業務委託契約で再委託をどう扱うべきか、契約実務、個人情報保護、サプライチェーン、クラウド、取引適正化の観点から整理します。
業務委託契約で再委託をどう扱うべきか、契約実務、個人情報保護、サプライチェーン、クラウド、取引適正化の観点から整理します。
全面禁止でも自由許可でもなく、業務・情報・統制可能性を分けて決める考え方です。
再委託条項は、業務委託契約の末尾に置かれる短い文言で済まされがちです。しかし設計を誤ると、情報漏えい、品質事故、納期遅延、知的財産権の帰属不明、個人情報保護法上の委託先監督不備、海外移転規制違反、下請構造の不透明化、監査不能、事故時の責任追及困難が重なります。
企業法務では、すべての取引で機械的に全面禁止または自由許可とするのではなく、リスクが高い領域では原則禁止、通常の商流や技術的必要性がある領域では条件付き許可とするのが実務的です。個別案件の結論は、契約書、業務内容、データの種類、当事者属性、適用法、業界規制によって変わるため、具体的な対応は弁護士等の専門家に相談する必要があります。
次の強調表示は、このページで扱う判断の結論を表しています。なぜ重要かというと、再委託の可否だけを見ても統制は不十分で、どのリスクを受託者に管理させるかまで決める必要があるためです。ここからは、高リスク領域、通常業務、クラウド型サービスで分岐する点を読み取ってください。
重要情報、人的信頼、事故影響、監督可能性、責任追跡可能性を確認し、承諾条件・同等義務・再々委託制限・事故報告・削除確認まで契約と運用に落とし込みます。
次の一覧は、再委託判断で最初に確認する五つの観点です。読者にとって重要なのは、法務、情報セキュリティ、個人情報保護、購買、事業部が同じ順番でリスクを確認できる点です。各項目のうち一つでも高リスクに寄る場合は、簡易な通知制では足りない可能性があると読み取ってください。
人的信頼が中心か、成果物完成が中心か、定型作業か、専門判断を伴うかを確認します。
個人情報、マイナンバー、営業秘密、未公開情報、基幹システム情報を扱うかを確認します。
受託者単独で履行できるのか、専門会社、クラウド、協力会社の利用が不可欠なのかを確認します。
再委託先の名称、所在地、業務範囲、安全管理措置、再々委託、監査体制を把握できるかを確認します。
事故時に誰が何をしたかを調査でき、受託者が再委託先の行為について責任を負うかを確認します。
実務上の基本方針は、取引類型ごとにかなり異なります。次の比較表は、どの業務を厳格にし、どの業務を条件付きで透明化するかを表します。業務の名前だけでなく、情報アクセスと社会的影響を合わせて読むことが重要です。
| 取引類型 | 推奨方針 | 主な理由 |
|---|---|---|
| マイナンバー、重要個人情報、営業秘密、基幹システム、危機管理、不祥事調査、M&A、上場準備、研究開発中核情報 | 原則禁止+個別承諾制 | 情報漏えい、監督不備、事故時の社会的影響が大きい。 |
| システム開発、BPO、物流、製造、クラウド、広告制作、保守運用 | 条件付き許可 | 専門分業が通常想定される一方、業務範囲と責任の統制が必要。 |
| 汎用SaaS、ホスティング、クラウド基盤、グローバル標準サービス | 条件付き包括承諾 | サブプロセッサー構造が前提のため、一覧、変更通知、異議申立てで管理する。 |
| 清掃、印刷、単純入力、軽微な定型補助作業 | 簡易承認または通知制 | 重要情報へのアクセスが限定される場合は、過度な個別承認を避ける。 |
| ブランド、信用、人格的信頼、専門判断そのものを委託する業務 | 原則禁止または厳格な個別承諾制 | 委託者が特定の会社・担当者を選んだ前提を守る必要がある。 |
名称よりも、受託者が第三者を使って委託業務を履行している実態を見ます。
再委託とは、委託者から業務を受けた受託者が、その業務の全部または一部をさらに第三者に委託することをいいます。A社がB社にシステム開発を委託し、B社が画面デザイン部分をC社に委託する場合、C社への委託が再委託です。
実務では、再委託、外注、下請、協力会社利用、サブコントラクター、サブプロセッサー、復委任、再々委託などの言葉が混在します。次の比較表は、言葉の違いと注意点を表しています。契約上の表現だけでなく、第三者がどの業務と情報に関与するかを読み取ることが重要です。
| 用語 | 実務上の意味 | 注意点 |
|---|---|---|
| 再委託 | 受託者が委託業務の一部または全部を第三者に委託すること | 契約条項の中心概念になる。 |
| 下請・外注 | 製造、建設、IT、制作、物流などで使われる実務用語 | 法的には再委託と重なり、下請法・取引適正化の文脈も加わる。 |
| 復委任・復受任 | 委任・準委任で受任者が第三者に処理させること | 人的信頼との関係で問題になりやすい。 |
| サブプロセッサー | GDPRなどで、処理者がさらに使う処理者 | 国際取引、クラウド、SaaSで重要になる。 |
| 再々委託 | 再委託先がさらに第三者に委託すること | 委託連鎖の把握、承諾、禁止の設計が必要になる。 |
| グループ会社委託 | 親会社、子会社、関連会社への委託 | 別法人である以上、グループ内でも管理対象にする。 |
| フリーランス起用 | 受託者が個人事業主へ作業を委託すること | フリーランス保護法、労務、情報管理の論点が加わる。 |
すべての第三者利用を一律に個別承認とすると運用不能になり、重要な第三者利用を除外しすぎると統制が失われます。次の比較表は、再委託管理の対象にするかどうかの整理です。従業員、派遣、業務委託先、汎用インフラで管理の強さが違う点を読み取ってください。
| 区分 | 例 | 再委託管理の要否 |
|---|---|---|
| 受託者の従業員・役員 | 正社員、契約社員、役員 | 通常は再委託ではないが、秘密保持とアクセス管理は必要。 |
| 派遣社員・常駐者 | 派遣労働者、業務補助者 | 第三者性があり得るため、契約で扱いを明確にする。 |
| 業務委託先 | 個人事業主、協力会社、開発会社 | 原則として再委託管理の対象。 |
| 汎用インフラ提供者 | クラウド、通信、データセンター、メール配信基盤 | 業務内容とデータアクセスの有無に応じて対象化する。 |
| 専門士業・専門機関 | 会計士、税理士、翻訳会社、調査会社など | 機密情報の取扱いが多く、再委託または第三者提供として明確にする。 |
| 再委託先のさらに先 | 再々委託先、サブサブプロセッサー | 高リスク業務では把握・承諾・禁止のいずれかが必要。 |
再委託条項は、品質・情報・個人情報・サイバー・監査をつなぐ基幹条項です。
委託者は受託者の技術力、体制、実績、信用を評価して契約します。実際の作業が別会社や個人外注に流れていると、品質水準、納期管理、秘密保持、安全管理措置、知的財産の帰属、事故時の調査可能性が期待と異なる可能性があります。
次の一覧は、再委託条項で抑えるべき主要リスクを表しています。なぜ重要かというと、再委託先を知らない状態では、漏えい時の原因究明、顧客説明、行政報告、損害賠償請求、再発防止が困難になるためです。各項目を、契約条項と運用ルールの両方で管理すべきリスクとして読み取ってください。
実作業者の技術力や体制が見えないと、成果物品質や納期の期待が崩れます。
秘密情報、顧客情報、設計情報、ソースコード、価格情報が再委託先へ広がります。
個人データを扱う場合、再委託先の相手方、業務内容、取扱方法等の把握が問題になります。
攻撃者が保守会社、開発会社、クラウド管理会社、海外サポート拠点を経由することがあります。
誰が、いつ、どの情報にアクセスしたかを追跡できないと、事故対応と責任追及が難しくなります。
開発成果物、著作権、特許、ノウハウ、OSS管理の責任分界が曖昧になります。
再委託を厳格に見るべき業務は、攻撃面や情報アクセスが広がる業務です。次の比較表は、特に原則禁止または厳格な個別承諾制を検討すべき業務を表しています。情報そのものの重要性だけでなく、本番環境や管理者権限に触れるかも読み取ってください。
| 厳格管理が必要な業務 | 主な懸念 | 契約上の着眼点 |
|---|---|---|
| 本番環境へのアクセスを伴う運用保守 | データ改変、停止、権限乱用 | 個別承諾、ログ、アクセス最小化、事故報告。 |
| 管理者権限を持つ業務 | 広範な情報閲覧と設定変更 | 権限棚卸、多要素認証、証跡保全。 |
| ソースコード、秘密鍵、APIキー、認証情報 | 二次漏えい、外部侵入、権利侵害 | 持出制限、暗号化、削除証明、再々委託制限。 |
| 顧客データベース、決済、医療、金融、教育データ | 行政報告、顧客説明、社会的信用低下 | 委託先監督、監査、DPA、緊急報告。 |
| セキュリティ監視、脆弱性診断、インシデント対応 | 攻撃情報や脆弱性情報の漏えい | 担当者範囲、利益相反、証跡保全。 |
| 重要インフラ、制御システム、工場ネットワーク | 事業停止や公共的影響 | 役員承認、再委託禁止、専用環境。 |
全面禁止、個別承諾、包括承諾、自由許可を分けて検討します。
「原則禁止」は、再委託を常に絶対禁止する意味ではなく、委託者の事前審査を通した場合だけ例外的に認める設計として使われることが多いです。一方、「条件付き許可」は、再委託を業務上必要なものとして認めつつ、委託者の統制下に置く設計です。
次の比較表は、四つの条項パターンの違いを表しています。読者にとって重要なのは、自由許可と条件付き許可が別物である点です。どの場面に向くか、どの問題が残るかを読み取ってください。
| パターン | 内容 | 向いている場面 | 問題点 |
|---|---|---|---|
| 全面禁止 | 再委託を一切禁止 | 人的信頼が強い業務、極秘案件 | 実務上必要な外部サービス利用まで禁止されるおそれ。 |
| 原則禁止+個別承諾 | 事前の書面承諾がある場合のみ許可 | 高リスク業務の標準 | 承認事務が重くなる。 |
| 条件付き包括許可 | 一定条件を満たす再委託を包括的に許可し、変更時に通知または異議申立て機会を設ける | クラウド、SaaS、標準化BPO、グローバルサービス | 条件が曖昧だと統制が形骸化する。 |
| 自由許可 | 受託者の裁量で再委託可能 | 低リスク・定型作業 | 情報管理、品質管理、責任追跡が弱い。 |
再委託判断では、契約名ではなく法的性質と業務実態を見る必要があります。次の比較表は、請負、委任、準委任などの違いを表しています。成果完成が中心か、人的信頼が中心かによって、承諾の厳しさが変わる点を読み取ってください。
| 法的性質 | 典型例 | 再委託との関係 |
|---|---|---|
| 請負 | システム完成、ウェブサイト制作、建物工事、製造 | 仕事の完成が中心であり、下請利用が実務上想定されやすい。 |
| 委任 | 法律行為の委託、代理、一定の事務処理 | 人的信頼が強く、復委任の制限が問題になりやすい。 |
| 準委任 | コンサル、調査、保守、運用、事務処理 | 専門性と信頼性が中心で、無断再委託は問題になりやすい。 |
| 売買・製作物供給 | 物品供給、部材調達 | サプライチェーン管理として再委託・下請管理が問題になる。 |
| 労働者派遣 | 派遣スタッフ受入れ | 再委託というより派遣法・労務管理の問題になる。 |
次の判断の流れは、条項パターンを選ぶ順番を表しています。重要なのは、再委託の必要性を聞く前に、情報と人的信頼の重さを確認することです。上から順に確認し、途中で高リスクが見つかるほど個別承諾制に寄せると読み取ってください。
人的信頼、専門判断、ブランド信用が契約の前提かを見ます。
個人情報、マイナンバー、営業秘密、本番環境、管理者権限を確認します。
承認条件、監査、再々委託制限、役員承認を検討します。
再委託先一覧、同等義務、変更通知、受託者責任で透明化します。
個人データ、マイナンバー、海外再委託、サブプロセッサーでは監督方法を具体化します。
個人情報を取り扱う委託契約では、再委託条項は特に重要です。個人データの取扱いを委託する場合、委託先の適切な選定、契約による安全管理措置、委託先における取扱状況の把握などが問題になります。再委託では、再委託先の相手方、業務内容、取扱方法等について事前報告または承認を求めること、必要に応じて監査を行うこと、再々委託以降も同様に扱うことが実務上の出発点です。
次の比較表は、個人データを扱う再委託で必要になる契約事項を表しています。読者にとって重要なのは、承諾の有無だけではなく、選定、契約、監査、終了時対応までつながっている点です。自社のひな形で抜けている項目を読み取ってください。
| 契約に入れる事項 | 確認する内容 | 実務上の意味 |
|---|---|---|
| 事前報告または事前承認 | 再委託先、業務範囲、取扱情報 | 委託者が監督対象を把握できるようにする。 |
| 選定基準 | 安全管理体制、実績、認証、信用 | 再委託先の適格性を説明できるようにする。 |
| 同等義務 | 秘密保持、個人情報保護、安全管理、目的外利用禁止 | 受託者に課した義務を再委託先にも及ぼす。 |
| 監査・報告・証跡 | 取扱状況、ログ、報告書、チェックシート | 取扱状況の把握と説明可能性を確保する。 |
| 漏えい時の即時報告 | 初動期限、連絡先、証跡保全、原因調査 | 行政対応、本人通知、被害拡大防止につなげる。 |
| 返却・削除・消去証明 | 終了時のデータ処理、バックアップ、媒体 | 委託終了後に再委託先へ情報が残るリスクを抑える。 |
監督方法は、すべて現地監査にすればよいわけではありません。次の比較表は、リスクの重さに応じた監督方法の例を表しています。重要なのは、低リスクでは実務負荷を抑え、高リスクではログや第三者認証まで確認するように濃淡を付ける点です。
| リスク | 監督方法の例 | 使いどころ |
|---|---|---|
| 低リスク | 再委託先リスト、契約書面確認、自己点検表 | 公開情報や軽微な社内情報に限られる業務。 |
| 中リスク | セキュリティチェックシート、年次報告、証跡提出、レビュー会議 | 標準的なBPO、保守、制作、物流。 |
| 高リスク | 個別承認、現地またはリモート監査、ログ確認、第三者認証、再委託限定 | 個人情報、営業秘密、重要業務を扱う場合。 |
| 重大リスク | 再委託禁止、専用環境、アクセス遮断、個別審査、役員承認 | マイナンバー、要配慮情報、基幹システム、M&A、不祥事。 |
次の一覧は、個人情報、マイナンバー、クラウド、海外再委託、GDPR型サブプロセッサー管理で確認する項目を表しています。なぜ重要かというと、同じ再委託でも、データの種類と所在国によって必要な承諾・通知・監督の水準が変わるためです。自社の契約類型に近い行を重点的に読んでください。
再委託先の相手方、業務内容、取扱方法、監査方法、再々委託以降の管理を確認します。
委託先監督再委託には最初の委託者の許諾が必要となる場面があり、再委託先以降も間接的な監督を意識します。
厳格管理サブプロセッサー一覧、変更通知、異議申立て、同等義務、第三者監査レポートを組み合わせます。
包括承諾所在国、保存場所、アクセス場所、外国政府アクセス可能性、標準契約条項、事故報告経路を確認します。
越境移転包括承認でも、名称、所在地、処理内容、移転根拠、変更通知、異議申立てを把握できる設計にします。
サブプロセッサーサイバーセキュリティ、取引適正化、フリーランス、下請構造を合わせて管理します。
現代の攻撃は、委託者本体ではなく、委託先、クラウド、保守会社、開発会社、管理会社、海外拠点、グループ会社を経由して発生することがあります。再委託は履行補助者を増やすだけでなく、攻撃面を広げるものとして扱う必要があります。
次の比較表は、条件付きで再委託を認める場合に契約で確認すべき安全管理措置を表しています。なぜ重要かというと、秘密保持条項だけでは現実のセキュリティ水準を説明できないためです。組織、人的、物理、技術、運用、事故、終了時の七領域を一体で確認してください。
| 領域 | 確認項目 | 見るべき点 |
|---|---|---|
| 組織管理 | 責任者、委託先管理規程、教育、内部監査 | 再委託先を管理する社内体制があるか。 |
| 人的管理 | 秘密保持誓約、退職者管理、職務分掌、懲戒規程 | 担当者の入退場と権限を管理しているか。 |
| 物理管理 | 入退室管理、媒体保管、持出制限、廃棄手順 | 情報が物理的に外へ流れない仕組みがあるか。 |
| 技術管理 | アクセス制御、多要素認証、暗号化、ログ、脆弱性管理、EDR | 権限と証跡で不正利用を追跡できるか。 |
| 運用管理 | 変更管理、障害対応、バックアップ、権限棚卸、委託先レビュー | 契約期間中に統制が維持されるか。 |
| 事故対応 | 初動報告期限、連絡体制、証跡保全、原因調査、再発防止 | 事故時に委託者が説明できる情報を得られるか。 |
| 終了時対応 | データ返却、削除、消去証明、アカウント停止、媒体返却 | 再委託先に情報と権限が残らないか。 |
製造、建設、物流、IT、広告制作、映像制作、保守、調査、翻訳では、専門分業や繁忙期対応のために再委託が不可欠な場合があります。次の一覧は、禁止より透明化が有効な場面と、公正取引上の注意点を表しています。委託者側のリスクだけでなく、再委託先への過度な負担も読み取ってください。
一律禁止が実態に合わない場合、形式上の社内処理を装った無断外注を招きます。条件付き許可で透明化します。
不当に低い価格、過重な納期、無償作業、知財の一方的取得などがないかを確認します。
取引条件明示、報酬支払期日、秘密保持、安全管理、再々委託禁止、偽装請負の懸念を確認します。
再委託を認める場合の監査権は、広く書けば足りるものではありません。次の比較表は、個別現地監査が難しい場合の代替手段を表しています。大手クラウドやグローバルSaaSでは、合理的な確認資料を組み合わせる読み方が重要です。
| 代替手段 | 確認できること | 使い方 |
|---|---|---|
| SOC 2、ISO/IEC 27001、ISMAP等 | 第三者による管理体制の評価 | 個別監査の代替または補完として利用する。 |
| セキュリティ資料 | 暗号化、権限管理、ログ、運用体制 | チェックシートと合わせて不足点を質問する。 |
| サブプロセッサー一覧 | 再委託先、所在地、処理内容 | 変更通知と異議申立て手続を合わせる。 |
| 重大インシデント時の特別報告 | 事故時の事実経過と是正 | 平時の監査負荷を抑えつつ、事故時の説明可能性を確保する。 |
人的信頼、重要情報、法令上の監督責任、事故影響、監督不能性を見ます。
原則禁止または厳格な個別承諾制にすべき場面は、委託者が特定の会社・専門家・担当者を信頼して発注した業務、重要情報を扱う業務、法令上の監督責任が重い業務、事故時の社会的影響が大きい業務、再委託先を監督できない業務です。
次の一覧は、原則禁止に寄せるべき場面を表しています。読者にとって重要なのは、契約金額の大きさではなく、漏えい・停止・公表・行政対応につながる影響の大きさで判断する点です。該当数が多いほど個別承諾制を採用すべきだと読み取ってください。
専門判断、経営助言、不祥事調査、セキュリティ診断、研究開発などは担当者や専門性が成果を左右します。
個人情報、要配慮情報、特定個人情報、営業秘密、ソースコード、秘密鍵、未公表情報は厳格に扱います。
個人情報保護法、番号法、金融、医療、電気通信、重要インフラ、輸出管理、労働者派遣などを確認します。
官公庁、自治体、学校、病院、金融機関、大量顧客データ、適時開示、IR、決算、M&Aは慎重に扱います。
名称、所在地、業務内容、安全管理措置、再々委託を開示できない場合、条件付き許可の前提がありません。
一方、専門分業が必要な業務やクラウド・SaaSの標準構造では、禁止よりも条件付き許可が合理的です。次の一覧は、条件付き許可に向く場面を表しています。再委託を隠させるより、開示・同等義務・受託者責任で管理する方が実効的な場面を読み取ってください。
システム開発、物流、製造、広告制作、翻訳、保守点検では専門会社利用が品質向上につながることがあります。
セキュリティ監査会社、翻訳専門会社、クラウド基盤会社、配送会社、専門測定機関などを活用する場合です。
大手クラウドやSaaSでは、サブプロセッサー一覧、変更通知、異議申立て、同等義務で管理します。
清掃、一般印刷、軽微な配送、什器設置、イベント補助などでは、重要情報へのアクセス有無で濃淡を付けます。
次の縦方向の比較は、合計点が上がるほど承認水準を厳しくする考え方を表しています。なぜ重要かというと、多数の契約を扱う法務部門では、同じ評価軸で事業部、法務、情報セキュリティ、購買が議論する必要があるためです。数値は自動的な法的結論ではなく、追加確認の強さを決める目安として読んでください。
スコアリングでは、取り扱う情報、業務重要性、人的信頼、アクセス権限、再委託必要性、監督可能性、事故影響を0点から3点で評価します。16点以上では再委託禁止を基本とし、例外は役員、法務、情報セキュリティの承認に寄せるのが一例です。
事前開示、同等義務、受託者責任、再々委託、変更通知、解除を条項化します。
条件付き許可を採用する場合、再委託先を知っているだけでは足りません。誰が、どの業務を、どの情報に触れて、どの安全管理措置で処理し、事故時に誰が責任を負うのかを契約に落とす必要があります。
次の比較表は、承認前に取得すべき情報を表しています。なぜ重要かというと、会社名だけを承認しても、業務範囲、取扱情報、越境移転、再々委託が不明ではリスク評価ができないためです。承認対象は「会社名+業務範囲+取扱情報+管理条件」と読むべきです。
| 事前開示事項 | 確認する理由 | 条件設定の例 |
|---|---|---|
| 商号、所在地、代表者、担当部署 | 実在性、管轄、信用、連絡経路を確認する。 | 高リスクでは国・地域まで承認対象にする。 |
| 再委託する業務範囲 | どこまで第三者に処理させるかを特定する。 | 主要工程と補助工程を分ける。 |
| 再委託の必要性 | 受託者の都合だけか、業務上不可欠かを確認する。 | 代替手段や直接契約の可否を検討する。 |
| 取り扱う情報の種類 | 個人情報、営業秘密、マイナンバー、機密情報の有無を確認する。 | アクセス範囲を最小化する。 |
| 安全管理措置 | 再委託先の管理水準を説明できるようにする。 | チェックシート、認証、ログ、報告を条件にする。 |
| 再々委託と越境移転 | 委託連鎖とデータ移転を把握する。 | 禁止、同等手続、変更通知を定める。 |
次の一覧は、再委託先へ流し込むべき義務を表しています。読者にとって重要なのは、受託者との契約義務が再委託先で途切れないようにする点です。秘密保持だけでなく、知財、事故報告、終了時削除、反社排除まで含めて読む必要があります。
秘密保持、個人情報保護、安全管理、目的外利用禁止、第三者提供・再々委託制限を課します。
成果物の権利帰属、使用制限、OSS管理、二次利用禁止を再委託先にも及ぼします。
漏えい、障害、無断再委託、法令違反の初動報告、証跡保全、原因調査、再発防止を定めます。
返却、削除、消去証明、アカウント停止、媒体返却、バックアップの扱いを条件にします。
次の比較表は、四つの条項例で入れるべき骨子を表しています。なぜ重要かというと、業務類型に合わない条項を使うと、厳しすぎて履行不能になったり、緩すぎて統制不能になったりするためです。自社の契約ではどの型を基礎にすべきかを読み取ってください。
| 条項型 | 中核文言 | 追加すべき条件 |
|---|---|---|
| 原則禁止+個別承諾型 | 事前の書面承諾なく第三者を関与させてはならない。 | 承諾申請事項、承諾拒絶・条件付与、同等義務、受託者責任、再々委託禁止、違反時解除。 |
| 条件付き包括許可型 | 別紙再委託先一覧に記載された第三者への再委託を承諾する。 | 一覧の更新、追加・重要変更通知、異議申立て、同等義務、報告・資料提出。 |
| クラウド・SaaS型 | サービス提供に必要な範囲でサブプロセッサーを利用できる。 | 一覧提供、追加通知、異議申立て、代替措置協議、同等データ保護義務、受託者責任。 |
| 低リスク簡易型 | 必要な範囲で第三者を利用できる。 | 秘密保持、必要な義務、第三者の行為に対する責任、合理的な報告義務。 |
実際の条項では、再委託先の名称、所在地、業務範囲、再委託の必要性、取扱情報、安全管理措置、再々委託の有無を事前提出させ、委託者が合理的理由により承諾拒絶または条件付与できるようにします。違反時には、承諾取消し、是正要求、業務停止、損害賠償請求、契約解除を選択できる形にします。
システム開発、クラウド、AI、人事、M&A、製造、広告で管理ポイントは変わります。
同じ再委託条項でも、業務類型によって適切な強さは変わります。システム開発では専門分業が通常ですが、本番環境アクセスや顧客データ移行は厳格に扱います。人事・給与では個人情報やマイナンバーが中心になり、M&Aや不祥事調査では人的信頼と未公表情報が中心になります。
次の比較表は、業務類型ごとの推奨方針と確認項目を表しています。読者にとって重要なのは、類型ごとの標準方針を持つことで、事業部からの相談に一貫して答えられる点です。自社の契約がどの類型に近いかを読み取ってください。
| 業務類型 | 推奨方針 | 確認項目 |
|---|---|---|
| システム開発 | 条件付き許可。ただし要件定義、基本設計、本番環境、顧客データ移行、セキュリティ設計は個別承諾。 | ソースコード帰属、OSS管理、秘密保持、納期責任、保守責任。 |
| クラウド・SaaS | 条件付き包括承諾。 | サブプロセッサー一覧、データ保存地域、越境アクセス、暗号化、ログ、削除証明、第三者認証。 |
| AI・データ利活用 | 条件付き許可または個別承諾。 | 学習利用、モデル改善、外部API入力、ログ保存、匿名加工、生成物の権利帰属、二次利用禁止。 |
| 人事・給与・社会保険 | 原則禁止+個別承諾制。 | 従業員情報、マイナンバー、健康情報、家族情報、給与情報、削除証明、漏えい時報告。 |
| 法務・会計・税務・M&A・不祥事調査 | 原則禁止+個別承諾制。 | チームメンバー、外部専門家、利益相反、資格、データルーム、海外専門家、翻訳会社。 |
| 製造・建設・物流 | 条件付き許可。主要工程は事前承認、軽微工程は通知制または包括承認。 | 品質基準、検査、トレーサビリティ、図面、金型、輸出管理、労務、安全衛生。 |
| 広告・制作・マーケティング | 条件付き許可。 | 顧客リスト、応募者情報、SNS運用、インフルエンサー、動画制作、配信、アクセス解析。 |
次の一覧は、業務類型を問わず再委託の承認時に追加確認すべき論点を表しています。なぜ重要かというと、再委託条項だけでは、AI学習、外部API、データルーム、広告配信などの実務上の抜け道を捕捉できない場合があるためです。契約書の用語よりも、第三者が実際にデータや成果物をどう扱うかを読んでください。
顧客データ、プロンプト、出力、評価データ、ログを第三者モデルやAPIに入力できるかを明確にします。
買い手候補、外部専門家、翻訳会社、データ解析会社に渡す範囲を段階的に管理します。
主要工程、検査、トレーサビリティ、図面・金型・技術情報の管理を再委託先まで及ぼします。
キャンペーン事務局、SNS運用、動画制作、広告配信、解析タグが個人情報や秘密情報に触れるかを確認します。
契約条項を、承認、更新、監査、事故対応、終了時確認に接続します。
再委託条項は、契約書に書くだけでは機能しません。現場が承認手続を知らなければ、受託者が協力会社を使っていても社内で把握できません。承認、台帳、定期レビュー、事故対応、終了時削除までを社内プロセスとして設計する必要があります。
次の時系列は、再委託承認を進める順番を表しています。なぜ重要かというと、事業部だけで承認すると法令・個人情報・セキュリティ・購買の観点が抜けやすいためです。上から順に、誰が何を確認し、どの条件を契約書や別紙に反映するかを読み取ってください。
再委託が業務遂行上必要か、代替手段があるか、品質・納期にどの利益があるかを説明します。
名称、所在地、業務範囲、取扱情報、安全管理措置、再々委託、越境移転を確認します。
法務、個人情報保護担当、情報セキュリティ、購買・調達が、それぞれの観点で条件を付けます。
契約書、発注書、別紙、再委託先一覧、DPA、セキュリティ別紙に条件を反映します。
契約期間中の定期レビュー、事故時の臨時確認、終了時の返却・削除・アカウント停止を確認します。
次の比較表は、RACIの役割分担例を表しています。重要なのは、再委託必要性の説明、契約条項審査、個人情報判断、セキュリティ評価、取引先審査、承認記録、定期監査を一人の担当者に閉じない点です。Rは実行責任、Cは相談先、Iは情報共有先として読み取ってください。
| タスク | 事業部 | 法務 | 個人情報担当 | 情報セキュリティ | 購買 | 内部監査 |
|---|---|---|---|---|---|---|
| 再委託必要性の説明 | R | C | C | C | C | I |
| 契約条項審査 | C | R | C | C | C | I |
| 個人情報該当性判断 | C | C | R | C | I | I |
| セキュリティ評価 | C | C | C | R | I | I |
| 取引先審査 | I | C | I | C | R | I |
| 承認記録管理 | R | R | C | C | C | I |
| 定期監査 | I | C | C | C | I | R |
次の比較表は、承認台帳に最低限記録すべき項目を表しています。なぜ重要かというと、台帳がなければ契約更新、内部監査、事故対応、個人情報保護監査、内部統制評価の場面で、誰が再委託先か分からなくなるためです。契約単位だけでなく、再委託先単位で管理する点を読み取ってください。
| 台帳項目 | 記録する内容 | 活用場面 |
|---|---|---|
| 契約・委託先 | 契約名、委託先名、契約終了日 | 契約更新、解除、終了時確認。 |
| 再委託先 | 再委託先名、所在地、所在国、業務範囲 | 越境移転、反社、信用調査。 |
| 取扱情報 | 個人情報、マイナンバー、営業秘密、未公表情報 | リスク区分、監査頻度、漏えい対応。 |
| 承認情報 | 承認日、承認者、承認条件、再々委託の有無 | 承認範囲超過の確認。 |
| レビュー | 監査・報告頻度、最終レビュー日、削除・返却確認日 | 定期レビュー、内部統制評価。 |
条項があるだけ、社名だけ承認、再々委託の見落とし、終了時未確認を防ぎます。
再委託管理の失敗は、条項の有無ではなく、現場運用との接続不足から起きることが多いです。契約書には事前承認制と書かれているのに、現場が承認手続を知らず、発注書や体制図にも再委託先が出てこない状態では、統制として機能しません。
次の一覧は、よくある失敗例を表しています。なぜ重要かというと、どれも契約文言だけでは発見しにくく、事故時に初めて顕在化しやすいためです。失敗例ごとに、契約締結時と契約期間中の確認ポイントを読み取ってください。
契約締結時に再委託の有無をヒアリングし、発注書、作業計画書、体制図に明記させます。
別法人である以上、グループ内でも再委託または第三者提供として整理します。
会社名だけでなく、業務範囲、取扱情報、再々委託、管理条件を承認対象にします。
個別監査、第三者監査報告書、質問票、認証、インシデントレポートのどれが使えるかを確認します。
再委託先がさらに第三者へ出す場合を、禁止または同等手続にします。
再委託先の端末、クラウド、バックアップ、ログに残るデータの削除・返却を確認します。
交渉では、受託者が再委託先情報を開示したがらない、委託者が全再委託先への現地監査を求める、緊急時に外部支援が必要になる、業務補助者を再委託から除外したいといった論点が出ます。次の比較表は、典型論点と落としどころを表しています。リスクに応じて開示範囲と監査方法を段階化する点を読み取ってください。
| 交渉論点 | 相手の主張 | 実務上の落としどころ |
|---|---|---|
| 再委託先を開示したくない | 営業秘密、調達網、価格競争力、セキュリティ上の理由がある。 | 低リスクは業務分類・所在地国・安全管理措置、中リスク以上は社名・所在地・業務範囲を求める。 |
| 全再委託先への現地監査 | 委託者が強い監査権を求める。 | 現地監査、リモート監査、質問票、認証、監査報告書、事故時監査に分ける。 |
| 緊急時の再委託 | 障害、災害、サイバー攻撃で第三者支援が必要になる。 | 緊急必要性、秘密保持、安全管理、事後報告、以後の停止権を条件にする。 |
| 業務補助者の除外 | 派遣社員、契約社員、個人外注、グループ会社社員を規制から外したい。 | 呼称ではなく、指揮命令、規程適用、秘密保持、重要情報アクセス、責任主体で判断する。 |
社内規程では、レベル1を公開情報のみの低額定型補助、レベル2を社内情報と標準的外注、レベル3を個人情報・営業秘密・重要業務、レベル4をマイナンバー・要配慮情報・基幹システム・M&A・不祥事と分けると運用しやすくなります。高リスク再委託先は少なくとも年1回、中リスク再委託先は契約更新時、低リスク再委託先は必要に応じてレビューします。
一般的な制度・契約実務の考え方を整理します。個別事情により結論は変わります。
一般的には、重要情報、人的信頼、事故影響が大きい業務では原則禁止または個別承諾制が採られやすいとされています。ただし、システム開発、物流、製造、クラウド、広告制作などでは専門分業が通常であるため、業務内容、情報アクセス、監督方法によって結論が変わる可能性があります。具体的な条項設計は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、再委託先の名称、所在地、業務範囲、取扱情報、安全管理措置、再々委託の有無、事故報告、同等義務、受託者責任を条件にすることが多いとされています。ただし、個人情報、マイナンバー、営業秘密、基幹システム、越境移転の有無によって必要な条件は変わります。具体的には、契約書と業務実態を確認したうえで専門家に相談する必要があります。
一般的には、クラウドやSaaSではサブプロセッサー構造が標準化されており、個別承認だけでは実務に合わない場合があります。その場合、サブプロセッサー一覧、変更通知、異議申立て、同等義務、受託者責任、第三者監査レポートを組み合わせた包括承諾が検討されます。ただし、取り扱うデータや業界規制によって必要な対応は変わります。
一般的には、親会社、子会社、関連会社であっても別法人である以上、再委託または第三者提供として整理する必要があると考えられます。ただし、契約関係、共同利用、業務範囲、個人情報の扱い、越境移転の有無によって整理は変わる可能性があります。具体的には、グループ内の実態と契約書を確認して専門家に相談する必要があります。
一般的には、再委託を認める契約では、受託者が再委託先の行為および不作為について自己の行為と同様に責任を負う旨を明記することが多いとされています。ただし、責任範囲、損害賠償の上限、故意・重過失、不可抗力、証跡の有無によって結論が変わる可能性があります。具体的な見通しは、契約書と事故状況を整理して弁護士等へ相談する必要があります。
再委託、個人情報、サイバーセキュリティ、取引適正化、国際データ保護の基礎資料です。