業務委託契約の再委託条項を、民法、個人情報、番号法、IT、労務、建設、取引適正化、知的財産、監査、インシデント対応まで横断して設計するための実務ポイントを整理します。
再委託を認めるかだけでなく、乙の責任、丙への同等義務、監査まで設計します。
再委託を認めるかだけでなく、乙の責任、丙への同等義務、監査まで設計します。
再委託の可否と再委託先への義務承継は、業務委託契約書の一条項だけで決まる論点ではありません。契約類型、民法上の委任・準委任・請負の違い、個人情報、番号法、労務、建設、取引適正化、知的財産、監査、インシデント対応まで重なります。
次の重要ポイントは、再委託管理で最初に押さえる結論を表しています。契約上の可否、乙の責任維持、丙への同等義務、情報管理、監査までを一体で読むことで、単なる承諾条項では足りない理由が分かります。
通常の再委託では甲乙間契約の当事者は乙のままです。重要なのは、乙の責任を維持しつつ、丙に再委託業務に関係する同等以上の義務を課し、遵守状況を確認できる仕組みを置くことです。
次の一覧は、再委託を検討する際の五つの結論を整理したものです。各項目は「許可するか」だけでなく、「許可するならどの条件を付けるか」を読むために重要です。
契約条項、契約類型、業法、個人情報、番号法、労働法、建設業法、取引適正化規制で結論が変わります。
乙は丙を利用して履行するだけであり、甲との契約責任、品質、納期、情報管理は原則として残ります。
契約上の地位や債務が移る意味と、丙に同等義務を課す実務上の意味を区別します。
個人データ、特定個人情報、営業秘密、ソースコード、管理者権限を扱う場合は、丙とさらに先の委託も管理します。
承諾、同等義務、監査、事故通知、削除、反社・制裁、労務、終了時対応まで設計します。
再委託、下請、協力会社、人材派遣、契約上の地位移転を区別します。
再委託の議論では、似た言葉を混同すると責任線が不明確になります。次の比較表は、再委託、下請負、協力会社利用、人材派遣、契約上の地位移転を区別するもので、名称ではなく実質で判断する必要がある点を読み取れます。
| 表現 | 典型的な意味 | 実務上の注意点 |
|---|---|---|
| 再委託 | 乙が受託業務の一部を丙に委託すること | 承諾、報告、同等義務、乙の責任を定めます。 |
| 下請負 | 請負契約で元請が工事や制作を下請に出すこと | 建設業法など業法規制を確認します。 |
| 協力会社利用 | 乙の履行体制の一部として第三者を使うこと | 名称が柔らかくても実質が再委託なら管理対象です。 |
| 人材派遣 | 派遣先が派遣労働者に指揮命令する形態 | 請負や準委任を装うと偽装請負の問題が生じます。 |
| 契約上の地位移転 | 乙の契約当事者としての地位を第三者に移すこと | 相手方の承諾が原則必要で、再委託とは別です。 |
義務承継という言葉は、法的には複数の意味を含みます。次の一覧は、契約上の地位移転、債務引受、同等義務の付与を分けて示し、通常の再委託で中心になるのは三つ目であることを読み取るために重要です。
乙が甲乙間契約から外れ、丙が契約当事者になる構成です。通常は甲の承諾が必要で、再委託とは別に扱います。
乙の債務を丙が引き受ける構成です。乙を免責するつもりがないなら、再委託承諾は債務引受や免責を意味しないと明記します。
乙が丙との契約で、甲乙間契約上の義務のうち再委託業務に関係する義務を丙にも負わせる実務上の設計です。
請負では再委託が比較的許容されやすい一方、委任・準委任では本人の能力や信頼に着目するため承諾が必要になりやすくなります。ただし、契約名ではなく業務の実質、情報の種類、業法、指揮命令の実態で判断します。
契約条項、契約類型、法令、情報資産、管理能力を順番に確認します。
再委託の可否は、契約書だけでなく、契約類型、法令、情報資産、乙の管理能力を順に確認します。次の判断の流れは、承諾の可否を検討する順番を表し、上から下へ進むほど、契約上の文言から実際の管理体制へ視点が移ることを読み取れます。
事前承諾、通知、包括承諾、全部再委託禁止、再々委託、違反時対応を確認します。
請負、委任、準委任、混合契約のどれに近いかを実質で見ます。
個人情報、番号法、建設業、労働者派遣、取引適正化、金融・医療・公共案件の制限を確認します。
個人データ、営業秘密、ソースコード、管理者権限、国外アクセス、再々委託の有無を確認します。
丙を管理できる体制、契約、証跡、監査、事故検知、終了時削除を確認します。
法令・業法の制限は、契約で再委託を許していても優先して確認すべき項目です。次の比較表は、代表的な分野と確認点を示し、どの法領域で承諾、監督、指揮命令、支払条件が問題になるかを読み取れます。
| 分野 | 主な確認点 | 契約・運用への反映 |
|---|---|---|
| 個人情報 | 委託先の選定、委託契約、取扱状況把握、再委託時の報告・承認・監査 | 丙の名称、業務内容、取扱方法、所在地、再々委託を把握します。 |
| 特定個人情報 | 最初の委託者の許諾、再々委託以降の許諾、間接的監督 | 甲の事前書面承諾を明記し、丙にも許諾確認を求めます。 |
| 建設業 | 一括下請負の禁止、施工体制、技術者配置 | 丸投げを避け、施工体制台帳、許可、下請契約を確認します。 |
| 労務 | 甲が丙の従業員へ直接指揮命令していないか | 作業指示は乙の責任者を通じ、勤務時間や配置を甲が直接命じない運用にします。 |
| 取引適正化・フリーランス | 取引条件明示、支払期日、禁止行為、無償対応の強制 | 甲乙間の負担を丙へ不合理に転嫁しないよう調整します。 |
再委託のリスクは、丙が何へアクセスするかで大きく変わります。次の一覧は高リスクな情報と権限を整理しており、該当するものが多いほど、承諾制、監査、ログ、暗号化、削除証明を強く求めるべきことを読み取れます。
本人対応、当局報告、安全管理措置、国外移転、再々委託まで確認します。
目的外利用、競合案件への流用、退職者による持ち出しを防ぎます。
最小権限、ログ、アカウント停止、終了時削除を具体化します。
知財帰属、OSS、第三者コード、脆弱性対応、海外開発拠点を確認します。
同等義務、乙の責任維持、監査、事故通知、解除を条項ごとに分けて設計します。
再委託条項には複数の型があります。次の比較表は、完全禁止、事前書面承諾、事前通知、包括承諾、リスト管理を並べ、業務リスクに応じてどの型を選ぶかを読み取るために重要です。
| 型 | 向いている場面 | 条項設計の注意点 |
|---|---|---|
| 完全禁止型 | 高機密業務、不祥事調査、M&A、特定個人情報、本人技能に依存する業務 | クラウドや専門家利用まで禁止するのかを明確にします。 |
| 事前書面承諾型 | 個人データ、秘密情報、重要システム、品質責任がある業務 | 丙の名称、所在地、業務範囲、情報、再々委託、管理体制を申請させます。 |
| 事前通知型 | 低中リスクの定型業務、多数の協力会社を使う業務 | 甲の異議権や中止請求権を残します。 |
| 包括承諾型 | グループ会社、既存協力会社、標準的なクラウド、専門家利用 | 一覧更新、重要変更通知、所在地、国外取扱いを管理します。 |
| リスト管理型 | 金融、医療、公共、重要インフラ、個人データ大量処理 | 承認済み先だけを使わせ、禁止属性も併せて定めます。 |
同等義務条項では、甲乙間契約の全条項を機械的に丙へ移すのではなく、再委託業務に関連する義務を同等以上の水準で課します。次の比較表は、丙に課すべき主な義務を分野別に示し、どの義務が情報、知財、品質、監査、危機対応、終了時対応に関わるかを読み取れます。
| 分野 | 再委託先に課す主な義務 |
|---|---|
| 秘密保持 | 秘密情報の定義、目的外利用禁止、第三者開示禁止、管理措置、返還・消去、存続期間 |
| 個人情報 | 利用目的制限、安全管理措置、再々委託制限、事故通知、削除、監査、国外移転対応 |
| 情報セキュリティ | アクセス制御、ログ、暗号化、脆弱性管理、認証情報管理、端末管理、事故対応 |
| 知的財産 | 成果物の権利帰属、第三者権利非侵害、OSS管理、著作者人格権不行使、ライセンス条件遵守 |
| 監査・危機対応 | 証跡保存、報告、監査協力、漏えい・障害・行政調査・訴訟時の通知と協力 |
| 終了時 | データ返還、削除、バックアップ削除、削除証明、アクセス権廃止、資料返却 |
条項例では、同等義務、乙の責任維持、再々委託、個人データ、監査、事故通知、地位移転との区別、解除・中止請求を分けて書きます。次の一覧は、条項に入れるべき機能を整理し、どの条項が事故時の救済と証跡確認に効くかを読み取るためのものです。
丙の名称、所在地、業務範囲、取扱情報、作業場所、再々委託、管理体制を提出させます。
丙の行為、不作為、履行遅滞、契約不適合、情報漏えい、法令違反を乙自身の違反と同様に扱います。
契約書写し、誓約書、管理体制資料、ログ、教育記録、削除証明などを合理的範囲で提出させます。
違反または違反のおそれがある場合、再委託の中止、丙の変更、アクセス停止、情報削除、是正を求めます。
個人データ、特定個人情報、クラウド、偽装請負、建設、取引適正化を横断します。
個人情報、番号法、IT、労務、建設、取引適正化は、再委託条項だけでは処理できません。次の比較表は、各分野で特に注意すべき実務対応を示し、承諾制、監督、指揮命令の分離、支払条件の適正化をどこに組み込むかを読み取れます。
| 領域 | 実務対応 | 重点リスク |
|---|---|---|
| 個人情報保護 | 適切な委託先選定、委託契約、取扱状況把握、再委託時の事前報告・承認・監査を定めます。 | 漏えい、本人対応、国外取扱い、再々委託 |
| 番号法 | 特定個人情報の再委託は、最初の委託者の許諾を前提にします。 | 無断再委託、間接的監督、漏えい対応 |
| IT・クラウド | 開発環境、リポジトリ、CI/CD、OSS、SBOM、脆弱性、ログ、本番アクセスを管理します。 | 品質不良、知財侵害、認証情報流出 |
| 労務 | 甲は丙の従業員へ日常的な作業指示、勤務時間、休暇、配置、評価を直接命じない運用にします。 | 偽装請負、労働者性、ハラスメント |
| 建設・工事 | 一括下請負、施工体制、技術者配置、労務安全衛生、事故対応を確認します。 | 丸投げ、許可、施工責任 |
| 取引適正化 | 甲乙間の厳しい義務を丙へ不合理に転嫁せず、条件明示、支払期日、追加作業の対価を確認します。 | 支払遅延、減額、買いたたき、無償対応 |
IT案件では、多層構造を前提にしながらも、情報、品質、権利を見える状態にする必要があります。次の一覧は、開発・運用・クラウド利用で確認する項目を表し、丙がどの環境へどの権限でアクセスするかを読むために重要です。
丙が担当する機能、工程、成果物、テスト、運用監視の範囲を明確にします。
リポジトリ、テストデータ、本番環境、管理者権限、ログ、監視の有無を確認します。
ライセンス、表示、SBOM、脆弱性情報、商用利用制限、コピーレフトの影響を確認します。
データ所在地、海外からのアクセス、外国制度、標準的な契約・安全管理を確認します。
甲が丙に直接連絡する場面があっても、日常的な指揮命令と混同しない設計が必要です。仕様確認や成果物確認は乙の窓口を通じ、緊急時の連絡も権限範囲、事後報告、責任者承認を決めておくことが重要です。
契約書だけでなく、台帳、証跡、通知期限、終了時確認まで運用します。
再委託管理で最も多い失敗は、契約書に同等義務を書いただけで、実際の遵守状況を誰も把握していない状態です。次の比較表は、監査方法ごとの内容と適する場面を整理し、低リスクと高リスクで確認の深さを変える読み方ができます。
| 方法 | 内容 | 適する場面 |
|---|---|---|
| 書面確認 | 質問票、規程、体制図、証明書を確認 | 多数の低中リスク委託先 |
| 証跡確認 | ログ、教育記録、アクセス権一覧、削除証明を確認 | 個人データや秘密情報を扱う場合 |
| 第三者報告書 | ISMS、SOC報告書、外部監査報告書を確認 | クラウド、SaaS、データセンター |
| リモート監査 | オンラインで体制、画面、証跡を確認 | 海外・遠隔拠点 |
| 実地監査 | 施設、端末、作業場所、保管状況を確認 | 高リスク、事故後、重要インフラ |
| 乙を通じた監査 | 甲が直接丙に入らず、乙が確認して報告 | 労務・商流上の配慮が必要な場合 |
事故時には、通知期限を具体化しておかないと被害拡大と法令対応の遅れにつながります。次の時系列は、一次報告から詳細報告、当局・本人対応、再発防止策までの順番を表しており、期限の短い情報から先に共有する読み方ができます。
漏えい、不正アクセス、紛失、誤送信、障害、品質事故またはそのおそれを認識した時点で通知します。
事実関係、影響範囲、対象情報、原因仮説、拡大防止、ログ保全の状況を共有します。
調査結果、本人対応、当局対応、顧客説明、復旧、再発防止策を更新します。
再発防止策、削除証明、アクセス停止、再監査、契約解除や再委託中止の要否を確認します。
再委託管理台帳は、法務、調達、個人情報担当、情報セキュリティ、内部監査をつなぐ基礎資料になります。次の一覧は、台帳に入れる項目を示し、契約、情報、監査、事故、終了時確認を一つの履歴で追えることを読み取るためのものです。
契約名、契約番号、乙の名称、丙の名称、承諾日、承諾条件、承諾期限を記録します。
個人データ、特定個人情報、秘密情報、国外取扱い、クラウド、再々委託を記録します。
セキュリティ審査、リスクランク、同等義務証跡、監査日、指摘事項、是正状況を記録します。
データ返還、削除、バックアップ削除、アクセス権停止、資料返却、削除証明を記録します。
甲、乙、丙の立場別に確認事項を分け、紛争時の論点も整理します。
再委託管理は、甲、乙、丙の立場で見るべき項目が異なります。次の比較表は三者のチェック項目を並べ、同じ再委託でも、委託元は可視化、受託者は管理、再委託先は過度な負担の確認が中心になることを読み取れます。
| 立場 | 主な確認事項 | 読み取り方 |
|---|---|---|
| 甲 | 契約類型、承諾条件、扱う情報、再々委託、同等義務証跡、監査、事故通知、終了時削除 | 見えない外部者を作らないことが中心です。 |
| 乙 | 承諾取得、丙の選定基準、乙丙間契約、支払条件、事故検知、再々委託、返還・削除手順 | 丙を使っても甲への責任が残る前提で管理します。 |
| 丙 | 承諾の有無、義務範囲、個人情報、秘密情報、再々委託、支払条件、事故通知、終了時義務 | 甲乙間の義務を過度に丸ごと背負わされていないか確認します。 |
無断再委託や事故が判明した場合、すぐに解除できるかは契約条項と違反の重大性で変わります。次の一覧は、紛争時に最初に確認すべき論点を示し、契約違反、法令対応、情報漏えい、是正可能性を分けて読むために重要です。
禁止条項、承諾制、通知制、包括承諾、丙が扱った情報、再々委託、同等義務の有無を確認します。
丙の遅延は通常乙の履行遅滞として扱われますが、甲指定先や仕様変更、不可抗力は別途確認します。
契約責任、個人情報監督責任、不法行為、営業秘密、行政対応、本人通知、ログ保全が重なります。
代替先、成果物、データ、ソースコード、設計書、ログ、バックアップ、ステップイン権を確認します。
リスクランクを使うと、すべての再委託先を同じ深さで審査せずに済みます。次の比較表は、高、中、低の管理水準を表し、情報アクセスの深さに応じて承諾、審査、監査、年次見直しを変えることを読み取れます。
| ランク | 例 | 管理方法 |
|---|---|---|
| 高 | 個人データ大量処理、特定個人情報、管理者権限、金融・医療・公共情報 | 事前承諾、詳細審査、契約写し確認、定期監査、事故訓練 |
| 中 | 一部個人情報、秘密情報、開発環境アクセス | 事前通知または承諾、質問票、証跡確認、年次見直し |
| 低 | 公開情報のみ、単純作業、情報アクセスなし | 包括承諾、リスト管理、必要時確認 |
個別契約の判断を断定せず、一般的な制度と実務上の注意点を整理します。
一般的には、請負では再委託が許容されやすい傾向がありますが、委任・準委任では委託者の許諾またはやむを得ない事由が問題になります。さらに、個人情報、番号法、建設業法、労働者派遣、秘密保持、業法で結論が変わる可能性があります。具体的には契約本文と業務実態を確認する必要があります。
一般的には、乙は責任を免れません。再委託は乙が履行補助者として丙を利用する構造であり、甲乙間契約の当事者は乙のままです。乙を免責するには、明確な免責条項、債務引受、契約上の地位移転など別の合意が問題になります。
一般的には、それだけでは不十分です。丙に同等義務を課すだけでなく、乙が丙に遵守させる義務、乙の責任維持、再々委託制限、監査、事故通知、削除証明、証跡提出、違反時の中止・解除を定める必要があります。
一般的には、甲丙間に直接契約がない場合、甲はまず乙へ契約責任を追及するのが基本です。ただし、不法行為、法令上の責任、甲丙間契約、誓約書、第三者のためにする契約などで結論が変わる可能性があります。個別の請求可否は弁護士等の専門家へ相談する必要があります。
一般的には、高リスクな個人データを扱う場合は承諾制が安全です。少なくとも、再委託先、業務内容、取扱方法を事前に把握し、委託先を通じた監査または必要に応じた直接確認を可能にする必要があります。データの種類、量、国外取扱い、再々委託で管理水準は変わります。
一般的には、最初の委託者の許諾が特に重要です。乙が丙へ再委託する場合、乙は甲の許諾を得る必要があります。丙も、甲の許諾があることを確認せずに受託すると、番号法上の問題が生じる可能性があります。
一般的には、契約と実態によります。乙が甲のデータをクラウドで保存、処理、分析、バックアップするなら、委託先管理または再委託管理の対象になる可能性があります。包括承諾リスト、所在地、再委託、セキュリティ、削除、事故通知を整理する必要があります。
一般的には、実態として派遣先の指揮命令と評価されると、偽装請負の問題が生じる可能性があります。仕様確認や成果物確認は乙の責任者を通じて行い、丙の従業員の勤務時間、作業方法、人員配置などを甲が直接指揮しない運用が重要です。