場合を想定します。
委託元への速報IR/A-重大案件は認識後24時間以内などと定めます。
初動封じ込めCR/AC委託元環境への影響がある場合は共同対応します。
証拠保全CR/ACログ、端末、設定情報を保存します。
影響範囲調査CRC委託元データの識別には委託元協力が必要です。
PPC報告要否判断A/RC/RC個人データの管理主体により調整します。
本人通知文案A/RCC技術的事実は委託先が提供します。
プレスリリースA/RCC事前承認制にします。
復旧作業CR/ACRTOとRPOに従います。
再発防止計画CR/AC委託元承認・監査対象にします。
費用精算A/RA/R-原因確定後に契約ルールで調整します。

場面別の責任分担

次の一覧は、代表的な5つの事故場面を比較するものです。事故類型ごとに、誰が原因を作ったか、誰が判断材料を持つか、誰が外部説明を主導するかが変わる点を読み取ってください。

Scenario A

ランサムウェアと個人データ漏えいのおそれ

委託先は速報、感染端末・サーバ・ログの保全、封じ込め、復旧を行います。委託元はPPC報告要否、本人通知要否、顧客説明を判断します。

Scenario B

委託元認証情報のフィッシング被害

認証情報管理、MFA設定、異常ログイン検知、ログ提供、アカウント停止権限の分担を確認します。

Scenario C

再委託先のクラウド設定ミス

再委託先一覧、変更通知、同等義務、速報義務が整っていれば、委託先が情報収集と報告を進めやすくなります。

Scenario D

委託先従業員の営業秘密持ち出し

秘密情報の範囲、従業者への義務付け、端末・ログ保全、差止め、損害賠償、弁護士費用を定めます。

Scenario E

SaaS障害による事業停止

SLA、バックアップ取得可否、データエクスポート、代替手段、障害通知、重大障害時の解除・移行支援を確認します。

Section 08

委託先インシデント時の責任分担契約の交渉ポイント

委託元は監督と回収可能性、委託先は管理可能性と上限設計を見ます。

委託元側の交渉ポイント

委託元は、通知期限を法令報告期限より十分短くし、発生確定ではなく合理的なおそれの段階で通知させることを重視します。対象データ、対象システム、再委託先を別紙で特定し、安全管理措置を具体的要求事項にします。

次の重要ポイントは、委託元が重点的に確保したい権利と義務を整理しています。各項目は事故時の情報取得、意思決定、費用回収に直結するため、契約レビュー時の確認リストとして読めます。

前倒し通知

重大インシデントは法令報告期限より前に、委託先から速報を受けます。

対象の特定

対象データ、対象システム、再委託先を契約別紙で明確にします。

証拠保全

ログ保存、フォレンジック協力、報告書共有範囲を明記します。

外部説明の主導

本人通知、当局報告、顧客説明、広報の承認権を確保します。

費用と責任制限

事故対応費用を損害賠償とは別に定め、重大違反を責任制限から除外するか検討します。

監査と解除

保険加入、補償限度額、監査権、是正要求権、重大違反時の解除権を確認します。

委託先側の交渉ポイント

委託先は、責任分担契約を一方的に拒否するのではなく、自社が実際にコントロールできる範囲とできない範囲を明確にし、合理的な責任分担を提案します。

次の一覧は、委託先が交渉で整理したい境界線です。管理できない領域まで無制限に負うのではなく、通知、調査協力、免責・減責、責任上限、監査範囲を現実的に設計する観点で読めます。

A

環境の区別

委託先環境、委託元環境、第三者サービス、不可抗力を区別します。

境界
B

委託元起因の整理

委託元の指示、設定、データ提供、認証情報管理に起因する事故を免責・減責事由にします。

減責
C

通知の実現可能性

初回通知は判明している範囲で足りることを明記し、重大事故では迅速な速報義務を受け入れます。

速報
D

監査と調査の範囲

頻度、範囲、事前通知、秘密保持、費用負担、他顧客情報への影響を設定します。

監査
E

責任上限と保険

無制限責任の対象を故意・重過失等に限定し、通常違反には合理的上限を置きます。

上限
Section 09

委託先インシデント時の責任分担契約の条項設計例

サンプル文言をそのまま使うのではなく、条項に入れる機能として理解します。

実際の契約では、業務内容、業法、対象データ、取引規模、保険、交渉力に応じて文言を修正します。ここでは、インシデント通知、証拠保全、再委託、費用負担、責任制限の5領域について、契約に入れる機能を整理します。

次の一覧は、条項例の要素を分解したものです。各項目で「起算点」「対象資料」「例外」「上限」を明確にするほど、事故時の解釈争いを減らせます。

Notice

インシデント通知条項

情報漏えい、滅失、毀損、不正アクセス、マルウェア感染、ランサムウェア、認証情報漏えい、秘密情報の不正利用、サービス停止を対象にし、知った場合または合理的なおそれを認識した場合に速報します。

Evidence

証拠保全・調査協力条項

ログ、通信記録、アクセス権限情報、設定情報、管理者操作記録、端末、バックアップ、チケット、メールを保全し、通常の削除や上書きを止めます。

Subcontract

再委託条項

重要部分の再委託は事前承諾を原則にし、再委託先にも同等以上の義務を課し、再委託先事故でも委託先が通知・調査・復旧・再発防止へ対応します。

Cost

費用負担条項

原因、契約違反または過失の有無、費用の必要性・相当性を踏まえ、調査費用、本人通知費用、問い合わせ対応費用、復旧費用、再発防止確認費用を整理します。

Liability

責任制限条項

通常責任の上限を定めつつ、故意・重過失、秘密保持義務違反、個人データまたは重要秘密情報の漏えい、知的財産権侵害、再委託先管理義務の重大違反を別扱いにします。

条項例では、「適用しない」のか「特別上限を適用する」のかを明確にします。委託先の保険限度額、年間売上、委託料、リスクの性質を踏まえ、現実に回収可能な設計にします。

Section 10

委託先インシデント時の責任分担契約を内部統制として動かす

契約、台帳、訓練、監査、保険、会計をつなげて、現場で使える状態にします。

契約書を作成しても、それが現場に共有されていなければ機能しません。委託先インシデント時の責任分担契約は、内部統制として実装します。

次の比較表は、社内部門ごとの役割を整理したものです。どの部門が事故時に何を判断するかを事前に決めることで、法務条項を現場の連絡網や訓練に接続できます。

社内部門主な役割
法務部契約条項、責任制限、補償、紛争対応、当局対応の法的判断を担います。
個人情報保護担当個人データ分類、PPC報告、本人通知、委託先監督を担います。
情報セキュリティ部門技術的管理策、ログ、検知、封じ込め、復旧、フォレンジック連携を担います。
調達部門委託先選定、契約プロセス、再委託情報、評価更新を担います。
事業部門業務影響、顧客説明、代替運用、委託先との日常連携を担います。
内部監査委託先管理プロセス、証跡、改善状況の検証を担います。
広報公表文、メディア対応、SNS監視、レピュテーション管理を担います。
経営層リスク許容度、重大事故判断、対外説明、予算承認を担います。
保険・経理保険通知、費用集計、引当・開示、損害額算定を担います。

平時に準備する文書

平時には、委託先台帳、委託先リスク分類表、データ処理台帳、再委託先一覧、セキュリティ要求事項テンプレート、インシデント通知テンプレート、本人通知テンプレート、当局報告準備チェックリスト、委託先監査チェックリスト、フォレンジック依頼先リスト、広報・FAQテンプレート、経営報告テンプレート、サイバー保険連絡先、契約解除・データ移行手順を準備します。

次の比較表は、監査とモニタリングの方法を整理したものです。低コストな自己点検から、実効性の高い共同訓練までを組み合わせることで、契約条項が実際に機能しているかを確認できます。

方法内容長所注意点
自己点検票委託先に定期回答させます。低コストです。回答の実証性が弱いです。
証跡提出規程、教育記録、権限棚卸し、ログサンプルを提出させます。実態確認しやすいです。機密情報の取扱いが必要です。
第三者認証確認ISMS、SOC報告書などを確認します。客観性があります。適用範囲を確認します。
現地監査拠点・運用を直接確認します。実効性が高いです。コストと日程負担が大きいです。
共同訓練インシデント対応演習を行います。実際の連携を確認できます。年1回以上が推奨されます。
改善計画管理指摘事項の是正期限・完了確認を行います。継続改善に有効です。未完了時の制裁を定めます。

保険・会計・開示

サイバー保険や専門職賠償責任保険は、委託先インシデント時の責任分担契約を補完します。ただし、保険約款には通知義務、免責事由、対象外費用、サブリミット、自己負担額、事前承認が定められています。

重大インシデントが発生した場合、引当金、偶発債務、訴訟リスク、保険金収入、減損、開示、内部統制評価に影響することがあります。上場会社では、適時開示、リスク情報、内部統制報告、監査法人との協議も検討します。

次の時系列は、社内実装を段階的に進めるロードマップです。短期では重要委託先の把握、中期では契約・別紙の整備、長期では監査と経営報告まで進める流れを読み取ってください。

30日以内

重要委託先を把握します

重要委託先一覧、対象データ、既存契約の通知・再委託・損害賠償・監査条項、社内緊急連絡先、新規契約用の最低限条項テンプレートを整えます。

90日以内

高リスク委託先の契約を整えます

契約改定または覚書、セキュリティ別紙、RACI表、費用負担表、再委託先情報、保険情報、インシデント対応訓練、本人通知・当局報告・顧客説明テンプレートを整備します。

1年以内

定期プロセスにします

委託先リスク評価、契約管理、監査または証跡確認、訓練結果のテンプレート反映、経営層へのサプライチェーンリスク報告を行います。

Section 11

委託先インシデント時の責任分担契約の実務チェックリスト

契約締結前、条項レビュー、事故発生時の3段階で確認します。

チェックリストは、法務担当者だけでなく、情報セキュリティ、個人情報保護、調達、事業部門、広報、経理が共通言語として使うためのものです。チェックの有無だけで終わらせず、根拠資料と担当者を残します。

次の比較表は、契約締結前に確認する項目です。委託業務、対象データ、再委託、SLA、ログ、バックアップ、保険を一つずつ確認し、契約上の要求水準を決めます。

段階確認項目
契約締結前委託業務の範囲、対象データ、個人データ・要配慮個人情報・営業秘密・認証情報の有無を確認します。
契約締結前委託先のセキュリティ体制、過去インシデント・是正履歴、再委託先、海外移転、SLA、RTO、RPOを確認します。
契約締結前ログ取得・保存期間、バックアップ・復旧訓練、サイバー保険、契約終了時のデータ返還・削除を確認します。

次の比較表は、契約条項をレビューするときの確認項目です。通知、続報、証拠保全、当局・本人対応、再委託、費用負担、責任制限、監査、解除を、条項として明示できているかを確認します。

段階確認項目
契約条項インシデント定義が合理的なおそれを含み、重大度分類、初動通知期限、速報内容、続報頻度が明確かを確認します。
契約条項証拠保全義務、フォレンジック協力義務、当局報告・本人通知の役割分担、広報・公表の事前承認を確認します。
契約条項再委託先インシデント、費用負担表、損害賠償上限と例外、サービスクレジット、監査権、是正要求権、重大違反時の解除権を確認します。

次の比較表は、インシデント発生時の確認項目です。速報受領後、社内展開、証拠保全、外部専門家、当局・本人・顧客対応、費用記録、保険通知、再発防止、求償・解除検討までを順番に進めます。

段階確認項目
事故発生時委託先から速報を受領し、経営、法務、個人情報保護、セキュリティ、広報、事業部門へ展開します。
事故発生時影響データと影響範囲を特定し、ログ・証拠保全を指示し、フォレンジック専門家の起用を判断します。
事故発生時個人情報保護委員会等への報告要否、本人通知要否、顧客説明方針、プレスリリース・FAQ、追加被害防止を確認します。
事故発生時費用を項目別に記録し、保険会社への通知要否、再発防止計画、契約違反・求償・解除を検討します。

中小企業の導入方法

中小企業では、法務部、情報セキュリティ部門、個人情報保護担当が分かれていないこともあります。その場合でも、重要な委託先を3段階に分類し、顧客情報、従業員情報、決済情報、基幹業務、クラウド管理者権限を扱う委託先から優先して整備します。

最低限の5条項は、秘密保持・個人データ取扱い、再委託の制限、インシデント時の速やかな通知、調査・証拠保全・復旧協力、費用負担・損害賠償・解除です。委託先台帳には、連絡先、扱うデータ、再委託先、契約更新日、保険、緊急連絡先を記録します。

結論委託元は委託先に任せきりにせず、委託先は自社が管理できる範囲とできない範囲を明確にします。双方が平時から役割分担を合意し、訓練し、証跡を残すことが、被害を抑え、法的紛争を防ぎ、企業価値を守る現実的な方法です。
Section 12

委託先インシデント時の責任分担契約のFAQ

一般的な制度説明として整理します。個別の契約交渉や紛争対応では、具体的事情に基づく専門家相談が必要です。

Q1. 委託先で事故が起きたら、委託元は責任を負わないのですか。

一般的には、委託先の事故であっても、委託元の委託先選定・監督、個人情報保護法上の委託先監督、契約上の管理義務、第三者に対する説明責任が問題になる可能性があります。ただし、対象データ、契約内容、管理実態、表示、事故原因によって結論は変わります。具体的な見通しは、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

Q2. 責任分担契約があれば、法令上の責任を免れますか。

一般的には、責任分担契約は委託元と委託先の内部関係を定めるものです。規制当局、本人、顧客、第三者との関係では、法令、事実関係、表示、管理実態に基づいて責任が判断される可能性があります。具体的な対応は、事案の資料を確認したうえで弁護士等の専門家へ相談する必要があります。

Q3. 委託先からの通知期限は何時間が適切ですか。

一般的には、個人データ、重要秘密、基幹システムを扱う重大インシデントでは、認識後24時間以内、場合によっては数時間以内の速報が検討されます。ただし、業務重要度、対象データ、法令報告の要否、委託先の運用体制によって適切な期限は変わります。具体的な設定は、契約類型と運用体制を踏まえて専門家へ相談する必要があります。

Q4. すべての委託先に同じ厳しい条項を入れるべきですか。

一般的には、公開情報しか扱わない委託先と、顧客データベースや決済情報を扱う委託先ではリスクが異なるため、リスク分類に応じて条項を変える設計が現実的です。ただし、業種規制、取扱情報、取引規模、代替可能性によって必要な条項は変わります。具体的な水準は、社内規程と契約実務に詳しい専門家へ相談する必要があります。

Q5. 大手クラウド・SaaSが契約交渉に応じない場合はどう考えますか。

一般的には、標準約款しか使えない場合でも、SLA、サポートプラン、ログ取得機能、バックアップ、データエクスポート、サブプロセッサー一覧、障害通知、ステータスページ、認証設定、管理者権限、保険を確認し、自社側のBCPで補完します。ただし、基幹業務への依存度や代替手段によって判断は変わります。具体的には、利用可否判断と内部承認の仕組みを専門家と検討する必要があります。

Q6. 費用負担はすべて原因者負担にすればよいですか。

一般的には、原因者負担は分かりやすい考え方ですが、事故直後には原因が不明なことが多いです。そのため、初動費用は一時的に各自負担または協議とし、原因確定後に契約ルールに従って精算する仕組みが使われます。ただし、任意の顧客補償や広報費の負担は、必要性、相当性、予見可能性、契約文言によって結論が変わる可能性があります。

Q7. 再委託先事故では誰が責任を負いますか。

一般的には、委託元との関係では、委託先が再委託先に同等義務を課し、再委託先の違反について責任を負う設計が多く見られます。ただし、再委託先を委託元が指定した場合、委託元が設定・運用を指示した場合、標準クラウド基盤のように委託先の管理範囲が限定される場合は、個別事情で調整が必要です。具体的には契約書と運用実態を確認して専門家へ相談する必要があります。

Q8. 責任制限条項は委託元に不利ですか。

一般的には、責任制限は委託先のリスクを限定し、価格を合理化する機能があります。一方、重要データや基幹業務で責任上限が低すぎると、委託元のリスクが大きくなる可能性があります。通常責任、重大責任、故意・重過失等の例外を分けて設計することが重要ですが、具体的な水準は委託料、保険、損害見込み、交渉力によって変わります。

Q9. 本人通知は委託元と委託先のどちらが行いますか。

一般的には、委託元の顧客・従業員に対する通知は委託元が主導することが多いです。委託先は、通知判断に必要な技術情報、対象件数、原因、再発防止策を提供します。ただし、個人データの管理実態、法令上の義務主体、契約文言によって役割は変わる可能性があります。具体的な通知方針は、事案ごとに専門家へ相談する必要があります。

Q10. 最も重要な条項は何ですか。

一般的には、初動通知と証拠保全が特に重要とされています。早く知らせ、ログや証拠を失わなければ、当局報告、本人通知、復旧、損害算定、責任判断が進めやすくなります。ただし、対象業務、データ、規制、委託先の役割によって重点条項は変わります。具体的な優先順位は、契約全体と運用体制を確認して専門家へ相談する必要があります。

Reference

参考文献・公的資料

日本法・個人情報保護

  • e-Gov法令検索「民法」
  • 日本法令外国語訳DBシステム「民法」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会FAQ「委託先における個人データ漏えい時の報告義務」
  • 個人情報保護委員会「委託先を監督してますか?」
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 個人情報保護委員会「個人データの漏えい等 報告について」

サイバーセキュリティ・サプライチェーン

  • 経済産業省・IPA「サイバーセキュリティ経営ガイドライン Ver.3.0」
  • IPA「中小企業の情報セキュリティ対策ガイドライン 第4.0版」
  • IPA「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」
  • IPA「情報システム・モデル取引・契約書(第二版)」
  • 総務省・厚生労働省・経済産業省「医療情報システムの契約における当事者間の役割分担等に関する確認表」
  • NIST「The NIST Cybersecurity Framework (CSF) 2.0」
  • NIST「Cybersecurity Supply Chain Risk Management Quick-Start Guide」
  • NIST「Incident Response Recommendations and Considerations for Cybersecurity Risk Management」