再委託を禁止するだけでなく、承認、可視化、同等義務、監査、事故報告、証拠保全、削除証明、責任分担を一体で設計するための実務ポイントを整理します。
再委託を許す前に、情報の流れ、責任、事故対応、終了時管理まで一体で確認します。
再委託を許す前に、情報の流れ、責任、事故対応、終了時管理まで一体で確認します。
再委託による情報漏えいリスクを抑える契約条項では、再委託を禁止する一文だけでなく、承認、可視化、同等義務、監査、事故報告、証拠保全、返還・削除、責任分担を組み合わせることが重要です。外部委託が当たり前になった企業活動では、委託先の先にいる事業者が個人情報、営業秘密、認証情報、ソースコード、未公表情報に触れる場面が増えるためです。
次の重要ポイントは、このページ全体で扱う実務設計の中心を表しています。再委託を認めるかどうかの判断だけでなく、情報がどの相手にどの範囲で渡るのかを読むことが、契約レビューの出発点になります。
再委託を許す場合でも、委託元が知らない相手に、委託元が知らない情報を、委託元が知らない目的・場所・方法で扱わせない設計にします。
再委託で情報漏えいリスクが高まる理由は、関係者の数だけでは説明できません。次の一覧は、リスクが増幅する五つの構造を並べたものです。左から順に、委託元が見失いやすい対象、事故時に遅れやすい対応、契約で補うべき統制を読み取れます。
再委託先、再々委託先、海外拠点、外部SaaS、個人事業主が関与すると、誰がどの情報に触れるかを把握しにくくなります。
委託元と再委託先に直接契約がない場合、監査、削除、是正、損害賠償、証拠保全の指示が届きにくくなります。
再委託先から委託先、委託先から委託元へ報告が流れるため、期限を定めないと法定報告や本人通知に支障が出ます。
委託先が十分な体制を持っていても、再委託先の端末管理、教育、ログ、暗号化、廃棄管理が同じとは限りません。
委託先が再委託先の行為について責任を負う条項がなければ、事故後に責任範囲が争われる可能性があります。
契約書は事故後の請求手段にとどまりません。事故を起こさないために、承認申請、台帳、監査、訓練、削除証明まで連動させる運用設計書として位置付ける必要があります。
委託、再委託、本件情報、情報漏えいの範囲を広く定義することが出発点です。
まず、契約条項で使う言葉の範囲をそろえる必要があります。次の比較表は、再委託による情報漏えいリスクを抑える契約条項で定義すべき基本概念を示しています。列ごとに、対象となる行為、典型例、契約で押さえる点を分けて読むと、どこを広く定義すべきかが分かります。
| 概念 | 意味 | 典型例 | 契約上の要点 |
|---|---|---|---|
| 委託 | 自社業務の全部または一部を外部事業者に任せること | システム保守、クラウド運用、給与計算、問い合わせ対応、DM発送、データ分析 | 契約名にかかわらず、委託先が自社情報を扱うなら情報管理条項を置きます。 |
| 再委託 | 委託先が受けた業務をさらに第三者に任せること | 夜間サポート、海外開発、配送、監視、外部SaaS、フリーランス利用 | 名目を問わず第三者を業務に関与させる行為として広く定義します。 |
| 情報漏えい | 本来アクセスできない者に情報が渡り、閲覧され、利用され、または外部に流出すること | 誤送信、クラウド設定ミス、持ち出し、マルウェア、ランサムウェア、廃棄不備 | 漏えい確定だけでなく、おそれ、滅失、毀損、不正アクセス、目的外利用も報告対象にします。 |
| 本件情報 | 委託業務に関連して取得、生成、閲覧、保管、加工される一切の情報 | 個人データ、仮名加工情報、匿名加工情報、営業秘密、技術情報、認証情報、ログ、派生データ | 複製物、バックアップ、学習データ、紙媒体、外部記録媒体まで対象に含めます。 |
再委託は品質、速度、専門性、コスト効率を改善することもあります。一方で、委託元が再委託の有無、範囲、相手、情報の種類、アクセス権限、保管場所、事故対応を把握できなければ、情報だけが先に移転してしまいます。
次の判断の流れは、再委託を認める前に確認する順番を表しています。上から順に、承認の入口、情報の範囲、安全管理、事故対応、責任分担を確認し、どこかで不十分なら承認条件を追加するか、再委託を認めない方向で検討します。
再委託先の名称、所在地、担当業務、再々委託の有無を確認します。
個人情報、営業秘密、認証情報、ソースコード、ログ、紙媒体の有無を確認します。
アクセス権限、暗号化、ログ、端末、教育、廃棄、監査可能性を見ます。
同等義務、報告期限、削除証明、監査協力を契約に入れます。
情報の最小化、アクセス遮断、代替先、追加監査を求めます。
個人情報保護法、営業秘密、越境移転、サプライチェーン管理を契約に反映します。
個人データの取扱いを委託する場合、委託元には委託先への必要かつ適切な監督が求められます。再委託がある場合も、再委託先、再委託業務の内容、取扱方法について事前報告または承認を求め、必要に応じて監査する発想が重要です。
次の比較表は、再委託による情報漏えいリスクを抑える契約条項で反映すべき法令・ガイドライン上の主要論点を整理したものです。左から、論点、実務上の意味、契約に入れるべき文言の方向性を確認できます。
| 論点 | 実務上の意味 | 契約条項での反映 |
|---|---|---|
| 委託先監督 | 委託先に任せても委託元の監督責任は消えません。 | 選定、契約、取扱状況把握、再委託先の報告・承認・監査を定めます。 |
| 委託と第三者提供 | 委託の範囲を超えて利用させることはできません。 | 本件業務に必要な範囲に限定し、AI学習、広告配信、統計化、二次利用を個別承認制にします。 |
| 漏えい等報告 | 要配慮個人情報、財産的被害、不正目的、1,000人超などでは報告・本人通知が問題になります。 | 事故またはおそれの認識後直ちに、遅くとも24時間以内の第一報を求めます。 |
| 速報と確報 | 速報はおおむね3〜5日以内、確報は原則30日以内、不正目的のおそれなどは60日以内が目安です。 | 委託元が法定期限に間に合うよう、契約上の内部報告期限を短くします。 |
| 外国再委託 | 保管国だけでなく、アクセス元、外国制度、政府アクセス、本人対応が問題になります。 | 国・地域、取扱主体、保管場所、法的根拠、相当措置、継続的確認を承認事項にします。 |
| 営業秘密 | 有用性、秘密管理性、非公知性が問題になります。 | 秘密表示、アクセス者限定、複製制限、持出し禁止、返還・削除、差止め・賠償を定めます。 |
| サプライチェーン | 委託先の弱点が委託元の事故につながります。 | 委託先・再委託先のセキュリティ水準、認証、報告、監査、是正を契約と運用に落とします。 |
17の条項と簡易パッケージを、承認から削除証明までつなげて設計します。
再委託による情報漏えいリスクを抑える契約条項は、入口規制から終了時管理までを一体で設計すると抜け漏れを減らせます。次の比較表は、七つの層ごとに契約で何を決めるかを示しています。上から順に、承認前、運用中、事故時、終了時へと進む読み方です。
| 層 | 目的 | 契約で定める主な事項 |
|---|---|---|
| 入口規制 | 無断再委託を防ぐ | 原則禁止、事前承認、承認拒否・条件付承認、承認が責任を軽減しないこと |
| 可視化 | 相手・情報・場所を把握する | 名称、所在地、担当業務、取扱情報、アクセス権限、保管場所、海外移転、認証、過去事故 |
| 同等義務 | 義務を再委託先まで届ける | 秘密保持、安全管理、目的外利用禁止、報告、監査、返還・削除、責任条項 |
| 監督・監査 | 契約と実態のずれを見つける | 定期報告、書面監査、オンライン監査、現地監査、第三者監査報告書、是正措置 |
| インシデント対応 | 初動遅れを防ぐ | 24時間以内の第一報、証拠保全、調査協力、本人通知・行政報告・顧客対応への協力 |
| 責任分担 | 責任逃れを防ぐ | 再委託先の行為への受託者責任、損害賠償、責任制限の例外、保険、解除 |
| 終了時管理 | 残存データを消す | 返還、削除、消去証明、バックアップ、ログ、派生データ、学習データ、紙媒体の扱い |
次の折りたたみ一覧は、契約書に入れる中核条項を条項番号順に整理したものです。各項目を開くと、条項が何を拘束し、なぜ情報漏えい防止に効くのかを確認できます。
再委託、再委託先、本件情報を広く定義します。派遣、外部SaaS、関連会社、フリーランス、再々委託が抜け落ちないよう、名目を問わず第三者を本業務に関与させることを含めます。
委託者の事前書面承認なく再委託できないと定めます。申請事項には、名称、所在地、業務内容、必要性、取扱情報、アクセス範囲、保管場所、再々委託、安全管理、認証、過去事故、外国取扱いを含めます。
継続的サービスやSaaSでは、別紙の承認済み一覧で管理します。変更、追加、業務範囲拡大は原則として事前通知と承認の対象にし、合理的理由があれば利用停止や撤回を求められるようにします。
秘密保持、目的外利用禁止、安全管理、漏えい報告、監査協力、記録保存、返還・削除、損害発生時の協力を再委託先にも同等以上で負わせます。契約書、誓約書、セキュリティ要件書、証明書で確認できるようにします。
再委託先の行為または不作為を、受託者自身の行為または不作為と同一に扱う責任条項を置きます。調査費用、通知費用、行政対応費用、信用回復費用など合理的費用も対象にします。
本件情報は本業務に必要な範囲に限定します。統計化、AI学習、広告配信、データ結合、二次利用は個別承認がない限り禁止し、再委託先へ渡す情報を必要最小限にします。
組織的、人的、物理的、技術的安全管理措置を列挙します。責任者、アクセス権限、多要素認証、暗号化、ログ、私物端末制限、脆弱性管理、入退室管理、教育、訓練を具体化します。
ISO/IEC 27001、ISO/IEC 27017、SOC 2、ISMAP、プライバシーマーク、脆弱性診断、チェックシートなどを確認資料にします。認証の適用範囲、対象サービス、除外範囲、更新状況も確認します。
取扱状況、再委託先管理、安全管理、ログ、教育、事故、是正措置を報告対象にします。監査は書面、オンライン、現地、第三者報告書の確認を組み合わせます。
漏えい確定だけでなく、おそれ、不正アクセス、目的外利用、無断複製、誤送信、マルウェア、ランサムウェア、再委託先の管理不備を報告対象にします。第一報は直ちに、遅くとも24時間以内とします。
ログ、通信記録、端末、記憶媒体、メール、チケット、設定情報、監査証跡を改変・削除・破棄しない義務を置きます。フォレンジック専門家等への協力も想定します。
外国への移転、保管、アクセス、外国所在の再委託先利用は事前承認制にします。国・地域、取扱主体、外国制度、政府アクセス可能性、安全管理、本人対応を説明させます。
再委託先がさらに第三者へ出す場合も、委託者の事前書面承認を必要とします。階層、業務範囲、取扱情報、所在地、連絡先、安全管理を記録します。
契約終了時、指示時、不要化時に、複製物、派生データ、バックアップ、ログ、作業用データ、学習データ、紙媒体、外部記録媒体まで返還・削除・消去し、再委託先の完了証明を取得します。
個人情報漏えい、営業秘密漏えい、無承認再委託、目的外利用、法令違反、故意・重過失は、通常の責任上限から除外する設計を検討します。
サイバー保険、個人情報漏えい保険、第三者賠償、事故対応費用を対象とする保険を確認します。再委託先の保険加入状況も、業務と情報の重要性に応じて確認します。
無承認再委託、重大な安全管理違反、漏えい等、目的外利用、法令違反、監査拒否、虚偽報告がある場合に、再委託停止、アクセス遮断、是正措置、解除を求められるようにします。
実務では、すべての詳細条項を毎回同じ粒度で入れるのではなく、業務と情報の重要性に応じて組み合わせます。次の一覧は、最低限まとめて検討したい条項群を示しています。順番は、承認、義務付け、責任、安全管理、事故報告、監査、削除、責任制限の例外という実装順です。
事前書面承認、申請事項、外国取扱い、再々委託の有無を明記します。
秘密保持、目的外利用禁止、安全管理、報告、監査、返還・削除を同等以上で負わせます。
再委託先の行為・不作為について、受託者が自己の行為と同一に責任を負います。
安全管理措置、24時間以内の事故第一報、監査協力、消去証明、責任制限の例外を束ねます。
システム、SaaS、BPO、人事労務、物流、研究開発ごとに条項を調整します。
同じ再委託でも、業務類型によって漏えいしやすい情報と必要な制御は変わります。次の一覧は、業務ごとの重点論点をまとめたものです。各行では、左側の業務名から、中央の主な情報、右側の契約・運用上の重点へ読み進めると、条項の調整ポイントが分かります。
| 業務類型 | 主な情報・リスク | 調整ポイント |
|---|---|---|
| システム開発・保守 | ソースコード、設計書、本番データ、APIキー、認証情報、脆弱性情報 | 開発環境と本番環境の分離、本番データ利用禁止、認証情報共有禁止、リポジトリ権限、退職者アカウント削除 |
| SaaS・クラウド | サブプロセッサー、データ保存国、サポートアクセス、ログ、バックアップ | 再委託先リスト、変更通知、異議申立権、第三者監査報告書、削除、エクスポート |
| コールセンター・BPO | 顧客情報、購買履歴、本人確認情報、録音データ | 画面表示制限、紙メモ禁止、私物端末禁止、CSV出力制限、大量ダウンロード検知、教育 |
| 給与計算・人事労務 | 従業員情報、扶養家族情報、健康情報、給与、口座、税、社会保険、マイナンバー | 原則禁止または厳格な承認制、特定個人情報の再委託許諾、間接監督、削除証明 |
| 物流・印刷・発送 | 氏名、住所、電話番号、購入商品、配送伝票、紙媒体 | 保管、封入検査、誤配送報告、廃棄証明、配送ラベルの情報最小化 |
| 研究開発・製造委託 | 営業秘密、ノウハウ、設計図、試験データ、サンプル、金型、未公開特許 | 再委託禁止、施設・人員限定、写真撮影禁止、成果物帰属、競合先への再委託禁止、差止め |
交渉では、委託元が強く締めればよいわけではなく、委託先の標準サービスや中小企業の運用可能性も踏まえる必要があります。次の一覧は、立場ごとに重視すべき対応を示しています。比較して読むと、契約条項と運用現実の折り合いを付ける視点が分かります。
契約前審査、再委託先リスト、取扱情報、過去事故、海外移転、認証、保険、定期報告、監査、訓練を連動させます。
標準DPA、第三者監査報告書、セキュリティ説明資料、責任上限、監査方法の限定、合理的な通知期間を提案します。
重要情報を扱う委託先の台帳化、再委託確認、承認制、24時間以内報告、削除証明、年1回のチェックシート確認から始めます。
申請書とレビュー項目は、契約条項を実際に動かすための管理票です。次の比較表は、承認時に最低限確認したい項目を並べています。項目名だけでなく、右列の確認内容まで埋めることで、会社名だけの形式的承認を避けられます。
| 項目 | 確認内容 |
|---|---|
| 基本情報 | 名称、所在地、代表者、連絡先、資本関係 |
| 必要性・業務範囲 | 再委託が必要な理由、代替手段、期間、場所、担当範囲 |
| 取扱情報・アクセス | 個人情報、営業秘密、認証情報、ソースコード、閲覧、編集、保存、ダウンロード、管理者権限 |
| 保管場所・海外移転 | 国内外データセンター、クラウド、端末、紙媒体、国・地域、外国法制度、本人対応 |
| 再々委託・安全管理 | 再々委託の有無、認証、アクセス制御、暗号化、ログ、教育、廃棄、過去事故 |
| 契約措置・保険 | 同等義務、監査、事故報告、削除、責任条項、サイバー保険、賠償責任保険 |
契約レビューでは、基本条項、情報管理、安全管理・監査、事故対応、終了時・責任の五群に分けて確認します。再委託の定義、承認済みリスト、目的外利用制限、組織的・人的・物理的・技術的安全管理、24時間以内の第一報、証拠保全、消去証明、責任制限の例外を重点的に見ます。
包括承諾、責任逃れ、期限なし報告、抽象的安全管理、低すぎる責任上限を避けます。
危険な条項は、短く見えても事故時の統制を失わせます。次の比較表は、避けたい表現と、その問題点、修正方向を並べています。左列の文言を見つけたら、右列のように承認、責任、期限、具体的措置へ置き換える視点で読みます。
| 危険な表現 | 問題点 | 修正方向 |
|---|---|---|
| 必要に応じて第三者に再委託できる | 誰に、どの業務を、どの情報を扱わせるか不明です。 | 事前承認、申請事項、承認条件、監査、責任を定めます。 |
| 再委託先の行為について責任を負わない | 委託元が実効的な救済を受けにくくなります。 | 再委託先の行為を受託者の行為と同一に扱います。 |
| 情報漏えいが発生した場合に報告する | 期限と「おそれ」の扱いが不明です。 | 認識後直ちに、遅くとも24時間以内の第一報を定めます。 |
| 適切な安全管理措置を講じる | 事故後に何が義務だったか争われます。 | アクセス制御、暗号化、ログ、教育、端末管理、削除、監査を列挙します。 |
| 責任は直近1か月分の委託料を上限とする | 重要情報の漏えい費用に比べて上限が低すぎる可能性があります。 | 個人情報、営業秘密、無承認再委託、故意・重過失、目的外利用を例外にします。 |
契約条項は、台帳、審査、監督、訓練、契約管理とつながって初めて機能します。次の時系列は、契約前から終了後までの運用順序を示しています。上から順に実施し、変更・事故・終了のタイミングで再確認する読み方です。
取扱情報、個人データ、営業秘密、再委託先、海外移転、認証、保険、事故履歴を確認します。
年1回以上の確認、再委託先変更時の承認、高リスク委託先の重点監査を行います。
委託先の営業担当だけでなく、セキュリティ責任者、法務、広報、個人情報保護担当、経営層への連絡体制を確認します。
再委託先を含め、データ返還・削除・消去証明、アカウント削除、台帳更新を確認します。
役割分担として、法務は契約条項と責任制限、個人情報保護担当は委託先監督と本人通知、情報システム・セキュリティ担当はアクセス制御とインシデント対応、内部監査は契約と運用の一致、公認会計士や監査役等はガバナンス上の妥当性、知財担当は営業秘密・ソースコード・発明の流出防止を確認します。
よくある疑問を一般情報として整理します。個別の判断は資料をもとに専門家へ確認する必要があります。
一般的には、完全禁止だけでは十分とはいえない場合があります。クラウド、配送、保守、監視など再委託が実務上避けにくい業務もあり、無承認再委託が起きる可能性もあります。ただし、業務内容や情報の性質によって結論は変わります。具体的な対応は、契約書と運用実態を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、重要情報を扱う場合や委託先の信用力が限定的な場合、三者契約、直接誓約書、直接監査権、直接削除指示を検討することがあります。ただし、通常は委託先が再委託先を管理し、委託先が責任を負う構造が基本になります。個別の設計は、取扱情報、交渉力、業務継続性によって変わります。
一般的には、関連会社であっても別法人であり、情報管理体制、所在地、従業員、システム、適用法令が異なることがあります。そのため、契約上は再委託または外部処理として管理対象に含める設計が多いです。グループ内ルールの有無によって必要な条項は変わります。
一般的には、委託先が本業務のためにクラウド基盤や外部SaaSを使い、委託元情報が保存またはアクセスされる場合、再委託または外部サービス利用として管理対象にすることがあります。ただし、標準クラウドのすべてを個別承認にするのが困難な場合は、承認済み外部サービス一覧で管理する方法も考えられます。
一般的には、重要情報を扱う契約では第一報を「直ちに、遅くとも24時間以内」とする例があります。重大事故、不正アクセス、ランサムウェア、個人データ大量漏えいのおそれがある場合は、電話等で即時連絡させる設計も考えられます。ただし、契約類型や体制によって合理的な期限は変わります。
一般的には、軽微な業務で責任上限を設けることはあります。一方、個人情報、営業秘密、認証情報、重要システムを扱う場合、情報漏えい、無承認再委託、故意・重過失、目的外利用、法令違反を責任制限の例外にする設計が検討されます。具体的な上限は損害規模と保険の有無を踏まえて判断します。
一般的には、すべての再委託先を現地監査する必要はありません。リスクに応じて、書面監査、チェックシート、第三者監査報告書、認証確認、重要再委託先の現地確認を組み合わせる方法があります。契約上は監査権を確保し、運用ではリスクベースで実施することが多いです。
一般的には、漏えいの有無、対象情報、件数、影響範囲、原因、封じ込め状況、ログ保全、アクセス停止、法定報告・本人通知の要否を確認する必要があります。ただし、個別事案の対応方針は、事故態様、証拠、契約、法令の適用関係で変わります。具体的には弁護士等の専門家に相談する必要があります。