2σ Guide

再委託を原則禁止にするか
条件付き許可にするかの判断

業務委託契約で再委託をどう扱うべきか、契約実務、個人情報保護、サプライチェーン、クラウド、取引適正化の観点から整理します。

5判断軸
4条項パターン
16+禁止基本の目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

再委託を原則禁止にするか 条件付き許可にするかの判断

業務委託契約で再委託をどう扱うべきか、契約実務、個人情報保護、サプライチェーン、クラウド、取引適正化の観点から整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
再委託を原則禁止にするか 条件付き許可にするかの判断
業務委託契約で再委託をどう扱うべきか、契約実務、個人情報保護、サプライチェーン、クラウド、取引適正化の観点から整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 再委託を原則禁止にするか 条件付き許可にするかの判断
  • 業務委託契約で再委託をどう扱うべきか、契約実務、個人情報保護、サプライチェーン、クラウド、取引適正化の観点から整理します。

POINT 1

  • 再委託を原則禁止にするか条件付き許可にするかの判断の全体像
  • 全面禁止でも自由許可でもなく、業務・情報・統制可能性を分けて決める考え方です。
  • 高リスク領域は原則禁止、業務上必要な領域は条件付き許可
  • 委託業務の性質
  • 情報・資産の重要性

POINT 2

  • 再委託を原則禁止にするか条件付き許可にするかの判断で押さえる定義
  • 名称よりも、受託者が第三者を使って委託業務を履行している実態を見ます。
  • 再委託とは、委託者から業務を受けた受託者が、その業務の全部または一部をさらに第三者に委託することをいいます。
  • A社がB社にシステム開発を委託し、B社が画面デザイン部分をC社に委託する場合、C社への委託が再委託です。
  • 実務では、再委託、外注、下請、協力会社利用、サブコントラクター、サブプロセッサー、復委任、再々委託などの言葉が混在します。

POINT 3

  • 再委託を原則禁止にするか条件付き許可にするかの判断が重要な理由
  • 品質・納期
  • 実作業者の技術力や体制が見えないと、成果物品質や納期の期待が崩れます。
  • 情報漏えい
  • 秘密情報、顧客情報、設計情報、ソースコード、価格情報が再委託先へ広がります。

POINT 4

  • 再委託を原則禁止にするか条件付き許可にするかの判断パターン
  • 1. 業務の中核性を確認:人的信頼、専門判断、ブランド信用が契約の前提かを見ます。
  • 2. 重要情報・管理権限の有無を確認:個人情報、マイナンバー、営業秘密、本番環境、管理者権限を確認します。
  • 3. 原則禁止+個別承諾:承認条件、監査、再々委託制限、役員承認を検討します。
  • 4. 条件付き許可:再委託先一覧、同等義務、変更通知、受託者責任で透明化します。

POINT 5

  • 個人情報・クラウドで再委託を原則禁止にするか条件付き許可にするかの判断
  • 個人データ、マイナンバー、海外再委託、サブプロセッサーでは監督方法を具体化します。
  • 個人情報を取り扱う委託契約では、再委託条項は特に重要です。
  • 読者にとって重要なのは、承諾の有無だけではなく、選定、契約、監査、終了時対応までつながっている点です。
  • 自社のひな形で抜けている項目を読み取ってください。

POINT 6

  • サプライチェーンで再委託を原則禁止にするか条件付き許可にするかの判断
  • サイバーセキュリティ、取引適正化、フリーランス、下請構造を合わせて管理します。
  • 実態に合う設計
  • 取引適正化
  • フリーランス起用

POINT 7

  • 原則禁止にすべき再委託と条件付き許可にすべき再委託の判断基準
  • 人的信頼が中核
  • 専門判断、経営助言、不祥事調査、セキュリティ診断、研究開発などは担当者や専門性が成果を左右します。
  • 重要情報・機微情報
  • 個人情報、要配慮情報、特定個人情報、営業秘密、ソースコード、秘密鍵、未公表情報は厳格に扱います。

POINT 8

  • 再委託を条件付き許可にする契約条件
  • 事前開示、同等義務、受託者責任、再々委託、変更通知、解除を条項化します。
  • 同等以上の義務
  • 知的財産
  • 事故報告

まとめ

  • 再委託を原則禁止にするか 条件付き許可にするかの判断
  • 再委託を原則禁止にするか条件付き許可にするかの判断の全体像:全面禁止でも自由許可でもなく、業務・情報・統制可能性を分けて決める考え方です。
  • 再委託を原則禁止にするか条件付き許可にするかの判断で押さえる定義:名称よりも、受託者が第三者を使って委託業務を履行している実態を見ます。
  • 再委託を原則禁止にするか条件付き許可にするかの判断が重要な理由:再委託条項は、品質・情報・個人情報・サイバー・監査をつなぐ基幹条項です。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

再委託を原則禁止にするか条件付き許可にするかの判断の全体像

全面禁止でも自由許可でもなく、業務・情報・統制可能性を分けて決める考え方です。

再委託条項は、業務委託契約の末尾に置かれる短い文言で済まされがちです。しかし設計を誤ると、情報漏えい、品質事故、納期遅延、知的財産権の帰属不明、個人情報保護法上の委託先監督不備、海外移転規制違反、下請構造の不透明化、監査不能、事故時の責任追及困難が重なります。

企業法務では、すべての取引で機械的に全面禁止または自由許可とするのではなく、リスクが高い領域では原則禁止、通常の商流や技術的必要性がある領域では条件付き許可とするのが実務的です。個別案件の結論は、契約書、業務内容、データの種類、当事者属性、適用法、業界規制によって変わるため、具体的な対応は弁護士等の専門家に相談する必要があります。

次の強調表示は、このページで扱う判断の結論を表しています。なぜ重要かというと、再委託の可否だけを見ても統制は不十分で、どのリスクを受託者に管理させるかまで決める必要があるためです。ここからは、高リスク領域、通常業務、クラウド型サービスで分岐する点を読み取ってください。

高リスク領域は原則禁止、業務上必要な領域は条件付き許可

重要情報、人的信頼、事故影響、監督可能性、責任追跡可能性を確認し、承諾条件・同等義務・再々委託制限・事故報告・削除確認まで契約と運用に落とし込みます。

次の一覧は、再委託判断で最初に確認する五つの観点です。読者にとって重要なのは、法務、情報セキュリティ、個人情報保護、購買、事業部が同じ順番でリスクを確認できる点です。各項目のうち一つでも高リスクに寄る場合は、簡易な通知制では足りない可能性があると読み取ってください。

Axis 01

委託業務の性質

人的信頼が中心か、成果物完成が中心か、定型作業か、専門判断を伴うかを確認します。

Axis 02

情報・資産の重要性

個人情報、マイナンバー、営業秘密、未公開情報、基幹システム情報を扱うかを確認します。

Axis 03

再委託の必要性

受託者単独で履行できるのか、専門会社、クラウド、協力会社の利用が不可欠なのかを確認します。

Axis 04

統制可能性

再委託先の名称、所在地、業務範囲、安全管理措置、再々委託、監査体制を把握できるかを確認します。

Axis 05

責任追跡可能性

事故時に誰が何をしたかを調査でき、受託者が再委託先の行為について責任を負うかを確認します。

実務上の基本方針は、取引類型ごとにかなり異なります。次の比較表は、どの業務を厳格にし、どの業務を条件付きで透明化するかを表します。業務の名前だけでなく、情報アクセスと社会的影響を合わせて読むことが重要です。

取引類型推奨方針主な理由
マイナンバー、重要個人情報、営業秘密、基幹システム、危機管理、不祥事調査、M&A、上場準備、研究開発中核情報原則禁止+個別承諾制情報漏えい、監督不備、事故時の社会的影響が大きい。
システム開発、BPO、物流、製造、クラウド、広告制作、保守運用条件付き許可専門分業が通常想定される一方、業務範囲と責任の統制が必要。
汎用SaaS、ホスティング、クラウド基盤、グローバル標準サービス条件付き包括承諾サブプロセッサー構造が前提のため、一覧、変更通知、異議申立てで管理する。
清掃、印刷、単純入力、軽微な定型補助作業簡易承認または通知制重要情報へのアクセスが限定される場合は、過度な個別承認を避ける。
ブランド、信用、人格的信頼、専門判断そのものを委託する業務原則禁止または厳格な個別承諾制委託者が特定の会社・担当者を選んだ前提を守る必要がある。
Section 01

再委託を原則禁止にするか条件付き許可にするかの判断で押さえる定義

名称よりも、受託者が第三者を使って委託業務を履行している実態を見ます。

再委託とは、委託者から業務を受けた受託者が、その業務の全部または一部をさらに第三者に委託することをいいます。A社がB社にシステム開発を委託し、B社が画面デザイン部分をC社に委託する場合、C社への委託が再委託です。

実務では、再委託、外注、下請、協力会社利用、サブコントラクター、サブプロセッサー、復委任、再々委託などの言葉が混在します。次の比較表は、言葉の違いと注意点を表しています。契約上の表現だけでなく、第三者がどの業務と情報に関与するかを読み取ることが重要です。

用語実務上の意味注意点
再委託受託者が委託業務の一部または全部を第三者に委託すること契約条項の中心概念になる。
下請・外注製造、建設、IT、制作、物流などで使われる実務用語法的には再委託と重なり、下請法・取引適正化の文脈も加わる。
復委任・復受任委任・準委任で受任者が第三者に処理させること人的信頼との関係で問題になりやすい。
サブプロセッサーGDPRなどで、処理者がさらに使う処理者国際取引、クラウド、SaaSで重要になる。
再々委託再委託先がさらに第三者に委託すること委託連鎖の把握、承諾、禁止の設計が必要になる。
グループ会社委託親会社、子会社、関連会社への委託別法人である以上、グループ内でも管理対象にする。
フリーランス起用受託者が個人事業主へ作業を委託することフリーランス保護法、労務、情報管理の論点が加わる。

すべての第三者利用を一律に個別承認とすると運用不能になり、重要な第三者利用を除外しすぎると統制が失われます。次の比較表は、再委託管理の対象にするかどうかの整理です。従業員、派遣、業務委託先、汎用インフラで管理の強さが違う点を読み取ってください。

区分再委託管理の要否
受託者の従業員・役員正社員、契約社員、役員通常は再委託ではないが、秘密保持とアクセス管理は必要。
派遣社員・常駐者派遣労働者、業務補助者第三者性があり得るため、契約で扱いを明確にする。
業務委託先個人事業主、協力会社、開発会社原則として再委託管理の対象。
汎用インフラ提供者クラウド、通信、データセンター、メール配信基盤業務内容とデータアクセスの有無に応じて対象化する。
専門士業・専門機関会計士、税理士、翻訳会社、調査会社など機密情報の取扱いが多く、再委託または第三者提供として明確にする。
再委託先のさらに先再々委託先、サブサブプロセッサー高リスク業務では把握・承諾・禁止のいずれかが必要。
定義の要点契約書では「委託し、請け負わせ、処理させ、またはこれに類する方法で第三者を関与させること」のように広く捕捉しつつ、汎用クラウドや通信サービスはリスクに応じて除外、簡易承認、通知制に分けます。
Section 02

再委託を原則禁止にするか条件付き許可にするかの判断が重要な理由

再委託条項は、品質・情報・個人情報・サイバー・監査をつなぐ基幹条項です。

委託者は受託者の技術力、体制、実績、信用を評価して契約します。実際の作業が別会社や個人外注に流れていると、品質水準、納期管理、秘密保持、安全管理措置、知的財産の帰属、事故時の調査可能性が期待と異なる可能性があります。

次の一覧は、再委託条項で抑えるべき主要リスクを表しています。なぜ重要かというと、再委託先を知らない状態では、漏えい時の原因究明、顧客説明、行政報告、損害賠償請求、再発防止が困難になるためです。各項目を、契約条項と運用ルールの両方で管理すべきリスクとして読み取ってください。

品質・納期

実作業者の技術力や体制が見えないと、成果物品質や納期の期待が崩れます。

情報漏えい

秘密情報、顧客情報、設計情報、ソースコード、価格情報が再委託先へ広がります。

委託先監督

個人データを扱う場合、再委託先の相手方、業務内容、取扱方法等の把握が問題になります。

サイバーリスク

攻撃者が保守会社、開発会社、クラウド管理会社、海外サポート拠点を経由することがあります。

監査不能

誰が、いつ、どの情報にアクセスしたかを追跡できないと、事故対応と責任追及が難しくなります。

知的財産

開発成果物、著作権、特許、ノウハウ、OSS管理の責任分界が曖昧になります。

再委託を厳格に見るべき業務は、攻撃面や情報アクセスが広がる業務です。次の比較表は、特に原則禁止または厳格な個別承諾制を検討すべき業務を表しています。情報そのものの重要性だけでなく、本番環境や管理者権限に触れるかも読み取ってください。

厳格管理が必要な業務主な懸念契約上の着眼点
本番環境へのアクセスを伴う運用保守データ改変、停止、権限乱用個別承諾、ログ、アクセス最小化、事故報告。
管理者権限を持つ業務広範な情報閲覧と設定変更権限棚卸、多要素認証、証跡保全。
ソースコード、秘密鍵、APIキー、認証情報二次漏えい、外部侵入、権利侵害持出制限、暗号化、削除証明、再々委託制限。
顧客データベース、決済、医療、金融、教育データ行政報告、顧客説明、社会的信用低下委託先監督、監査、DPA、緊急報告。
セキュリティ監視、脆弱性診断、インシデント対応攻撃情報や脆弱性情報の漏えい担当者範囲、利益相反、証跡保全。
重要インフラ、制御システム、工場ネットワーク事業停止や公共的影響役員承認、再委託禁止、専用環境。
Section 03

再委託を原則禁止にするか条件付き許可にするかの判断パターン

全面禁止、個別承諾、包括承諾、自由許可を分けて検討します。

「原則禁止」は、再委託を常に絶対禁止する意味ではなく、委託者の事前審査を通した場合だけ例外的に認める設計として使われることが多いです。一方、「条件付き許可」は、再委託を業務上必要なものとして認めつつ、委託者の統制下に置く設計です。

次の比較表は、四つの条項パターンの違いを表しています。読者にとって重要なのは、自由許可と条件付き許可が別物である点です。どの場面に向くか、どの問題が残るかを読み取ってください。

パターン内容向いている場面問題点
全面禁止再委託を一切禁止人的信頼が強い業務、極秘案件実務上必要な外部サービス利用まで禁止されるおそれ。
原則禁止+個別承諾事前の書面承諾がある場合のみ許可高リスク業務の標準承認事務が重くなる。
条件付き包括許可一定条件を満たす再委託を包括的に許可し、変更時に通知または異議申立て機会を設けるクラウド、SaaS、標準化BPO、グローバルサービス条件が曖昧だと統制が形骸化する。
自由許可受託者の裁量で再委託可能低リスク・定型作業情報管理、品質管理、責任追跡が弱い。

再委託判断では、契約名ではなく法的性質と業務実態を見る必要があります。次の比較表は、請負、委任、準委任などの違いを表しています。成果完成が中心か、人的信頼が中心かによって、承諾の厳しさが変わる点を読み取ってください。

法的性質典型例再委託との関係
請負システム完成、ウェブサイト制作、建物工事、製造仕事の完成が中心であり、下請利用が実務上想定されやすい。
委任法律行為の委託、代理、一定の事務処理人的信頼が強く、復委任の制限が問題になりやすい。
準委任コンサル、調査、保守、運用、事務処理専門性と信頼性が中心で、無断再委託は問題になりやすい。
売買・製作物供給物品供給、部材調達サプライチェーン管理として再委託・下請管理が問題になる。
労働者派遣派遣スタッフ受入れ再委託というより派遣法・労務管理の問題になる。

次の判断の流れは、条項パターンを選ぶ順番を表しています。重要なのは、再委託の必要性を聞く前に、情報と人的信頼の重さを確認することです。上から順に確認し、途中で高リスクが見つかるほど個別承諾制に寄せると読み取ってください。

条項パターンを選ぶ判断の流れ

業務の中核性を確認

人的信頼、専門判断、ブランド信用が契約の前提かを見ます。

重要情報・管理権限の有無を確認

個人情報、マイナンバー、営業秘密、本番環境、管理者権限を確認します。

高リスク
原則禁止+個別承諾

承認条件、監査、再々委託制限、役員承認を検討します。

通常リスク
条件付き許可

再委託先一覧、同等義務、変更通知、受託者責任で透明化します。

Section 04

個人情報・クラウドで再委託を原則禁止にするか条件付き許可にするかの判断

個人データ、マイナンバー、海外再委託、サブプロセッサーでは監督方法を具体化します。

個人情報を取り扱う委託契約では、再委託条項は特に重要です。個人データの取扱いを委託する場合、委託先の適切な選定、契約による安全管理措置、委託先における取扱状況の把握などが問題になります。再委託では、再委託先の相手方、業務内容、取扱方法等について事前報告または承認を求めること、必要に応じて監査を行うこと、再々委託以降も同様に扱うことが実務上の出発点です。

次の比較表は、個人データを扱う再委託で必要になる契約事項を表しています。読者にとって重要なのは、承諾の有無だけではなく、選定、契約、監査、終了時対応までつながっている点です。自社のひな形で抜けている項目を読み取ってください。

契約に入れる事項確認する内容実務上の意味
事前報告または事前承認再委託先、業務範囲、取扱情報委託者が監督対象を把握できるようにする。
選定基準安全管理体制、実績、認証、信用再委託先の適格性を説明できるようにする。
同等義務秘密保持、個人情報保護、安全管理、目的外利用禁止受託者に課した義務を再委託先にも及ぼす。
監査・報告・証跡取扱状況、ログ、報告書、チェックシート取扱状況の把握と説明可能性を確保する。
漏えい時の即時報告初動期限、連絡先、証跡保全、原因調査行政対応、本人通知、被害拡大防止につなげる。
返却・削除・消去証明終了時のデータ処理、バックアップ、媒体委託終了後に再委託先へ情報が残るリスクを抑える。

監督方法は、すべて現地監査にすればよいわけではありません。次の比較表は、リスクの重さに応じた監督方法の例を表しています。重要なのは、低リスクでは実務負荷を抑え、高リスクではログや第三者認証まで確認するように濃淡を付ける点です。

リスク監督方法の例使いどころ
低リスク再委託先リスト、契約書面確認、自己点検表公開情報や軽微な社内情報に限られる業務。
中リスクセキュリティチェックシート、年次報告、証跡提出、レビュー会議標準的なBPO、保守、制作、物流。
高リスク個別承認、現地またはリモート監査、ログ確認、第三者認証、再委託限定個人情報、営業秘密、重要業務を扱う場合。
重大リスク再委託禁止、専用環境、アクセス遮断、個別審査、役員承認マイナンバー、要配慮情報、基幹システム、M&A、不祥事。

次の一覧は、個人情報、マイナンバー、クラウド、海外再委託、GDPR型サブプロセッサー管理で確認する項目を表しています。なぜ重要かというと、同じ再委託でも、データの種類と所在国によって必要な承諾・通知・監督の水準が変わるためです。自社の契約類型に近い行を重点的に読んでください。

AP

個人データ

再委託先の相手方、業務内容、取扱方法、監査方法、再々委託以降の管理を確認します。

委託先監督
MN

マイナンバー

再委託には最初の委託者の許諾が必要となる場面があり、再委託先以降も間接的な監督を意識します。

厳格管理
CL

クラウド・SaaS

サブプロセッサー一覧、変更通知、異議申立て、同等義務、第三者監査レポートを組み合わせます。

包括承諾
XB

海外再委託

所在国、保存場所、アクセス場所、外国政府アクセス可能性、標準契約条項、事故報告経路を確認します。

越境移転
GD

GDPR型管理

包括承認でも、名称、所在地、処理内容、移転根拠、変更通知、異議申立てを把握できる設計にします。

サブプロセッサー
Section 05

サプライチェーンで再委託を原則禁止にするか条件付き許可にするかの判断

サイバーセキュリティ、取引適正化、フリーランス、下請構造を合わせて管理します。

現代の攻撃は、委託者本体ではなく、委託先、クラウド、保守会社、開発会社、管理会社、海外拠点、グループ会社を経由して発生することがあります。再委託は履行補助者を増やすだけでなく、攻撃面を広げるものとして扱う必要があります。

次の比較表は、条件付きで再委託を認める場合に契約で確認すべき安全管理措置を表しています。なぜ重要かというと、秘密保持条項だけでは現実のセキュリティ水準を説明できないためです。組織、人的、物理、技術、運用、事故、終了時の七領域を一体で確認してください。

領域確認項目見るべき点
組織管理責任者、委託先管理規程、教育、内部監査再委託先を管理する社内体制があるか。
人的管理秘密保持誓約、退職者管理、職務分掌、懲戒規程担当者の入退場と権限を管理しているか。
物理管理入退室管理、媒体保管、持出制限、廃棄手順情報が物理的に外へ流れない仕組みがあるか。
技術管理アクセス制御、多要素認証、暗号化、ログ、脆弱性管理、EDR権限と証跡で不正利用を追跡できるか。
運用管理変更管理、障害対応、バックアップ、権限棚卸、委託先レビュー契約期間中に統制が維持されるか。
事故対応初動報告期限、連絡体制、証跡保全、原因調査、再発防止事故時に委託者が説明できる情報を得られるか。
終了時対応データ返却、削除、消去証明、アカウント停止、媒体返却再委託先に情報と権限が残らないか。

製造、建設、物流、IT、広告制作、映像制作、保守、調査、翻訳では、専門分業や繁忙期対応のために再委託が不可欠な場合があります。次の一覧は、禁止より透明化が有効な場面と、公正取引上の注意点を表しています。委託者側のリスクだけでなく、再委託先への過度な負担も読み取ってください。

Reality

実態に合う設計

一律禁止が実態に合わない場合、形式上の社内処理を装った無断外注を招きます。条件付き許可で透明化します。

Fairness

取引適正化

不当に低い価格、過重な納期、無償作業、知財の一方的取得などがないかを確認します。

Freelance

フリーランス起用

取引条件明示、報酬支払期日、秘密保持、安全管理、再々委託禁止、偽装請負の懸念を確認します。

再委託を認める場合の監査権は、広く書けば足りるものではありません。次の比較表は、個別現地監査が難しい場合の代替手段を表しています。大手クラウドやグローバルSaaSでは、合理的な確認資料を組み合わせる読み方が重要です。

代替手段確認できること使い方
SOC 2、ISO/IEC 27001、ISMAP等第三者による管理体制の評価個別監査の代替または補完として利用する。
セキュリティ資料暗号化、権限管理、ログ、運用体制チェックシートと合わせて不足点を質問する。
サブプロセッサー一覧再委託先、所在地、処理内容変更通知と異議申立て手続を合わせる。
重大インシデント時の特別報告事故時の事実経過と是正平時の監査負荷を抑えつつ、事故時の説明可能性を確保する。
Section 06

原則禁止にすべき再委託と条件付き許可にすべき再委託の判断基準

人的信頼、重要情報、法令上の監督責任、事故影響、監督不能性を見ます。

原則禁止または厳格な個別承諾制にすべき場面は、委託者が特定の会社・専門家・担当者を信頼して発注した業務、重要情報を扱う業務、法令上の監督責任が重い業務、事故時の社会的影響が大きい業務、再委託先を監督できない業務です。

次の一覧は、原則禁止に寄せるべき場面を表しています。読者にとって重要なのは、契約金額の大きさではなく、漏えい・停止・公表・行政対応につながる影響の大きさで判断する点です。該当数が多いほど個別承諾制を採用すべきだと読み取ってください。

人的信頼が中核

専門判断、経営助言、不祥事調査、セキュリティ診断、研究開発などは担当者や専門性が成果を左右します。

重要情報・機微情報

個人情報、要配慮情報、特定個人情報、営業秘密、ソースコード、秘密鍵、未公表情報は厳格に扱います。

法令上の監督責任

個人情報保護法、番号法、金融、医療、電気通信、重要インフラ、輸出管理、労働者派遣などを確認します。

社会的影響が大きい

官公庁、自治体、学校、病院、金融機関、大量顧客データ、適時開示、IR、決算、M&Aは慎重に扱います。

監督できない

名称、所在地、業務内容、安全管理措置、再々委託を開示できない場合、条件付き許可の前提がありません。

一方、専門分業が必要な業務やクラウド・SaaSの標準構造では、禁止よりも条件付き許可が合理的です。次の一覧は、条件付き許可に向く場面を表しています。再委託を隠させるより、開示・同等義務・受託者責任で管理する方が実効的な場面を読み取ってください。

Need

専門分業が必要

システム開発、物流、製造、広告制作、翻訳、保守点検では専門会社利用が品質向上につながることがあります。

Quality

品質を高める

セキュリティ監査会社、翻訳専門会社、クラウド基盤会社、配送会社、専門測定機関などを活用する場合です。

Cloud

包括承諾が必要

大手クラウドやSaaSでは、サブプロセッサー一覧、変更通知、異議申立て、同等義務で管理します。

Low Risk

低リスク・定型

清掃、一般印刷、軽微な配送、什器設置、イベント補助などでは、重要情報へのアクセス有無で濃淡を付けます。

次の縦方向の比較は、合計点が上がるほど承認水準を厳しくする考え方を表しています。なぜ重要かというと、多数の契約を扱う法務部門では、同じ評価軸で事業部、法務、情報セキュリティ、購買が議論する必要があるためです。数値は自動的な法的結論ではなく、追加確認の強さを決める目安として読んでください。

0-5
通知制
6-10
条件付き許可
11-15
個別承諾
16+
禁止基本

スコアリングでは、取り扱う情報、業務重要性、人的信頼、アクセス権限、再委託必要性、監督可能性、事故影響を0点から3点で評価します。16点以上では再委託禁止を基本とし、例外は役員、法務、情報セキュリティの承認に寄せるのが一例です。

Section 07

再委託を条件付き許可にする契約条件

事前開示、同等義務、受託者責任、再々委託、変更通知、解除を条項化します。

条件付き許可を採用する場合、再委託先を知っているだけでは足りません。誰が、どの業務を、どの情報に触れて、どの安全管理措置で処理し、事故時に誰が責任を負うのかを契約に落とす必要があります。

次の比較表は、承認前に取得すべき情報を表しています。なぜ重要かというと、会社名だけを承認しても、業務範囲、取扱情報、越境移転、再々委託が不明ではリスク評価ができないためです。承認対象は「会社名+業務範囲+取扱情報+管理条件」と読むべきです。

事前開示事項確認する理由条件設定の例
商号、所在地、代表者、担当部署実在性、管轄、信用、連絡経路を確認する。高リスクでは国・地域まで承認対象にする。
再委託する業務範囲どこまで第三者に処理させるかを特定する。主要工程と補助工程を分ける。
再委託の必要性受託者の都合だけか、業務上不可欠かを確認する。代替手段や直接契約の可否を検討する。
取り扱う情報の種類個人情報、営業秘密、マイナンバー、機密情報の有無を確認する。アクセス範囲を最小化する。
安全管理措置再委託先の管理水準を説明できるようにする。チェックシート、認証、ログ、報告を条件にする。
再々委託と越境移転委託連鎖とデータ移転を把握する。禁止、同等手続、変更通知を定める。

次の一覧は、再委託先へ流し込むべき義務を表しています。読者にとって重要なのは、受託者との契約義務が再委託先で途切れないようにする点です。秘密保持だけでなく、知財、事故報告、終了時削除、反社排除まで含めて読む必要があります。

Flow Down

同等以上の義務

秘密保持、個人情報保護、安全管理、目的外利用禁止、第三者提供・再々委託制限を課します。

IP

知的財産

成果物の権利帰属、使用制限、OSS管理、二次利用禁止を再委託先にも及ぼします。

Incident

事故報告

漏えい、障害、無断再委託、法令違反の初動報告、証跡保全、原因調査、再発防止を定めます。

Exit

終了時対応

返却、削除、消去証明、アカウント停止、媒体返却、バックアップの扱いを条件にします。

次の比較表は、四つの条項例で入れるべき骨子を表しています。なぜ重要かというと、業務類型に合わない条項を使うと、厳しすぎて履行不能になったり、緩すぎて統制不能になったりするためです。自社の契約ではどの型を基礎にすべきかを読み取ってください。

条項型中核文言追加すべき条件
原則禁止+個別承諾型事前の書面承諾なく第三者を関与させてはならない。承諾申請事項、承諾拒絶・条件付与、同等義務、受託者責任、再々委託禁止、違反時解除。
条件付き包括許可型別紙再委託先一覧に記載された第三者への再委託を承諾する。一覧の更新、追加・重要変更通知、異議申立て、同等義務、報告・資料提出。
クラウド・SaaS型サービス提供に必要な範囲でサブプロセッサーを利用できる。一覧提供、追加通知、異議申立て、代替措置協議、同等データ保護義務、受託者責任。
低リスク簡易型必要な範囲で第三者を利用できる。秘密保持、必要な義務、第三者の行為に対する責任、合理的な報告義務。
責任条項再委託を認める場合でも、委託者から見た責任主体は受託者に一本化します。受託者は再委託先の行為および不作為について、自己の行為と同様に責任を負うと明記します。

条項のたたき台で外せない要素

実際の条項では、再委託先の名称、所在地、業務範囲、再委託の必要性、取扱情報、安全管理措置、再々委託の有無を事前提出させ、委託者が合理的理由により承諾拒絶または条件付与できるようにします。違反時には、承諾取消し、是正要求、業務停止、損害賠償請求、契約解除を選択できる形にします。

Section 08

業務類型別に見る再委託の禁止・許可判断

システム開発、クラウド、AI、人事、M&A、製造、広告で管理ポイントは変わります。

同じ再委託条項でも、業務類型によって適切な強さは変わります。システム開発では専門分業が通常ですが、本番環境アクセスや顧客データ移行は厳格に扱います。人事・給与では個人情報やマイナンバーが中心になり、M&Aや不祥事調査では人的信頼と未公表情報が中心になります。

次の比較表は、業務類型ごとの推奨方針と確認項目を表しています。読者にとって重要なのは、類型ごとの標準方針を持つことで、事業部からの相談に一貫して答えられる点です。自社の契約がどの類型に近いかを読み取ってください。

業務類型推奨方針確認項目
システム開発条件付き許可。ただし要件定義、基本設計、本番環境、顧客データ移行、セキュリティ設計は個別承諾。ソースコード帰属、OSS管理、秘密保持、納期責任、保守責任。
クラウド・SaaS条件付き包括承諾。サブプロセッサー一覧、データ保存地域、越境アクセス、暗号化、ログ、削除証明、第三者認証。
AI・データ利活用条件付き許可または個別承諾。学習利用、モデル改善、外部API入力、ログ保存、匿名加工、生成物の権利帰属、二次利用禁止。
人事・給与・社会保険原則禁止+個別承諾制。従業員情報、マイナンバー、健康情報、家族情報、給与情報、削除証明、漏えい時報告。
法務・会計・税務・M&A・不祥事調査原則禁止+個別承諾制。チームメンバー、外部専門家、利益相反、資格、データルーム、海外専門家、翻訳会社。
製造・建設・物流条件付き許可。主要工程は事前承認、軽微工程は通知制または包括承認。品質基準、検査、トレーサビリティ、図面、金型、輸出管理、労務、安全衛生。
広告・制作・マーケティング条件付き許可。顧客リスト、応募者情報、SNS運用、インフルエンサー、動画制作、配信、アクセス解析。

次の一覧は、業務類型を問わず再委託の承認時に追加確認すべき論点を表しています。なぜ重要かというと、再委託条項だけでは、AI学習、外部API、データルーム、広告配信などの実務上の抜け道を捕捉できない場合があるためです。契約書の用語よりも、第三者が実際にデータや成果物をどう扱うかを読んでください。

AI

学習・モデル改善

顧客データ、プロンプト、出力、評価データ、ログを第三者モデルやAPIに入力できるかを明確にします。

M&A

未公表情報

買い手候補、外部専門家、翻訳会社、データ解析会社に渡す範囲を段階的に管理します。

Factory

品質と追跡

主要工程、検査、トレーサビリティ、図面・金型・技術情報の管理を再委託先まで及ぼします。

Marketing

広告運用

キャンペーン事務局、SNS運用、動画制作、広告配信、解析タグが個人情報や秘密情報に触れるかを確認します。

Section 09

再委託承認の社内プロセスと台帳管理

契約条項を、承認、更新、監査、事故対応、終了時確認に接続します。

再委託条項は、契約書に書くだけでは機能しません。現場が承認手続を知らなければ、受託者が協力会社を使っていても社内で把握できません。承認、台帳、定期レビュー、事故対応、終了時削除までを社内プロセスとして設計する必要があります。

次の時系列は、再委託承認を進める順番を表しています。なぜ重要かというと、事業部だけで承認すると法令・個人情報・セキュリティ・購買の観点が抜けやすいためです。上から順に、誰が何を確認し、どの条件を契約書や別紙に反映するかを読み取ってください。

Step 01

事業部が必要性を確認

再委託が業務遂行上必要か、代替手段があるか、品質・納期にどの利益があるかを説明します。

Step 02

再委託先情報を取得

名称、所在地、業務範囲、取扱情報、安全管理措置、再々委託、越境移転を確認します。

Step 03

専門部門が評価

法務、個人情報保護担当、情報セキュリティ、購買・調達が、それぞれの観点で条件を付けます。

Step 04

承認条件を反映

契約書、発注書、別紙、再委託先一覧、DPA、セキュリティ別紙に条件を反映します。

Step 05

レビューと終了時確認

契約期間中の定期レビュー、事故時の臨時確認、終了時の返却・削除・アカウント停止を確認します。

次の比較表は、RACIの役割分担例を表しています。重要なのは、再委託必要性の説明、契約条項審査、個人情報判断、セキュリティ評価、取引先審査、承認記録、定期監査を一人の担当者に閉じない点です。Rは実行責任、Cは相談先、Iは情報共有先として読み取ってください。

タスク事業部法務個人情報担当情報セキュリティ購買内部監査
再委託必要性の説明RCCCCI
契約条項審査CRCCCI
個人情報該当性判断CCRCII
セキュリティ評価CCCRII
取引先審査ICICRI
承認記録管理RRCCCI
定期監査ICCCIR

次の比較表は、承認台帳に最低限記録すべき項目を表しています。なぜ重要かというと、台帳がなければ契約更新、内部監査、事故対応、個人情報保護監査、内部統制評価の場面で、誰が再委託先か分からなくなるためです。契約単位だけでなく、再委託先単位で管理する点を読み取ってください。

台帳項目記録する内容活用場面
契約・委託先契約名、委託先名、契約終了日契約更新、解除、終了時確認。
再委託先再委託先名、所在地、所在国、業務範囲越境移転、反社、信用調査。
取扱情報個人情報、マイナンバー、営業秘密、未公表情報リスク区分、監査頻度、漏えい対応。
承認情報承認日、承認者、承認条件、再々委託の有無承認範囲超過の確認。
レビュー監査・報告頻度、最終レビュー日、削除・返却確認日定期レビュー、内部統制評価。
Section 10

再委託の失敗例と交渉論点

条項があるだけ、社名だけ承認、再々委託の見落とし、終了時未確認を防ぎます。

再委託管理の失敗は、条項の有無ではなく、現場運用との接続不足から起きることが多いです。契約書には事前承認制と書かれているのに、現場が承認手続を知らず、発注書や体制図にも再委託先が出てこない状態では、統制として機能しません。

次の一覧は、よくある失敗例を表しています。なぜ重要かというと、どれも契約文言だけでは発見しにくく、事故時に初めて顕在化しやすいためです。失敗例ごとに、契約締結時と契約期間中の確認ポイントを読み取ってください。

現場では再委託されている

契約締結時に再委託の有無をヒアリングし、発注書、作業計画書、体制図に明記させます。

グループ会社を除外する

別法人である以上、グループ内でも再委託または第三者提供として整理します。

社名だけ承認する

会社名だけでなく、業務範囲、取扱情報、再々委託、管理条件を承認対象にします。

監査権が使えない

個別監査、第三者監査報告書、質問票、認証、インシデントレポートのどれが使えるかを確認します。

再々委託を見落とす

再委託先がさらに第三者へ出す場合を、禁止または同等手続にします。

終了時確認がない

再委託先の端末、クラウド、バックアップ、ログに残るデータの削除・返却を確認します。

交渉では、受託者が再委託先情報を開示したがらない、委託者が全再委託先への現地監査を求める、緊急時に外部支援が必要になる、業務補助者を再委託から除外したいといった論点が出ます。次の比較表は、典型論点と落としどころを表しています。リスクに応じて開示範囲と監査方法を段階化する点を読み取ってください。

交渉論点相手の主張実務上の落としどころ
再委託先を開示したくない営業秘密、調達網、価格競争力、セキュリティ上の理由がある。低リスクは業務分類・所在地国・安全管理措置、中リスク以上は社名・所在地・業務範囲を求める。
全再委託先への現地監査委託者が強い監査権を求める。現地監査、リモート監査、質問票、認証、監査報告書、事故時監査に分ける。
緊急時の再委託障害、災害、サイバー攻撃で第三者支援が必要になる。緊急必要性、秘密保持、安全管理、事後報告、以後の停止権を条件にする。
業務補助者の除外派遣社員、契約社員、個人外注、グループ会社社員を規制から外したい。呼称ではなく、指揮命令、規程適用、秘密保持、重要情報アクセス、責任主体で判断する。

社内規程では、レベル1を公開情報のみの低額定型補助、レベル2を社内情報と標準的外注、レベル3を個人情報・営業秘密・重要業務、レベル4をマイナンバー・要配慮情報・基幹システム・M&A・不祥事と分けると運用しやすくなります。高リスク再委託先は少なくとも年1回、中リスク再委託先は契約更新時、低リスク再委託先は必要に応じてレビューします。

FAQ

再委託判断でよくある質問

一般的な制度・契約実務の考え方を整理します。個別事情により結論は変わります。

再委託はすべて禁止すべきですか

一般的には、重要情報、人的信頼、事故影響が大きい業務では原則禁止または個別承諾制が採られやすいとされています。ただし、システム開発、物流、製造、クラウド、広告制作などでは専門分業が通常であるため、業務内容、情報アクセス、監督方法によって結論が変わる可能性があります。具体的な条項設計は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

条件付き許可なら何を条件にすべきですか

一般的には、再委託先の名称、所在地、業務範囲、取扱情報、安全管理措置、再々委託の有無、事故報告、同等義務、受託者責任を条件にすることが多いとされています。ただし、個人情報、マイナンバー、営業秘密、基幹システム、越境移転の有無によって必要な条件は変わります。具体的には、契約書と業務実態を確認したうえで専門家に相談する必要があります。

クラウドやSaaSでも個別承認が必要ですか

一般的には、クラウドやSaaSではサブプロセッサー構造が標準化されており、個別承認だけでは実務に合わない場合があります。その場合、サブプロセッサー一覧、変更通知、異議申立て、同等義務、受託者責任、第三者監査レポートを組み合わせた包括承諾が検討されます。ただし、取り扱うデータや業界規制によって必要な対応は変わります。

グループ会社への委託は再委託に含めるべきですか

一般的には、親会社、子会社、関連会社であっても別法人である以上、再委託または第三者提供として整理する必要があると考えられます。ただし、契約関係、共同利用、業務範囲、個人情報の扱い、越境移転の有無によって整理は変わる可能性があります。具体的には、グループ内の実態と契約書を確認して専門家に相談する必要があります。

再委託先が事故を起こした場合、受託者に責任を負わせられますか

一般的には、再委託を認める契約では、受託者が再委託先の行為および不作為について自己の行為と同様に責任を負う旨を明記することが多いとされています。ただし、責任範囲、損害賠償の上限、故意・重過失、不可抗力、証跡の有無によって結論が変わる可能性があります。具体的な見通しは、契約書と事故状況を整理して弁護士等へ相談する必要があります。

Reference

参考資料

再委託、個人情報、サイバーセキュリティ、取引適正化、国際データ保護の基礎資料です。

国内の公的資料・実務資料

  • 国民生活センター「暮らしの判例 請負契約・委任契約」
  • e-Gov法令検索「民法」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」
  • 個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドラインに関するQ&A」
  • 個人情報保護委員会「クラウドサービス利用者による委託先の監督について」
  • 経済産業省・IPA「サイバーセキュリティ経営ガイドライン Ver.3.0」
  • 公正取引委員会「下請法は取適法へ」
  • 公正取引委員会「フリーランス法特設サイト」
  • IPA「情報システム・モデル取引・契約書」
  • 経済産業省「AI・データ関連契約チェックリスト」

国際データ保護の参考資料

  • Information Commissioner's Office, Contracts and liabilities between controllers and processors
  • European Data Protection Board, Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s)