2σ Guide

委託先の再委託を
認める際の条件

再委託先を特定し、業務範囲、情報、責任、監督、事故対応を統制できる場合に限って承認するための実務基準を整理します。

12条件 承認前の確認軸
13項目 規程化の対象
2024年 フリーランス保護法施行
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

委託先の再委託を 認める際の条件

再委託先を特定し、業務範囲、情報、責任、監督、事故対応を統制できる場合に限って承認するための実務基準を整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
委託先の再委託を 認める際の条件
再委託先を特定し、業務範囲、情報、責任、監督、事故対応を統制できる場合に限って承認するための実務基準を整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 委託先の再委託を 認める際の条件
  • 再委託先を特定し、業務範囲、情報、責任、監督、事故対応を統制できる場合に限って承認するための実務基準を整理します。

POINT 1

  • 委託先の再委託を認める際の条件の全体像
  • 再委託を統制できる場合だけ認めるための基本条件を整理します。
  • 再委託は統制できる場合にだけ認めます
  • 再委託は現代の企業活動で避けにくい一方、委託元から見ると契約相手ではない第三者が業務や情報に関与する構造です。
  • 次の重要ポイントは、再委託承認の判断基準を一文で表します。

POINT 2

  • 再委託の基本用語と民法上の出発点
  • 契約類型、再委託、再々委託、一括再委託、個人データ、営業秘密を整理します。
  • 第三者へ業務の一部を任せる構造
  • さらに先へ業務が広がる構造
  • 主要部分の丸投げ

POINT 3

  • 委託先の再委託を認める前に必要性・範囲・相手方を特定する
  • 1. 必要性を確認:専門性、繁忙対応、インフラ利用など合理的な理由を確認します。
  • 2. 相手方・範囲・情報を特定:誰が、何を、どの情報を、どこで扱うかを確認します。
  • 3. 同等以上義務と監督を確認:契約上の義務、監査、報告、事故対応を確認します。
  • 4. 承認前に是正:情報範囲縮小、契約修正、セキュリティ是正を求めます。
  • 5. 条件付き承認:承認後の報告、変更通知、監査、終了時削除を継続します。

POINT 4

  • 再委託先の適格性審査とセキュリティ条件
  • 法務、個人情報、セキュリティ、品質、財務の観点から適格性を確認します。
  • コンプライアンス
  • 情報セキュリティ
  • 個人情報保護

POINT 5

  • 委託先と同等以上の義務を再委託先へ流し込む
  • 秘密保持、安全管理、事故報告、監査、返還削除、委託先の責任維持を整理します。
  • 再委託先の行為は委託先の責任として扱います
  • 再委託の最大の落とし穴は、委託元と委託先の契約には厳格な義務があるのに、再委託先との契約には同じ義務がない状態です。
  • 同等以上義務の流し込みは、その空白をなくすために重要です。

POINT 6

  • 個人情報・秘密情報・知財・海外再委託の追加条件
  • 個人データ
  • 種類、件数、利用目的、保管場所、アクセス者、安全管理、漏えい時の報告期限を確認します。
  • 営業秘密
  • 必要最小限の開示、秘密区分、アクセスログ、コピー制限、退職者権限削除を確認します。

POINT 7

  • サイバー・労務・取引適正化を踏まえた再委託リスク管理
  • リスク区分、セキュリティ審査、偽装請負、フリーランス、取引適正化を確認します。
  • 偽装請負・派遣リスク
  • フリーランスへの再委託
  • 取引適正化

POINT 8

  • 監査・報告・契約条項・社内承認を再委託管理に組み込む
  • 1. 申請事項と契約義務を確定します:再委託先、業務範囲、情報、同等以上義務、再々委託、事故報告、監査を定めます。
  • 2. 一覧・監査・是正を継続します:再委託先一覧、所在地、権限、教育、監査結果、事故・ヒヤリハットを定期確認します。
  • 3. 変更通知または再承認を求めます:再委託先、業務範囲、所在地、再々委託、情報範囲、海外アクセスの変更を確認します。
  • 4. 初報・証拠保全・調査協力を動かします:事故認識からの期限、第一報事項、ログ提出、公表協議、当局報告協力を実行します。

まとめ

  • 委託先の再委託を 認める際の条件
  • 委託先の再委託を認める際の条件の全体像:再委託を統制できる場合だけ認めるための基本条件を整理します。
  • 再委託の基本用語と民法上の出発点:契約類型、再委託、再々委託、一括再委託、個人データ、営業秘密を整理します。
  • 委託先の再委託を認める前に必要性・範囲・相手方を特定する:承認申請で確認すべき情報と、承認判断の流れを整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

委託先の再委託を認める際の条件の全体像

再委託を統制できる場合だけ認めるための基本条件を整理します。

再委託は現代の企業活動で避けにくい一方、委託元から見ると契約相手ではない第三者が業務や情報に関与する構造です。このページでは、再委託を禁止か自由かの二択ではなく、統制できる場合に限って条件付きで認めるという観点から整理します。

次の重要ポイントは、再委託承認の判断基準を一文で表します。読者にとって重要なのは、承認という形式よりも、把握、義務の流し込み、監督、事故時の調査可能性がそろっているかです。この文から、承認前に満たすべき最低ラインを読み取ってください。

再委託は統制できる場合にだけ認めます

委託元が、再委託先、再委託業務、取り扱う情報、責任の所在、監督方法を具体的に把握し、契約上も運用上も制御できることが中核です。

次の比較は、再委託承認で確認すべき十二の条件を表します。条件が多いのは、再委託が個人情報、営業秘密、品質、労務、海外移転、事故対応を同時に動かすためです。各行から、自社の承認申請書や契約条項に不足している項目を読み取ってください。

条件内容実務上の意味
必要性再委託の業務上の必要性が説明されています。丸投げや利益確保だけではないかを見ます。
範囲限定再委託業務が特定され、主要部分の一括再委託ではありません。委託先の責任ある関与を維持します。
相手方特定商号、所在地、担当拠点、役割が明らかです。誰が扱うか分からない状態を避けます。
情報特定個人データ、秘密情報、営業秘密、技術情報の有無を把握します。必要な管理措置の水準を決めます。
法令適合個人情報保護、業法、輸出管理、労務、取引適正化を確認します。承認自体が新たな法的リスクを生まないようにします。
適格性財務、技術、実績、セキュリティ、反社、コンプライアンスを確認します。安全に任せられる相手かを見ます。
同等以上義務委託先が負う義務を再委託先にも流し込みます。契約義務の空白をなくします。
責任維持再委託しても委託先の責任は軽くしません。「再委託先のせい」という抗弁を防ぎます。
監査・報告委託元が取扱状況を把握できるようにします。平時と有事の確認経路を作ります。
事故対応漏えい、不正アクセス、障害時の通知・協力を定めます。初動の遅れを防ぎます。
再々委託制限再々委託を禁止または個別承認制にします。サプライチェーンの拡散を防ぎます。
終了時措置返還、削除、証明、アクセス停止を定めます。契約終了後の残存リスクを減らします。
Section 01

再委託の基本用語と民法上の出発点

契約類型、再委託、再々委託、一括再委託、個人データ、営業秘密を整理します。

再委託の可否は、まず契約類型と用語をそろえるところから始まります。請負、委任、準委任、混合契約では、信頼関係や成果完成責任の見方が異なります。次の表から、契約類型ごとに再委託判断で何を重視するかを読み取ってください。

類型典型例再委託判断で重要な点
請負システム開発、建設、製造、制作です。成果完成責任は元の受託者に残り、契約で再委託禁止・承認制を定めます。
委任法律行為を委ねる業務です。受任者への信頼が重視され、復受任者選任には制限があります。
準委任保守運用、コンサルティング、調査、BPOです。信頼関係、善管注意義務、再委託管理が重要です。
混合契約開発と保守、制作と運用、データ処理と分析です。工程ごとに請負的部分と準委任的部分を分けて検討します。

次の一覧は、再委託、再々委託、一括再委託、個人データ、営業秘密の違いを表します。用語を曖昧にしたまま承認すると、契約の空白や事故時の調査不能につながります。各項目から、どの範囲を承認対象に含めるべきかを確認してください。

再委託

第三者へ業務の一部を任せる構造

委託先が、受託した業務の全部または一部をさらに第三者へ任せることです。

再々委託

さらに先へ業務が広がる構造

再委託先が別の第三者へ業務を任せるため、監査と事故対応が難しくなります。

一括再委託

主要部分の丸投げ

委託先の専門性や体制を評価した意味を失わせるため、重要業務では原則避けます。

個人データ

監督義務が重くなる情報

顧客リスト、従業員情報、購買履歴、健康情報などは安全管理と委託先監督が問題になります。

営業秘密

秘密管理が問われる情報

ノウハウ、設計図、ソースコード、顧客リスト、研究データなどは流出時の影響が大きくなります。

注意契約に「承諾があれば再委託できる」とだけ記載しても、承認申請事項、義務の流し込み、監査、責任、事故対応、変更手続が不明であれば不十分です。
Section 02

委託先の再委託を認める前に必要性・範囲・相手方を特定する

承認申請で確認すべき情報と、承認判断の流れを整理します。

承認前には、なぜ再委託が必要なのか、どの業務を誰が行うのか、どの情報へアクセスするのかを特定します。ここが曖昧だと、再委託先の管理も事故時の責任追跡も難しくなります。次の表から、承認申請で提出させるべき情報を読み取ってください。

項目確認内容
再委託先の名称商号、法人番号、所在地、代表者、担当部署を確認します。
実作業拠点国内か海外か、在宅勤務の有無、データセンター所在地を確認します。
業務内容工程、作業範囲、成果物、作業量、期間を確認します。
取り扱う情報個人データ、秘密情報、営業秘密、技術情報、ソースコード、アカウント情報を確認します。
アクセス範囲システム、フォルダ、データベース、ログ、顧客情報への権限を確認します。
再々委託予定先、業務、理由、管理方法を確認します。
契約・監督再委託契約、秘密保持、個人情報条項、監督方法、変更手続を確認します。

次の判断の流れは、再委託を承認できるかを大まかに確認する手順です。重要なのは、必要性だけでなく、情報、相手方、義務、監督、事故対応まで進んで確認することです。分岐では、条件を満たさない場合に承認前の是正へ戻る点を読み取ってください。

再委託承認の判断の流れ

必要性を確認

専門性、繁忙対応、インフラ利用など合理的な理由を確認します。

相手方・範囲・情報を特定

誰が、何を、どの情報を、どこで扱うかを確認します。

同等以上義務と監督を確認

契約上の義務、監査、報告、事故対応を確認します。

不足
承認前に是正

情報範囲縮小、契約修正、セキュリティ是正を求めます。

充足
条件付き承認

承認後の報告、変更通知、監査、終了時削除を継続します。

Section 03

再委託先の適格性審査とセキュリティ条件

法務、個人情報、セキュリティ、品質、財務の観点から適格性を確認します。

再委託先の適格性審査は、単なる信用調査ではなく、自社の情報、顧客、業務、ブランドを安全に扱えるかの確認です。観点を分けることで、法務だけ、セキュリティだけの片寄った審査を避けられます。次の一覧から、案件リスクに応じてどの観点を深掘りするかを読み取ってください。

法務

コンプライアンス

反社、行政処分、重大訴訟、許認可、制裁、輸出管理、契約義務を確認します。

Security

情報セキュリティ

アクセス権限、多要素認証、ログ、暗号化、端末管理、事故対応を確認します。

Privacy

個人情報保護

取得、利用、保管、削除、返却、漏えい報告、本人対応、越境移転を確認します。

Quality

品質・遂行

同種実績、要員技能、レビュー、検収、エスカレーション、是正体制を確認します。

Continuity

財務・継続性

財務基盤、BCP、災害対策、代替手段、撤退時対応を確認します。

次の表は、システムアクセスやデータアクセスを認める再委託先に最低限確認したいセキュリティ条件を表します。事故防止だけでなく、事故時に調査できる状態を作るためにも重要です。項目ごとに、予防策と証跡提出能力の両方を確認してください。

項目確認内容
アクセス管理最小権限、多要素認証、個人別ID、共有ID禁止、定期棚卸しです。
端末管理会社管理端末、暗号化、EDR、パッチ管理、私物端末制限です。
ネットワークVPN、ゼロトラスト、IP制限、接続ログ、不要ポート閉鎖です。
データ保護暗号化、持ち出し制限、DLP、バックアップ、保存国管理です。
ログ管理アクセスログ、操作ログ、保管期間、改ざん防止、調査時提供です。
脆弱性管理定期診断、パッチ適用、SBOM、OSS管理、脆弱性通知です。
インシデント対応連絡体制、初動期限、証拠保全、原因調査、再発防止です。
Section 04

委託先と同等以上の義務を再委託先へ流し込む

秘密保持、安全管理、事故報告、監査、返還削除、委託先の責任維持を整理します。

再委託の最大の落とし穴は、委託元と委託先の契約には厳格な義務があるのに、再委託先との契約には同じ義務がない状態です。同等以上義務の流し込みは、その空白をなくすために重要です。次の一覧から、再委託先へ明確に負わせるべき義務を確認してください。

秘密保持・目的外利用禁止

秘密情報、個人データ、営業秘密、複製、持ち出し、目的外利用を制限します。

情報

安全管理・ログ保存

アクセス権限、暗号化、端末、ログ、教育、事故対応、証跡保存を義務付けます。

管理

再々委託制限

再々委託を原則禁止または個別承認制にし、変更時の通知を求めます。

連鎖

返還・削除・監査協力

契約終了時の返還、削除証明、監査協力、資料提出、是正措置を定めます。

終了

次の重要ポイントは、再委託後も委託先の責任を維持する考え方を表します。委託元にとって重要なのは、契約相手である委託先が再委託先の行為について責任を負い続けることです。この整理から、再委託承認が責任免除ではないことを読み取ってください。

再委託先の行為は委託先の責任として扱います

再委託を承認しても、委託先の契約上の責任は軽減しません。再委託先の漏えい、品質不良、知財侵害、法令違反、納期遅延について、委託先が責任を負う設計が基本です。

上限高リスク案件では、再委託先に起因する個人情報漏えい、秘密情報漏えい、知財侵害、法令違反を通常の損害賠償上限とは別枠にするか、例外にするかを検討します。
Section 05

個人情報・秘密情報・知財・海外再委託の追加条件

個人データ、営業秘密、成果物権利、クラウド、越境移転を分けて確認します。

個人データ、営業秘密、知的財産、海外アクセスが関わる再委託では、一般的な契約管理より厳格な条件が必要です。情報の性質によって、承認条件、監査、本人対応、輸出管理、権利処理が変わります。次の一覧から、高リスク情報ごとに追加確認する点を読み取ってください。

個人データ

種類、件数、利用目的、保管場所、アクセス者、安全管理、漏えい時の報告期限を確認します。

営業秘密

必要最小限の開示、秘密区分、アクセスログ、コピー制限、退職者権限削除を確認します。

知的財産

成果物の権利帰属、著作者人格権不行使、OSS、第三者素材、生成AI利用を確認します。

クラウド・サブプロセッサ

一覧開示、変更通知、異議申立て、保存国、アクセス国、監査報告書を確認します。

個人データの取扱いを委託する場合、委託は一定の範囲で第三者提供とは別に扱われますが、委託業務の範囲を超えた利用や提供は危険です。この整理は、再委託先が独自目的で使う余地を残さないために重要です。承認時には、利用目的、取扱範囲、アクセス者、保存場所、削除方法が委託の範囲内に収まっているかを読み取ってください。

次の表は、海外再委託で確認すべき論点を表します。国内再委託と同じ感覚で承認すると、個人情報、営業秘密、輸出管理、執行可能性が問題になります。各論点から、国名・拠点・保存場所・アクセス国を特定する必要性を読み取ってください。

論点確認内容
個人情報保護外国にある第三者への提供、本人同意、相当措置、十分性認定、本人への情報提供です。
営業秘密秘密管理、アクセス制限、競合国・競合会社への流出リスクです。
輸出管理技術情報の提供、該非判定、みなし輸出、制裁対象、エンドユーザー確認です。
契約執行準拠法、管轄、仲裁、差止め、証拠収集、損害賠償の実効性です。
サイバー海外拠点のセキュリティ、リモートアクセス、ログ保管、政府アクセスリスクです。
労務・税務現地労働法、個人請負、海外送金、源泉税、移転価格、PEリスクです。
Section 06

サイバー・労務・取引適正化を踏まえた再委託リスク管理

リスク区分、セキュリティ審査、偽装請負、フリーランス、取引適正化を確認します。

再委託先の審査強度は一律ではなく、情報、業務、アクセス、所在地、再々委託の有無で変える必要があります。リスクベースで設計することで、低リスク業務を過度に重くせず、高リスク業務を形式審査で通すことを避けられます。次の表から、リスク区分ごとの承認者と審査水準を読み取ってください。

リスク区分審査水準
公開情報のみを扱う補助業務です。反社確認、基本契約、秘密保持を確認します。
一般的な制作、翻訳、印刷、簡易データ入力です。チェックシート、秘密保持、アクセス制限、削除証明を確認します。
個人データ、顧客情報、ソースコード、社内システムアクセスです。セキュリティ審査、契約条項、監査権、事故対応条項を確認します。
重大金融、医療、決済、重要インフラ、大量個人データ、営業秘密です。経営承認、詳細審査、現地監査または第三者報告書、BCP、再々委託禁止を検討します。

次の一覧は、労務・フリーランス・取引適正化で問題になりやすい点を表します。再委託管理は情報管理だけではなく、作業者への指揮命令や中小事業者への負担転嫁にも関わります。各項目から、現場運用と取引条件の両方を確認してください。

労務

偽装請負・派遣リスク

委託元が再委託先作業者へ直接作業指示、勤怠管理、評価を行う運用は避けます。

Freelance

フリーランスへの再委託

取引条件明示、報酬支払、禁止行為、ハラスメント対策、無償対応要求を確認します。

Fair

取引適正化

2026年1月1日施行の取適法も踏まえ、仕様変更、短納期、監査要求、セキュリティ要求が再委託先へ不当に転嫁されないかを見ます。

Section 07

監査・報告・契約条項・社内承認を再委託管理に組み込む

承認後のモニタリング、有事報告、監査権、社内承認フローを整理します。

再委託を承認した後は、平時の報告と有事の報告を分けて設計します。承認時だけ詳しく確認しても、その後の変更や事故時の情報が取れなければ統制は形だけになります。次の時系列から、承認後に継続すべき確認を読み取ってください。

承認時

申請事項と契約義務を確定します

再委託先、業務範囲、情報、同等以上義務、再々委託、事故報告、監査を定めます。

平時

一覧・監査・是正を継続します

再委託先一覧、所在地、権限、教育、監査結果、事故・ヒヤリハットを定期確認します。

変更時

変更通知または再承認を求めます

再委託先、業務範囲、所在地、再々委託、情報範囲、海外アクセスの変更を確認します。

有事

初報・証拠保全・調査協力を動かします

事故認識からの期限、第一報事項、ログ提出、公表協議、当局報告協力を実行します。

次の表は、社内承認で誰が何を確認するかを表します。複数部門が関わるのは、再委託が契約、個人情報、セキュリティ、知財、労務、税務を横断するためです。各役割から、案件リスクに応じた承認経路を確認してください。

役割主な確認事項
事業部門再委託の必要性、業務範囲、品質、納期、代替可能性です。
法務部門契約条項、責任、損害賠償、解除、準拠法、業法です。
個人情報保護担当個人データ、委託先監督、再委託先管理、越境移転です。
情報セキュリティ担当アクセス権限、ネットワーク、ログ、端末、インシデント対応です。
知財・労務・調達成果物権利、秘密情報、偽装請負、取引条件、反社確認です。
経営層大量個人データ、海外再委託、重要インフラ、事業継続リスクです。

次の表は、リスク区分ごとの承認権限を表します。誰が承認するかを明確にすることは、重要データや海外再委託を現場判断だけで通さないために重要です。各行から、案件の重さに応じて法務、個人情報、セキュリティ、経営層をどこで入れるかを読み取ってください。

リスク区分承認者
低リスク事業部門長または契約担当公開情報のみを扱う補助業務です。
中リスク法務・購買承認一般的な制作、翻訳、印刷です。
高リスク法務、個人情報保護、セキュリティ承認個人データ、社内システムアクセス、秘密情報です。
重大リスク経営会議または役員承認大量個人データ、金融・医療・決済、海外再委託、重要インフラです。

次の表は、再委託承認条項でモデル化しやすい契約条項の方向性を表します。条項例をそのまま使うのではなく、案件に合わせて調整することが重要です。各行から、承認、義務、責任、変更、海外再委託をどの条項で支えるかを読み取ってください。

条項実務上の方向性
原則禁止・事前承認委託元の事前書面承認なく再委託を認めず、全部または主要部分の再委託を制限します。
承認申請事項再委託先、所在地、作業拠点、業務内容、期間、情報、再々委託、安全管理、監督方法を提出させます。
同等以上義務秘密保持、個人情報、安全管理、目的外利用禁止、監査協力、削除、法令遵守を再委託先へ負わせます。
委託先の責任維持再委託先の行為・不作為を委託先の行為・不作為と同様に扱います。
個人データ取扱状況、安全管理、作業者、作業場所、保管場所、アクセス権限を報告させます。
再々委託制限再々委託も事前書面承認制にし、同等の管理義務を委託先へ負わせます。
変更・中止・解除合理的理由がある場合に再委託停止、再委託先変更、是正、アクセス停止、解除を求められるようにします。
海外再委託所在国、データ保存場所、アクセス可能国、個人情報保護、輸出管理、制裁、安全管理を開示させます。
Section 08

典型事例・禁止パターン・判断マトリクスで再委託承認を見極める

業務類型ごとの重点条件と、承認してはいけない危険信号を整理します。

再委託は業務類型によって承認条件が変わります。テスト工程、コールセンター、広告、給与計算、クラウドでは扱う情報と事故時の影響が異なるためです。次の一覧から、典型事例ごとの重点条件を読み取ってください。

システム開発のテスト工程

本番データを避け、匿名化・仮名化、ソースコード権限最小化、作業者特定、ログ保存、OSS・生成AI制限を確認します。

コールセンター夜間対応

オペレーター教育、通話録音、画面アクセス制限、在宅対応、本人確認、苦情エスカレーションを確認します。

広告代理店の制作・解析

広告タグ、外部送信、個人関連情報、著作権、生成AI、未公開キャンペーン情報を確認します。

給与計算BPO

マイナンバー、銀行口座、健康情報、作業場所、印刷、暗号化送受信、削除証明を厳格に確認します。

クラウドのサブプロセッサ

一覧、変更通知、異議申立て、同等義務、保存国、アクセス国、DPA、監査報告書を確認します。

次の表は、再委託を承認すべきでない典型パターンを表します。読者にとって重要なのは、承認しない判断も委託先管理の一部である点です。各行から、承認前に是正を求めるべき危険信号を確認してください。

危険信号理由
再委託先名を開示しません情報管理、監査、事故対応、責任追跡が難しくなります。
業務範囲が曖昧です主要部分の丸投げや想定外アクセスを見落とします。
個人データを扱うのに安全管理を説明できません委託先監督義務や漏えい時対応に支障が出ます。
再々委託が自由ですサプライチェーンが無制限に広がります。
海外拠点や保存国が不明です越境移転、輸出管理、政府アクセス、執行可能性が確認できません。
事故報告期限が曖昧です本人通知、当局報告、証拠保全が遅れる可能性があります。
成果物の権利が再委託先に残ります委託元が成果物を自由に利用できないリスクがあります。
Section 09

委託先の再委託を認める際の実務チェックリスト

承認申請書、台帳、社内規程、終了時確認、最終判断基準を整理します。

最終的な実務では、チェックリストと社内規程に落とし込むことで、担当者ごとの差を減らします。承認申請書、再委託先台帳、定期監査、終了時確認をつなげることが重要です。次の一覧から、規程や申請書に入れるべき項目を読み取ってください。

承認申請書

契約名、委託先、再委託先、所在地、作業拠点、理由、業務、期間、情報、個人データ、海外アクセス、再々委託を記載します。

申請

再委託先台帳

承認日、承認者、リスク区分、契約書、NDA、監査日、是正事項、終了日、削除確認日を管理します。

台帳

社内規程

再委託の定義、承認制、リスク区分、個人情報・秘密情報・海外の追加条件、例外承認、内部監査を定めます。

規程

終了時確認

データ返還、削除証明、アクセス停止、バックアップ残存、再委託先の削除を確認します。

終了

次の重要ポイントは、再委託を認めるかどうかの最終判断を表します。読者にとって重要なのは、条件を満たせない場合に承認しないという選択を明確に持つことです。この整理から、承認前の条件追加や契約修正の必要性を読み取ってください。

把握できず、義務を流し込めず、監督できないなら承認しません

逆に、再委託先、業務、情報、作業場所、義務、責任、事故時の調査、再々委託制限、承認後の確認を契約と運用で確保できる場合に限り、条件付きで承認できます。

Section 10

委託先の再委託を認める際のFAQ

再委託禁止条項、委託先責任、クラウド、契約確認、承認後の取消しを整理します。

Q1. 契約書に再委託禁止条項がない場合、委託先は自由に再委託できますか。

一般的には、自由とは限りません。契約類型、業務内容、信頼関係、個人情報・秘密情報の有無、法令、業界規制、契約の趣旨によって結論が変わる可能性があります。具体的な可否は契約書と運用実態を確認する必要があります。

Q2. 再委託を承認したら、委託先の責任は軽くなりますか。

一般的には、軽くすべきではありません。再委託を承認しても、契約相手である委託先が再委託先の行為・不作為について責任を負う設計が基本です。ただし、契約条項によって扱いは変わります。

Q3. 個人情報を扱わないなら、再委託管理は不要ですか。

一般的には、不要ではありません。個人情報がなくても、営業秘密、技術情報、知的財産、品質、納期、サイバーセキュリティ、偽装請負、取引適正化の問題があります。案件リスクに応じて管理水準を決める必要があります。

Q4. クラウド事業者のサブプロセッサまで個別承認が必要ですか。

一般的には、全件個別承認とは限りません。サブプロセッサ一覧、変更通知、異議申立て、同等義務、データ保存国、アクセス国、認証、監査報告書で統制する方法があります。ただし、金融、医療、大量個人データ、重要インフラではより厳格な確認が必要です。

Q5. 再委託先との契約書を委託元が直接確認すべきですか。

一般的には、高リスク案件では確認する必要性が高くなります。全文開示が難しい場合でも、該当条項の抜粋、証明書、監査報告書、DPA、サブプロセッサ契約の要旨を求める方法があります。

Q6. 再委託先を企業秘密として開示しないと言われた場合はどうしますか。

一般的には、重要業務では承認しにくい状態です。少なくとも、所在国、業務範囲、契約上の義務、第三者監査報告書、事故対応、変更通知を確認できる仕組みが必要です。確認不能な場合は承認しない判断も検討します。

Q7. 再委託を承認した後に取り消せますか。

一般的には、契約で停止・変更要求権、是正要求権、解除権を定めておけば対応しやすくなります。重大事故、法令違反、セキュリティ不備、監査拒否、品質低下がある場合には、個別事情に応じた検討が必要です。

Reference

この記事の参考資料

公的資料・法令

  • e-Gov法令検索「民法」
  • 法務省「民法の一部を改正する法律(債権法改正)について」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」
  • 経済産業省「営業秘密を守り活用する」
  • 経済産業省「営業秘密管理指針」
  • 経済産業省「秘密情報の保護ハンドブック」
  • 経済産業省「技術流出対策ハンドブック」
  • 経済産業省「サイバーセキュリティ経営ガイドライン Ver.3.0」
  • 厚生労働省「労働者派遣・請負を適正に行うためのガイド」
  • 厚生労働省・公正取引委員会等「フリーランス・事業者間取引適正化等法」関連資料
  • 公正取引委員会「中小受託取引適正化法(取適法)関係」