2σ Guide

再委託先の事前承認条項の実務運用
契約・個人情報・委託先管理

再委託の承認は、条項を置くだけでは機能しません。誰が、何を、どこで、どの情報を扱うのかを、契約・申請・台帳・監査証跡でつなぐための実務ポイントを整理します。

8項目運用プロセス
6分類申請情報
5段階成熟度管理
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

再委託先の事前承認条項の実務運用 契約・個人情報・委託先管理

再委託の承認は、条項を置くだけでは機能しません。

動画を読み込み中…
2σ GUIDE ・ VIDEO
再委託先の事前承認条項の実務運用 契約・個人情報・委託先管理
再委託の承認は、条項を置くだけでは機能しません。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 再委託先の事前承認条項の実務運用 契約・個人情報・委託先管理
  • 再委託の承認は、条項を置くだけでは機能しません。

POINT 1

  • 再委託先の事前承認条項の実務運用の全体像
  • 1. 再委託の定義を明確にする:グループ会社、クラウド、個人事業主、海外拠点、外部SaaSを含めるかを契約上整理します。
  • 2. 承認対象と低リスク外注を区別する:個別承認、包括承認、事後報告の対象をリスクに応じて分けます。
  • 3. 承認申請の情報項目を定める:名称、所在地、業務範囲、データ種別、再々委託、安全管理措置、事故連絡先を確認します。
  • 4. 部門ごとの役割を決める:法務、事業、個人情報保護、情報セキュリティ、購買、内部監査の確認範囲を分けます。
  • 5. 承認判断の基準を持つ:承認、条件付き承認、不承認、変更承認、緊急時承認の基準を記録可能にします。
  • 6. 再委託先台帳を整備する:契約、データ、業務、国、承認条件、監査証跡、終了処理をひもづけます。
  • 7. 下位委託先へ同等義務を及ぼす:秘密保持、安全管理措置、監査、事故報告、再々委託制限、返還・削除義務を契約に入れます。
  • 8. 承認後も確認を続ける:定期モニタリング、事故時対応、契約終了時の返還・削除確認を行います。

POINT 2

  • 再委託先の事前承認条項の実務運用で押さえる定義
  • 契約相手を選んだ前提が崩れる
  • 委託者が評価していない第三者が実作業を担うと、信用、専門性、セキュリティ、品質管理を確認した意味が薄れます。
  • 秘密情報・個人情報が見えない先へ流れる
  • 誰がどの情報へアクセスするかを把握できなければ、漏えい時の初動、証拠保全、本人対応が遅れます。

POINT 3

  • 再委託先の事前承認条項の実務運用と民法・契約類型
  • 委任・準委任・請負・代理では、再委託制限の意味が変わります。
  • 委任・準委任では復受任者の選任が問題になる
  • 請負では完成責任だけでなく管理条項が重要になる
  • 代理権限の再委任は別枠で確認する

POINT 4

  • 個人情報・IT・業法で変わる再委託先の事前承認条項の実務運用
  • 個人データ、マイナンバー、SaaS、AI、建設・製造・物流では確認範囲が広がります。
  • 個人データと事故報告
  • 特定個人情報・マイナンバー業務
  • クラウド・SaaSの一般承認

POINT 5

  • 再委託先の事前承認条項の実務運用に使う承認方式
  • 1. 再委託の内容を把握:業務範囲、データ種別、処理国、再々委託、アクセス権限を確認します。
  • 2. 高リスク情報または主要業務に該当するか:個人データ、特定個人情報、重要秘密情報、本番環境、管理者権限、国外処理などを見ます。
  • 3. 個別・明示の事前承認:条件、期限、監査、終了時処理を記録します。
  • 4. 包括承認または定期報告:台帳登録と変更通知で管理します。

POINT 6

  • 再委託先の事前承認条項の実務運用に必要な申請情報と審査基準
  • 承認しやすい場合
  • 条件付き承認に寄せる場合

POINT 7

  • 再委託先の事前承認条項の実務運用を支える社内承認手順と台帳管理
  • 1. 事業部による申請受付:業務上の必要性、代替可能性、納期影響、顧客影響を確認します。
  • 2. リスク分類:個人データ、秘密情報、重要システム、国外処理、再々委託、主要部分の外注を確認します。
  • 3. 専門部門レビュー:法務、個人情報保護、情報セキュリティ、購買、内部監査、事業部門が分担して確認します。
  • 4. 承認決裁と証跡管理:承認、条件付き承認、不承認、追加情報要求、一時承認、緊急承認を記録します。
  • 5. 契約確認と承認後モニタリング:下位委託先への義務付け、台帳登録、年1回以上の再評価、終了時削除確認につなげます。

POINT 8

  • 再委託先の事前承認条項の実務運用に使う契約条項例
  • 基本条項、合理的拒否、責任、事故報告、監査、終了時処理を組み合わせます。
  • 基本的な事前承認条項
  • 合理的拒否・みなし承認を含む条項
  • 下位委託先への同等義務の伝達

まとめ

  • 再委託先の事前承認条項の実務運用 契約・個人情報・委託先管理
  • 再委託先の事前承認条項の実務運用の全体像:条項、承認申請、台帳、監査、事故対応を一体で設計します。
  • 再委託先の事前承認条項の実務運用で押さえる定義:委託者、受託者、再委託先、再々委託先、履行補助者を区別します。
  • 再委託先の事前承認条項の実務運用と民法・契約類型:委任・準委任・請負・代理では、再委託制限の意味が変わります。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

再委託先の事前承認条項の実務運用の全体像

条項、承認申請、台帳、監査、事故対応を一体で設計します。

このページは、企業法務、契約法務、個人情報保護、情報セキュリティ、内部統制、購買管理、監査、M&A・PMI、規制業種対応の観点から、再委託先の事前承認条項の実務運用を整理する一般的な解説です。個別案件の結論は、契約内容、業種、データの種類、準拠法、交渉力、事故の有無によって変わるため、具体的な対応は弁護士等の専門家へ相談する必要があります。

再委託先の事前承認条項とは、受託者が委託業務の全部または一部を第三者へ委ねる場合に、委託者の事前承認を求める条項です。実務上の重要性は、勝手な丸投げの防止にとどまりません。品質、納期、秘密保持、個人情報保護、情報セキュリティ、サプライチェーン・リスク、業法規制、利益相反、反社会的勢力排除、輸出管理、監査可能性、事故時の責任追跡可能性を確保するための統制装置です。

次の強調表示は、この条項の核心を一文にまとめたものです。条項を「承認するかどうか」の文言として読むだけでは運用が止まりやすいため、何を継続的に見える状態にするのかを読み取ることが重要です。

承認条項は可視化のためのガバナンス条項

誰が、何を、どこで、どの情報を、どの責任で、どの統制の下で処理するかを見える状態にし続けることが、再委託先の事前承認条項の実務運用の中心です。

次の時系列は、再委託先の事前承認条項を実際に動かすための8つの作業順序を表しています。各段階は独立した作業ではなく、前の段階の記録が後続の審査・台帳・監査に使われる点を読み取ってください。

01

再委託の定義を明確にする

グループ会社、クラウド、個人事業主、海外拠点、外部SaaSを含めるかを契約上整理します。

02

承認対象と低リスク外注を区別する

個別承認、包括承認、事後報告の対象をリスクに応じて分けます。

03

承認申請の情報項目を定める

名称、所在地、業務範囲、データ種別、再々委託、安全管理措置、事故連絡先を確認します。

04

部門ごとの役割を決める

法務、事業、個人情報保護、情報セキュリティ、購買、内部監査の確認範囲を分けます。

05

承認判断の基準を持つ

承認、条件付き承認、不承認、変更承認、緊急時承認の基準を記録可能にします。

06

再委託先台帳を整備する

契約、データ、業務、国、承認条件、監査証跡、終了処理をひもづけます。

07

下位委託先へ同等義務を及ぼす

秘密保持、安全管理措置、監査、事故報告、再々委託制限、返還・削除義務を契約に入れます。

08

承認後も確認を続ける

定期モニタリング、事故時対応、契約終了時の返還・削除確認を行います。

Section 01

再委託先の事前承認条項の実務運用で押さえる定義

委託者、受託者、再委託先、再々委託先、履行補助者を区別します。

再委託先の事前承認条項を運用するには、最初に「誰を管理対象にするか」を明確にする必要があります。契約書に再委託という言葉だけを置いても、グループ会社、クラウド、派遣社員、個人事業主、外部SaaSの扱いが曖昧なままでは、承認漏れが起きやすくなります。

次の一覧は、契約実務で混同されやすい関係者の違いを表しています。どの主体が業務を行い、どの情報へアクセスし、事故時の責任追跡にどう関わるかを読み取ることが重要です。

委託者

業務を依頼する側

業務、作業、処理、開発、運用、調査、配送、保守、顧客対応、データ処理などを他者に依頼する者です。発注者、クライアント、ユーザー、委任者、注文者、コントローラーと呼ばれることもあります。

受託者

業務を引き受ける側

委託者から業務を引き受ける者です。ベンダー、サプライヤー、サービス提供者、処理者、請負人、受任者などが含まれます。

再委託先

受託者からさらに業務を受ける第三者

受託者が委託業務の全部または一部をさらに委ねる相手方です。サブコントラクター、サブプロセッサ、再受託者、下請先とも呼ばれます。

再々委託先

二次・三次以降の委託先

再委託先がさらに別の第三者へ委託する場合の相手方です。重要業務や個人データ処理では、再委託先だけでなく委託連鎖全体を管理対象にします。

再委託と履行補助者の境界

受託者の従業員が社内で業務を担当することは、通常は再委託ではありません。ただし、別法人、海外グループ会社、派遣社員、業務委託者、常駐協力会社が関与する場合は、形式だけでなく実態に応じて再委託・第三者関与として扱う必要があります。

実務上は、受託者が業務の一部を外注する場合、グループ会社に作業を担当させる場合、クラウド事業者・データセンター・コールセンター・配送会社・開発協力会社・保守協力会社を利用する場合、海外拠点や外部SaaSを用いて委託業務を実質処理する場合が問題になります。

承認、同意、承諾、許諾で決めるべきこと

契約書では「事前承認」「事前同意」「事前承諾」「許諾」という表現が混在します。重要なのは語感の違いではなく、申請方法、承認権者、期限、必要情報、合理的拒否、みなし承認、重要変更時の再承認を具体化することです。

次の一覧は、再委託を広く認めた場合に起こりやすい管理上の空白を表しています。契約相手を選んだ意味、サプライチェーン・リスク、事故時の追跡可能性を守るために、どの空白を条項と運用で埋めるべきかを確認してください。

契約相手を選んだ前提が崩れる

委託者が評価していない第三者が実作業を担うと、信用、専門性、セキュリティ、品質管理を確認した意味が薄れます。

秘密情報・個人情報が見えない先へ流れる

誰がどの情報へアクセスするかを把握できなければ、漏えい時の初動、証拠保全、本人対応が遅れます。

二次・三次委託で責任追跡が難しくなる

再々委託以降が未管理だと、事故原因、契約違反、削除状況、監査対象を特定しにくくなります。

承認条項が形だけになる

申請書、台帳、変更管理、終了時確認がなければ、事前承認条項は実務上の統制として機能しません。

Section 03

個人情報・IT・業法で変わる再委託先の事前承認条項の実務運用

個人データ、マイナンバー、SaaS、AI、建設・製造・物流では確認範囲が広がります。

個人データの取扱いを伴う委託では、個人情報保護法上の委託先監督が問題になります。委託先が再委託先に個人データを取り扱わせる場合、委託元は、再委託先・再々委託先を含む委託連鎖を実質的に把握・監督できる仕組みを持つ必要があります。

個人データと事故報告

委託先監督では、委託先の選定、委託契約、取扱状況の把握が重要です。再委託先で漏えい等またはそのおそれが発生した場合は、再委託先から受託者へ、受託者から委託者へ速報される連絡経路と期限を、あらかじめ契約・申請書・台帳で確認します。

特定個人情報・マイナンバー業務

マイナンバーを扱う給与計算、社会保険、税務、法定調書、年末調整、株主管理では、通常の個人データ委託より慎重な管理が必要です。特定個人情報の有無、対象事務、件数、安全管理措置、再々委託、アクセス権限、削除・廃棄方法、定期報告方法を承認申請に含めます。

次の一覧は、業務領域ごとに再委託承認で確認すべき重点を表しています。データ、権限、所在国、許認可、現場安全など、業務領域によって見るべきリスクが異なる点を読み取ってください。

個人データ処理

委託先監督、再委託先監督、漏えい等報告、本人通知、国外移転、安全管理措置を確認します。

委託先監督事故報告

マイナンバー業務

最初の委託者の許諾、間接的監督、特定個人情報の取扱範囲、削除・廃棄方法を重く見ます。

許諾高リスク
IT

IT・クラウド・SaaS

サブプロセッサ一覧、変更通知、異議申立て、データ保存国、サポート国、DPA、監査報告書を確認します。

SaaS国外処理
AI

AI・データ分析

入力データの学習利用、ログ保存、モデル運用、評価、モデレーション、秘密情報・個人データの混入を確認します。

データ利用ログ管理

建設・製造・物流

一括下請負、施工体制、許認可、保険、安全管理、品質不良、製造場所変更、配送・倉庫・通関を確認します。

現場管理許認可

クラウド・SaaSの一般承認

グローバルSaaSでは、委託者ごとに全サブプロセッサの個別承認を取る運用が現実的でない場合があります。そのため、契約締結時の一覧提示、追加・変更時の通知、合理的理由に基づく異議申立て、同等義務の伝達、所在国・アクセス国の確認を組み合わせます。

建設・製造・物流など現場型業務

再委託先の事前承認条項は、IT・個人情報だけの問題ではありません。建設、製造、物流、設備保守、清掃、警備、医療、食品、金融、通信、エネルギーなどでは、法令・許認可・安全管理・品質管理と結び付きます。

Section 04

再委託先の事前承認条項の実務運用に使う承認方式

全面禁止、個別承認、一般承認、みなし承認、緊急時例外を使い分けます。

再委託をすべて同じ重さで扱うと、重要な案件に審査リソースを集中できません。実務では、秘密性、個人データ、システム権限、業務の主要性、海外処理、再々委託の有無に応じて、承認方式を階層化します。

次の比較表は、再委託先の承認方式を類型別に整理したものです。厳格さと運用負荷の差を読み取り、どの業務にどの方式を当てるかを検討するために使います。

方式概要向いている場面注意点
全面禁止型再委託を原則禁止します。秘密性が極めて高い業務、重要研究開発、内部通報、危機対応。通常利用するクラウドや専門協力会社まで排除しないよう例外設計が必要です。
個別事前書面承認型委託者の事前の書面承認を条件にします。標準的な業務委託、個人データ、秘密情報、主要業務。申請情報、承認期限、変更承認、再々委託の扱いを定めます。
主要再委託先承認型主要部分は事前承認、補助的業務は報告とします。多くの協力会社を使う開発、BPO、運用業務。主要部分と補助的業務の例示を置きます。
一般承認・異議申立て型一覧の利用を承認し、変更時に通知と異議機会を設けます。クラウド、SaaS、国際的なサブプロセッサ利用。Web掲載だけで足りるか、管理者メール通知が必要かを決めます。
ホワイトリスト型承認済み一覧の者だけを利用できます。固定協力会社を使うシステム開発やBPO。追加・変更のたびに承認または一覧更新が必要です。
みなし承認型一定期間内に拒否がなければ承認扱いにします。事業スピードが重要な中低リスク業務。特定個人情報、重要秘密情報、国外処理は対象外にする設計が望ましいです。
緊急時例外型障害・災害・重大インシデント時に必要最小限の第三者利用を認めます。セキュリティ事故、障害復旧、災害対応。速やかな通知、継続利用の正式承認、証跡保存を必須にします。

次の判断の流れは、承認方式を選ぶ際の考え方を表しています。最初に情報・権限・業務主要性を確認し、高リスクなら個別承認へ、低リスクなら標準化された報告へ分ける点を読み取ってください。

承認方式の判断手順

再委託の内容を把握

業務範囲、データ種別、処理国、再々委託、アクセス権限を確認します。

高リスク情報または主要業務に該当するか

個人データ、特定個人情報、重要秘密情報、本番環境、管理者権限、国外処理などを見ます。

該当
個別・明示の事前承認

条件、期限、監査、終了時処理を記録します。

非該当
包括承認または定期報告

台帳登録と変更通知で管理します。

Section 05

再委託先の事前承認条項の実務運用に必要な申請情報と審査基準

申請書の項目をそろえ、承認・条件付き承認・不承認を証跡化します。

承認申請書の設計は、再委託先管理の中核です。申請情報が不足していると、法務・個人情報保護・情報セキュリティ・購買・内部監査のいずれも実質的な審査ができず、承認が形式化します。

次の比較表は、承認申請書に含めるべき情報を6つに分けたものです。各列は、誰に、何を、どの情報で、どの統制の下で任せるかを判断する材料であり、不足項目が条件付き承認や追加情報要求につながる点を読み取ってください。

情報分類主な項目審査で見ること
基本情報正式商号、法人番号、本店所在地、業務実施地、責任者、反社確認、制裁・輸出管理、重大事故歴。再委託先の実体、信用、所在、法令上の懸念を確認します。
業務情報業務内容、必要性、全体に占める割合、開始・終了予定、作業場所、システムアクセス、成果物。丸投げ構造ではないか、代替手段があるか、主要部分に関与するかを見ます。
データ・情報秘密情報、個人データ、要配慮個人情報、特定個人情報、件数、保管場所、処理場所、国外移転。情報の機微性、本人属性、越境処理、暗号化・マスキングの必要性を見ます。
セキュリティ・管理ISMS、SOC 2、アクセス権限、多要素認証、ログ、脆弱性管理、端末管理、BCP。重要情報へのアクセスを任せられる水準か、事故時に追跡できるかを確認します。
契約・法務再委託先契約、秘密保持、個人情報保護、安全管理、再々委託制限、監査、事故報告、保険。受託者の義務が下位委託先にも届くか、責任追及と協力義務を確保できるかを見ます。
再々委託有無、名称、所在地、業務内容、必要性、取扱情報、義務付け、監督方法。多層委託で管理不能にならないか、承認対象から漏れていないかを確認します。

次の一覧は、承認結果を分ける代表的な判断材料を表しています。承認・条件付き承認・不承認の違いを記録しておくことで、合理的な審査過程を後から説明しやすくなります。

承認しやすい場合

必要性が明確、範囲が限定、情報アクセスが最小限、能力・信用・セキュリティ水準を確認済み、契約上の義務付けと事故報告経路が整っている場合です。

条件付き承認に寄せる場合

未回答項目、条項不足、海外処理の補足不足、監査報告書の後日提出、管理者権限制限、個人データのマスキング条件などがある場合です。

不承認を検討する場合

丸投げ構造、実体・所在地不明、過大な情報アクセス、安全管理不足、再々委託の不透明性、重大事故歴、許認可不足、利益相反、監査拒否がある場合です。

高・中・低リスクの分類

高リスクには、個人データ、要配慮個人情報、特定個人情報、重要営業秘密、M&A情報、訴訟資料、未公表技術、本番環境、管理者権限、ソースコード、暗号鍵、国外処理、重要インフラ、金融、医療、公共、建設、安全関連業務、多層委託、主要部分の外注が含まれます。

中リスクは、限定的な秘密情報、個人データを扱わない限定的なシステムアクセス、業務の一部補助が中心の外注です。低リスクは、個人データ・秘密情報を扱わず、委託者のシステムや施設へアクセスせず、委託者に重大な影響を与えない汎用的補助業務です。

Section 06

再委託先の事前承認条項の実務運用を支える社内承認手順と台帳管理

承認権限、専門部門レビュー、台帳、承認後モニタリングをつなぎます。

再委託承認は、法務部が契約条項だけを見る作業ではありません。事業部は必要性と代替可能性、個人情報保護担当は個人データと国外移転、情報セキュリティ部門はアクセス権限とログ、購買は信用・反社・保険、内部監査は証跡と例外処理を確認します。

次の判断の流れは、申請受付から承認後確認までの社内手順を表しています。順番に意味があり、リスク分類を先に行うことで、高リスク案件を専門部門レビューへ確実につなぐ点を読み取ってください。

社内承認手順

事業部による申請受付

業務上の必要性、代替可能性、納期影響、顧客影響を確認します。

リスク分類

個人データ、秘密情報、重要システム、国外処理、再々委託、主要部分の外注を確認します。

専門部門レビュー

法務、個人情報保護、情報セキュリティ、購買、内部監査、事業部門が分担して確認します。

承認決裁と証跡管理

承認、条件付き承認、不承認、追加情報要求、一時承認、緊急承認を記録します。

契約確認と承認後モニタリング

下位委託先への義務付け、台帳登録、年1回以上の再評価、終了時削除確認につなげます。

部門ごとの確認観点

  • 法務部門 ― 契約上の再委託可否、責任条項、損害賠償、準拠法、裁判管轄、業法規制。
  • 個人情報保護・プライバシー担当 ― 個人データ、委託先監督、安全管理措置、国外移転、漏えい等報告、マイナンバー該当性。
  • 情報セキュリティ部門 ― アクセス権限、認証、暗号化、ログ、脆弱性管理、クラウド設定、サプライチェーン攻撃リスク。
  • 購買・調達部門 ― ベンダー基本情報、反社チェック、信用調査、価格、契約更新、下請管理、保険。
  • 内部監査・内部統制部門 ― 承認証跡、台帳、職務分掌、定期モニタリング、例外処理、社内統制との整合。

次の比較表は、再委託先台帳に最低限含めるべき項目を表しています。台帳は、契約、データ、業務、国、承認条件、監査、終了処理をひもづけるための中心資料であり、空欄があると事故時の追跡が遅れる点を確認してください。

項目内容
管理番号契約・案件・申請をひもづけるID。
委託契約名・主管部署元契約の名称、事業部、システム部門等。
受託者名・再委託先名契約相手方と正式商号。
所在地・処理国本店所在地、作業地、データ保存国。
業務内容・データ種別再委託する具体的作業、個人データ、秘密情報、特定個人情報等。
リスク区分・承認日・承認者高・中・低、事前承認日、承認部門・承認者。
承認条件・再々委託条件付き承認の内容、再々委託の有無と承認状況。
契約確認・監査・事故履歴義務付け条項の確認日、最終確認日、次回予定日、インシデント、是正状況。
終了日・返還削除再委託終了日、証明書、確認日。
Section 07

再委託先の事前承認条項の実務運用に使う契約条項例

基本条項、合理的拒否、責任、事故報告、監査、終了時処理を組み合わせます。

条項例は、そのまま貼り付けるためではなく、業務内容、契約類型、データの種類、業法、交渉力に応じて必要要素を漏れなく確認するために使います。高リスク業務では、みなし承認を外し、事故報告・監査・終了時処理を厚くします。

基本的な事前承認条項

条項例受託者は、委託者の事前の書面による承認を得ない限り、本業務の全部または一部を第三者に再委託してはならない。承認申請では、再委託先の名称、所在地、業務内容、必要性、取扱情報、個人データの有無、再々委託、安全管理措置その他委託者が合理的に求める事項を提出する。

合理的拒否・みなし承認を含む条項

注意委託者は必要情報を備えた申請を受領した日から所定の営業日内に回答する。合理的理由なく承認を拒否しない設計にする場合でも、個人データ、特定個人情報、重要秘密情報、本番システム、管理者権限その他高リスク業務には、みなし承認を適用しない設計が望ましいです。

下位委託先への同等義務の伝達

条項例受託者は、再委託先に対し、秘密保持、個人情報保護、安全管理措置、目的外利用禁止、再々委託制限、事故報告、監査協力、契約終了時の返還・削除、反社会的勢力排除、法令遵守その他再委託業務の性質上必要な義務と同等以上の義務を課す。

受託者責任条項

再委託を認める場合でも、受託者が責任を免れる構造にしないことが基本です。再委託先の行為または不作為について、受託者が自己の行為または不作為と同様に責任を負うと定めます。ただし、委託者が特定の再委託先を指定し、受託者に選定・管理の裁量がない場合は、責任分担を別途協議する余地があります。

再々委託制限条項

条項例受託者は、再委託先をして、委託者の事前の書面承認なく、再委託業務の全部または一部をさらに第三者へ委託させてはならない。再々委託以降についても同様とする。

一般承認・異議申立て型条項

クラウド・SaaSでは、契約締結時点の再委託先一覧を承認し、追加・削除・重要変更について一定期間前に通知する方式が実務的です。委託者は、個人データ、秘密情報、情報セキュリティ、法令遵守、業務継続に重大な支障が生じる合理的なおそれがある場合に異議を述べ、代替措置や不使用、影響範囲の限定を協議します。

事故報告・監査・終了時処理

事故報告条項では、再委託先で漏えい、滅失、毀損、不正アクセス、目的外利用、法令違反、契約違反その他の事故またはそのおそれが発生した場合、受託者が直ちに委託者へ速報し、原因、影響範囲、対象情報、件数、対応状況、再発防止策を継続的に報告する義務を置きます。

監査・証跡条項では、再委託先の管理状況、安全管理措置、事故対応、再々委託状況、教育記録、アクセス管理、ログ管理、削除状況に関する報告または資料提出を求められるようにします。終了時条項では、秘密情報、個人データ、成果物、複製物、バックアップを返還、削除または廃棄し、完了証明を提出させます。

Section 08

再委託先の事前承認条項の実務運用でよくある論点と交渉軸

グループ会社、クラウド、個人事業主、派遣社員、事後承認、承認拒否を整理します。

実務では、契約書の文言よりも、何を再委託として扱うか、どこまで承認対象にするかで迷いやすくなります。形式的に対象外とせず、委託者から見た情報アクセス、業務関与、責任追跡可能性で判断することが重要です。

次の一覧は、再委託先の事前承認条項で典型的に問題になる場面を表しています。共通しているのは、形式名称ではなく、第三者がどの業務・情報・権限へ関与するかを見る点です。

グループ会社

別法人なら管理対象にする

海外グループ会社、シェアードサービス会社、開発子会社、BPO子会社は、再委託または第三者関与として扱うのが基本です。

クラウド

重要情報を保存・処理するなら把握する

汎用インフラでも、個人データや秘密情報が保存・処理される場合は、保存国、サポート国、DPA、監査報告書を確認します。

個人事業主

組織的管理体制を補う条項が必要

秘密保持、端末管理、作業場所、再委託禁止、データ返還・削除、事故報告を明確にします。

派遣社員

第三者作業者として管理する

典型的な再委託とは異なりますが、受託者の従業員以外の者が関与するため、従業者・履行補助者として管理対象に含めます。

事後承認

手続違反が残る可能性がある

事前承認を要求する契約では、追認しても本来の手続違反が問題になります。範囲、期間、データ、事故有無を確認します。

承認拒否

合理的理由を記録する

セキュリティ不足、資格不足、利益相反、所在国リスク、再々委託の不透明性、監査拒否などを理由として整理します。

第三者提供の同意とは別概念

個人データについて、委託に伴う提供は一定の範囲で第三者提供に該当しない扱いを受けることがありますが、委託先監督義務は残ります。契約上の再委託承認は、個人情報保護法上の本人同意とは別の概念であり、どちらか一方があれば他方が不要になるとは限りません。

次の比較表は、委託者側と受託者側の交渉で妥協点を探るための整理です。高リスク領域を個別承認に寄せ、低リスク領域を標準化することで、統制と事業運営の両方を確保する考え方を読み取ってください。

類型承認方式交渉上の考え方
特定個人情報、重要個人データ、重要秘密情報、本番管理者権限個別・明示の事前書面承認みなし承認を避け、条件と証跡を残します。
通常の個人データ、顧客対応、業務主要部分事前承認または条件付き承認情報範囲、事故報告、監査、終了時処理を重視します。
クラウド・SaaSの標準サブプロセッサ一般承認と変更通知、異議申立て一覧、通知方法、異議の期限、代替措置を定めます。
補助的・低リスク業務包括承認と定期報告台帳登録と変更管理により、運用負荷を抑えます。
緊急障害対応事後速やかな通知と継続承認必要最小限、速報、追認、証跡保存を条件にします。
Section 09

再委託先の事前承認条項の実務運用における内部統制・監査・無断再委託対応

承認済みかだけでなく、条件が守られているか、台帳と実態が一致するかを確認します。

再委託先の事前承認条項は、契約書の問題であると同時に内部統制の問題です。内部監査では、「承認されたか」だけでなく、「承認条件が守られているか」「再委託先が増減したときに台帳が更新されているか」「終了時削除が確認されているか」を見ます。

次の比較表は、内部監査で確認すべき項目を整理したものです。各項目は、契約条項、承認証跡、台帳、実態の一致を確認するために重要です。

監査項目確認内容
規程と承認対象承認規程、例外、リスク分類、承認権限が定義されているか。
申請書と証跡標準申請書があり、承認者、承認日、条件、添付資料が残っているか。
台帳と実態台帳が整備され、個人データを扱う再委託先と再々委託先が識別されているか。
契約条項再委託先への義務付け、事故報告、監査、終了時削除が契約に反映されているか。
モニタリング高リスク再委託先の定期確認、承認条件の履行確認、無断再委託の検出手段があるか。

KPIと5段階の成熟度

再委託承認申請の平均処理日数、高リスク再委託先の審査完了率、台帳登録率、個人データ取扱再委託先の契約確認率、再々委託先把握率、定期モニタリング実施率、セキュリティ質問票回収率、事故報告訓練実施率、契約終了時削除証明回収率、無断再委託発見件数を管理すると改善しやすくなります。

次の比較表は、再委託先管理の成熟度を5段階で表しています。自社がどの段階にあり、次に何を整備すべきかを読み取るための目安です。

レベル状態
レベル1契約書に条項はあるが、申請書・台帳・審査基準がない。
レベル2法務部がメールで個別管理しているが、台帳・定期確認が不十分である。
レベル3申請書、承認経路、台帳、リスク分類、条項テンプレートが整備されている。
レベル4法務、個人情報保護、情報セキュリティ、購買、内部監査が連携している。
レベル5契約管理、ベンダー管理、情報資産管理、インシデント管理、内部監査が統合されている。

次の時系列は、無断再委託が発覚した場合の対応順序を表しています。解除や損害賠償を急ぐ前に、事実確認、暫定措置、法的措置を分けて進める点を読み取ってください。

初動確認

範囲とリスクを特定

いつから、誰に、何の業務を、どのデータで、再々委託があるか、法令・契約違反や事故の有無を確認します。

暫定措置

被害拡大を止める

作業停止、アクセス権停止、データ隔離、ログ保全、契約書提出、作業者一覧提出、事故有無の確認を行います。

法的措置

是正と責任追及を検討

是正要求、条件付き継続、違約金、損害賠償、契約解除、顧客・当局対応、再発防止計画を検討します。

よくある失敗例

  • 契約書に条項はあるが、申請様式がなく、何を提出・審査すべきか分からない。
  • 契約締結時点の既存再委託先を確認せず、後で既に利用されていたことが判明する。
  • グループ会社や再々委託先を対象外にし、委託連鎖が見えなくなる。
  • 個人情報保護担当と法務が分断され、再委託先管理が抜け落ちる。
  • 承認が遅すぎて事業が止まり、現場が非公式に処理してしまう。
  • 利用終了時にデータ削除、アクセス権剥奪、バックアップ削除、削除証明を確認しない。
Section 10

再委託先の事前承認条項の実務運用をM&A・国際契約・社内規程へ展開する

専門職・社内部門の役割、M&A・PMI、GDPR型サブプロセッサ条項まで確認します。

再委託先管理は、多職種の連携が前提です。法務だけで完結させると、個人情報、情報セキュリティ、購買、内部監査、知財、労務、会計、M&Aの観点が抜けやすくなります。

次の一覧は、再委託承認に関与する主な専門職・社内部門の役割を表しています。誰がどの観点を担うのかを明確にすると、申請滞留と確認漏れの両方を防ぎやすくなります。

法務担当・企業内弁護士

契約類型、条項設計、承認手続、契約違反時対応、損害賠償、解除、紛争対応を担います。

外部弁護士

大型案件、国際取引、個人情報事故、業法規制、訴訟・仲裁、行政対応、M&A・PMIで助言します。

個人情報保護・情報セキュリティ担当

個人データ、国外移転、漏えい等報告、アクセス管理、認証、暗号化、ログ、インシデント対応を評価します。

購買・内部監査・経営層

信用調査、反社チェック、保険、承認証跡、定期監査、重大リスクの最終判断を担います。

税務・労務・会計・知財の専門職

給与、税務、社会保険、会計、監査、研究開発、ライセンス、営業秘密の流出リスクを確認します。

司法書士・行政書士

登記、許認可、行政手続に関わる委託・再委託で、本人確認、書類管理、個人情報管理の観点から関与します。

M&A・PMI・グループ再編

M&Aでは、対象会社の重要契約に再委託禁止・事前承認条項があるか、対象会社が再委託先を利用しているか、必要な承認を取得しているか、再委託先台帳があるか、個人データを扱う再委託先が特定されているかを確認します。無断再委託は、表明保証違反や補償事項につながる可能性があります。

PMIでは、買収後に契約管理システム、購買台帳、個人情報台帳、IT資産管理を統合し、再委託先管理の基準をそろえます。グループ会社間のシェアードサービスや海外拠点利用も、対象外にしないことが重要です。

国際契約・GDPR型サブプロセッサ条項

国際契約では、再委託先は subcontractor または sub-processor と表現されます。個人データ処理を伴う場合、処理者がサブプロセッサを利用するには、管理者の個別または一般的な書面承認を要する構造が一般的です。一般承認の場合、追加・変更の通知と異議申立ての機会を設けます。

国際SaaS契約では、DPA、サブプロセッサ一覧、追加・変更通知、異議申立て、同等義務、国外移転の根拠、所在国・アクセス国・サポート国を確認します。日本法上の委託先監督と、海外法上のサブプロセッサ承認を二重に確認する必要があります。

社内規程に入れるべき事項

社内規程には、目的、適用対象契約、再委託の定義、クラウド・グループ会社の扱い、事前承認対象、包括承認・事後報告対象、高・中・低リスク分類、申請書、承認権限、審査部門、条件付き承認、緊急時例外、台帳、個人データ・特定個人情報の特則、国外処理、再々委託、定期確認、事故報告、無断再委託時対応、終了時処理、内部監査、規程違反時の措置を入れます。

Section 11

再委託先の事前承認条項の実務運用チェックリストと導入ロードマップ

契約締結前、承認申請時、承認後、契約終了時の確認項目を整理します。

再委託先管理は、契約締結前だけで終わりません。承認申請、承認後の契約確認、定期モニタリング、契約終了時の返還・削除まで、同じ管理番号で追跡できる状態にします。

次の一覧は、段階ごとに確認すべき事項をまとめたものです。各段階で確認する対象が違うため、契約締結前の確認だけで安心せず、承認後と終了時まで証跡を残すことが重要です。

契約締結前

契約類型と既存再委託先

委任・準委任・請負・混合契約のどれに近いか、再委託条項、定義、グループ会社、クラウド、個人事業主、海外拠点、既存再委託先、個人データ、特定個人情報、秘密情報、再々委託、事故報告、監査、終了時削除を確認します。

承認申請時

業務範囲とデータ種別

正式名称・所在地、業務範囲、必要性、データ種別、国外処理、再々委託、セキュリティ措置、契約条項、事故連絡先、終了時処理を確認します。

承認後

台帳と条件履行

台帳登録、承認条件の通知、再委託先契約、アクセス権限、定期確認予定、変更通知窓口、終了時削除証明の取得方法を決めます。

契約終了時

返還・削除・終了ステータス

作業終了、アカウント削除、データ・媒体・資料の返還または削除、バックアップ、削除・廃棄証明、台帳更新、未解決事項の有無を確認します。

次の時系列は、社内導入を5段階で進めるための目安です。いきなり全社統合を目指すのではなく、現状把握、標準化、契約改定、定着、監査・改善の順に進める点を読み取ってください。

第1フェーズ

現状把握

再委託条項がある契約、個人データを扱う契約、重要システム契約、主要BPO契約を抽出し、既存再委託先を洗い出します。

第2フェーズ

標準化

再委託条項、承認申請書、台帳、チェックリスト、審査基準、高・中・低リスク分類を整備します。

第3フェーズ

契約改定

新規契約に標準条項を入れ、既存契約は更新時、変更契約時、重要再委託発生時に順次改定します。

第4フェーズ

運用定着

事業部、購買、情報システム、法務、個人情報保護担当に研修を行い、契約管理システムや承認経路に組み込みます。

第5フェーズ

監査・改善

台帳と実態の一致、承認証跡、契約条項、モニタリング状況を確認し、不備を是正します。

次の強調表示は、再委託先の事前承認条項の実務運用で最終的に目指す状態を表しています。過度な全面禁止でも、実態を把握しない包括承認でもなく、リスクに応じた統制を台帳・契約・監査証跡でつなぐことが要点です。

高リスクは個別承認、低リスクは標準化

再委託先の事前承認条項を成熟させることは、単なる契約管理ではなく、個人情報保護、情報セキュリティ、サプライチェーン強靭化、内部統制、顧客信頼、企業価値保全に直結します。

FAQ

再委託先の事前承認条項に関するFAQ

個別案件の結論ではなく、一般的な制度・実務上の考え方として整理します。

Q1. 再委託先の事前承認条項は必ず必要ですか。

一般的には、すべての契約で同じ厳格さが必要なわけではないとされています。ただし、個人データ、秘密情報、重要システム、顧客対応、規制業務、業務の主要部分を第三者が担う可能性がある契約では、事前承認条項または事前通知・異議申立て条項を設ける必要性が高まります。具体的な条項設計は、対象業務と取扱情報を整理したうえで弁護士等の専門家へ相談する必要があります。

Q2. 再委託を一切禁止すれば安全ですか。

一般的には、全面禁止だけで十分とは限らないとされています。通常利用するクラウド、専門協力会社、保守業者まで禁止すると、履行不能やコスト増につながる可能性があります。重要なのは、リスクの高い再委託を個別承認し、低リスク再委託は包括承認・定期報告にするなど、実務的な統制を設計することです。

Q3. 承認はメールでよいですか。

一般的には、契約上「書面」に電子メールや電子承認を含めると定義していれば、メール承認が用いられることがあります。ただし、承認対象、承認者、承認日、条件、添付資料が後から追跡できる必要があります。重要案件では、契約管理システムや電子署名・電子承認の仕組みを使うことが望ましい場合があります。

Q4. 再委託先と委託者が直接契約すべきですか。

一般的には、委託者と再委託先が直接契約するのではなく、受託者が再委託先に必要な義務を課し、受託者が責任を負う構造が多いとされています。ただし、高リスク案件では、直接監査権、第三者受益者条項、秘密保持契約、データ処理契約を別途検討することがあります。具体的な契約構造は、情報の機微性と当事者関係により変わります。

Q5. 再委託先がさらに再々委託する場合はどう考えますか。

一般的には、再々委託を禁止するか、委託者の事前承認対象にする設計が多いとされています。クラウド・SaaSなどで多層サブプロセッサが避けられない場合は、一覧、変更通知、異議申立て、同等義務の伝達、受託者責任を組み合わせます。個別の可否は、データ種別、処理国、監督可能性によって変わります。

Q6. 承認した再委託先で事故が起きたら委託者にも責任がありますか。

一般的には、承認したという事実だけで委託者が常に事故責任を負うわけではないと考えられます。ただし、個人データの取扱い委託では、委託元の監督義務が問題となる可能性があります。承認時の審査、契約条項、モニタリング、事故対応の適切性が問われることがあるため、具体的な見通しは弁護士等の専門家へ相談する必要があります。

Q7. 再委託先の変更をどう管理すべきですか。

一般的には、再委託先の追加、削除、業務範囲変更、所在地変更、データ処理国変更、再々委託変更を重要変更として定義し、事前承認または事前通知の対象にする方法が用いられます。承認後は台帳を更新し、変更通知の窓口と期限を明確にする必要があります。

Q8. 中小企業でも同じ水準の管理が必要ですか。

一般的には、すべてを大企業並みに行う必要はないとされています。ただし、個人データ、秘密情報、重要顧客、基幹システムを扱う場合は、企業規模にかかわらず最低限の再委託先把握、契約義務、事故報告、削除確認が重要です。表計算ソフトやクラウド管理表で標準申請書、簡易チェックリスト、台帳から始めることも考えられます。

Reference

参考資料

制度理解のために参照される公的資料・信頼性の高い資料名を整理します。

公的資料・ガイドライン

  • Japanese Law Translation「民法(Civil Code)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会 FAQ「再委託に関する監督」
  • 経済産業省「情報システム・モデル取引・契約書」
  • 国土交通省近畿地方整備局「一括下請負の禁止について」関連資料
  • IPA「実践の手引き9-1 委託先などのセキュリティ対策の把握」

国際的なデータ処理契約資料

  • Information Commissioner's Office「What needs to be included in the contract?」
  • European Commission「New Standard Contractual Clauses - Questions and Answers overview」