顧客名簿を印刷会社に渡す。
給与計算を社労士事務所に依頼する。
予約システムやECサイトの運用を外部事業者に任せる。
ホームページの問い合わせフォームを制作会社に保守してもらう。
会計、労務、顧客管理、メール配信などのクラウドサービスを使う。
中小企業でも、個人情報を外部の事業者に渡したり、外部サービス上で取り扱ったりする場面は多くあります。
このとき大切なのは、「有名な会社だから大丈夫」「契約しているから大丈夫」と考えないことです。
委託先で漏えい、紛失、不正アクセス、目的外利用、再委託先での事故が起きれば、委託元である自社も説明責任を問われます。
この記事では、個人情報を委託先に渡す前に確認すべきことを、契約前・運用中・終了時の3段階で整理します。
なお、この記事は中小企業の実務向けの一般的な整理です。個別契約の法的判断が必要な場合は、契約書、業務内容、個人データの内容を確認したうえで、弁護士等の専門家に確認してください。
まず押さえるべき用語:「個人情報」と「個人データ」
日常会話では「個人情報を渡す」と言うことが多いですが、個人情報保護法上の委託先監督で中心になるのは、主に個人データの取扱いを委託する場合です。
個人情報保護委員会のガイドラインでは、個人情報取扱事業者が個人データの取扱いの全部または一部を委託する場合、委託先で当該個人データについて安全管理措置が適切に講じられるよう、委託先に対して必要かつ適切な監督をしなければならないとされています。
この記事では、読みやすさを優先して「個人情報」という表現を使いますが、法令上の義務に関する説明では「個人データ」を中心に扱います。
委託は「渡したら終わり」ではない
個人データの取扱いを委託する場合、委託元には大きく3つの確認が求められます。
1つ目は、適切な委託先を選ぶことです。
委託先の安全管理措置が、委託元に求められる水準と同等に実施されることを、委託する業務内容に沿って、あらかじめ確認する必要があります。
2つ目は、委託契約等で取扱いを明確にすることです。
個人情報保護委員会のガイドラインでは、委託契約に、必要かつ適切な安全管理措置として委託元・委託先双方が同意した内容と、委託先での個人データ取扱状況を委託元が合理的に把握することを盛り込むことが望ましいとされています。
3つ目は、運用中も取扱状況を把握することです。
委託先での個人データの取扱状況を把握するため、定期的な監査等により、契約で定めた内容の実施状況を調査し、委託内容等の見直しを含めて適切に評価することが望ましいとされています。
つまり、委託先管理は「契約書を作って終わり」ではありません。
選定、契約、運用確認、終了処理までを一連の管理として考える必要があります。
中小企業でも委託先管理が重要な理由
IPAの「中小企業の情報セキュリティ対策ガイドライン第4.0版」でも、業務の一部を外部に委託する場合は、委託先でも少なくとも自社と同等の対策が行われるようにし、契約書に情報セキュリティに関する委託先の責任や実施すべき対策を明記し、合意する必要があると説明されています。
中小企業では、情報システムや個人情報管理をすべて自社で行うことが難しい場合があります。
そのため、外部サービスや専門業者を活用すること自体は現実的な選択です。
ただし、外部に任せる範囲が増えるほど、次のようなリスクも増えます。
| リスク | 具体例 |
|---|---|
| 目的外利用 | 委託先が本来の業務以外に顧客情報を使う |
| 誤送信・誤送付 | 名簿、請求書、給与データを誤って別の相手に送る |
| 不正アクセス | 委託先のアカウントが乗っ取られ、顧客情報が流出する |
| 再委託先での事故 | 委託先がさらに外部へ作業を出し、そこで漏えいが起きる |
| 契約終了後の残存 | 契約終了後もデータやアカウントが残る |
| 事故時の連絡遅れ | 委託先で事故が起きても、自社への報告が遅れる |
これらを防ぐには、委託前から確認項目を決めておく必要があります。
委託か、第三者提供か、クラウド利用かを確認する
委託先に個人情報を渡す前に、まず確認すべきことは、外部事業者との関係です。
個人データの取扱いを、利用目的の達成に必要な範囲内で委託することに伴って提供する場合、その提供先は個人情報保護法上の「第三者」に該当しないとされています。ただし、その場合でも、委託された業務の範囲内でのみ取り扱うことが前提であり、委託元には委託先に対する監督責任が課されます。
例えば、次のようなケースは委託として整理されることがあります。
| ケース | 例 |
|---|---|
| 入力・処理業務 | 顧客データの入力、名簿整理、帳票作成 |
| 発送業務 | DM発送、商品配送、案内状発送 |
| 給与・労務 | 給与計算、年末調整、社会保険手続 |
| 保守・運用 | 顧客管理システム、予約システム、ECサイトの保守 |
| クラウド利用 | 会計、CRM、メール配信、予約管理など |
一方で、共同利用、第三者提供、単なるクラウド保存など、法的な整理が異なる場合もあります。
そのため、「外部に渡す」だけで一括りにせず、次の点を確認します。
| 確認項目 | 見るべきポイント |
|---|---|
| 利用目的 | 本来の利用目的の範囲内か |
| 委託業務 | 委託先が何をするのか |
| 取扱範囲 | 委託先が個人データを閲覧・編集・出力・分析するのか |
| 契約内容 | 目的外利用、再委託、削除、事故報告が定められているか |
| 保存場所 | 国内か、海外か、クラウドか |
| 再委託 | さらに外部へ作業を出す可能性があるか |
クラウドサービスの場合は、保存している電子データに個人データが含まれるかだけでなく、クラウドサービス事業者がその個人データを取り扱うことになっているかが判断基準になります。個人情報保護委員会のFAQでは、クラウド事業者が個人データを取り扱わないこととなっている場合には、個人データを提供したことにならず、委託にも該当しないと説明されています。
ただし、その場合でも、クラウドを利用する事業者は自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必要があります。
契約前に確認するチェック項目
委託先に個人情報を渡す前には、まず次の項目を確認します。
| No | 確認項目 | 確認内容 |
|---|---|---|
| 1 | 委託する業務 | 何を委託するのか。入力、発送、保守、分析、運用など |
| 2 | 渡す情報 | 氏名、住所、電話番号、メール、購買履歴、従業員情報など |
| 3 | 必要最小限か | 業務に不要な個人情報まで渡していないか |
| 4 | 件数・重要度 | 件数、要配慮個人情報、財産的被害につながる情報の有無 |
| 5 | 委託先の体制 | 個人情報保護方針、責任者、社内ルール、教育の有無 |
| 6 | アクセス制御 | 誰が個人データにアクセスできるか |
| 7 | 認証 | ID管理、パスワード、多要素認証の有無 |
| 8 | ログ | アクセスログ、操作ログ、保管期間、確認方法 |
| 9 | 保管場所 | 国内、海外、クラウド、委託先社内、再委託先 |
| 10 | 再委託 | 再委託の有無、事前承認、再委託先の確認方法 |
| 11 | 事故時対応 | 何時間以内に誰へ報告するか |
| 12 | 契約終了時 | 返却、削除、削除証明、アカウント削除の方法 |
| 13 | 監査・確認 | 定期報告、チェックシート、証跡提出、立入確認の可否 |
| 14 | 問い合わせ先 | 通常時・事故時の連絡先 |
| 15 | 契約書・覚書 | 安全管理措置、秘密保持、目的外利用禁止等が明記されているか |
重要なのは、すべての委託先に同じ重さの確認を求めることではありません。
委託する個人データの内容、件数、業務の性質、漏えい時の影響に応じて、確認の深さを変えることが現実的です。
例えば、数名分の配送情報を渡す場合と、数万人分の顧客名簿をクラウド上で処理する場合では、確認すべき水準は異なります。
「必要な情報だけ渡す」が基本
委託先管理で最初に実施すべきことは、委託先に渡す情報を減らすことです。
個人情報保護委員会のガイドラインでも、委託する業務内容に対して必要のない個人データを提供しないようにすることは当然のこととされています。
例えば、次のように考えます。
| 業務 | 渡してよい情報の例 | 渡す必要がない可能性が高い情報 |
|---|---|---|
| DM発送 | 氏名、住所、発送物種別 | 購買金額、社内メモ、生年月日 |
| 給与計算 | 氏名、給与、勤怠、扶養情報 | 営業成績、顧客情報 |
| 予約管理 | 氏名、連絡先、予約日時 | 不要な本人確認書類、社内評価 |
| 問い合わせ対応 | 氏名、連絡先、問い合わせ内容 | 全顧客リスト、不要な履歴 |
| Web保守 | システムログ、必要な検証データ | 本番の顧客データ全件 |
委託先が便利だからといって、データを丸ごと渡すことは避けるべきです。
必要な項目、必要な件数、必要な期間に絞ります。
契約書・覚書に入れておきたい項目
委託先に個人情報を渡す場合、契約書、覚書、誓約書、発注書、利用規約などで、少なくとも次の事項を確認します。
| 項目 | 確認する内容 |
|---|---|
| 委託業務の範囲 | 何を委託し、何を委託しないか |
| 利用目的 | 委託業務以外に使わないこと |
| 取扱う個人データ | 情報の種類、件数、保存場所 |
| 目的外利用の禁止 | 自社業務以外への利用禁止 |
| 複製・持ち出し | 複製、印刷、外部持ち出しの条件 |
| アクセス管理 | 利用者、管理者、権限、認証方式 |
| 秘密保持 | 委託先の従業員・関係者への秘密保持 |
| 再委託 | 事前承認、再委託先の情報、管理方法 |
| 事故時報告 | 漏えい等のおそれがある場合の報告期限・連絡先 |
| 監査・報告 | チェックシート、報告書、監査対応 |
| 契約終了時 | 返却、削除、削除証明、バックアップデータの扱い |
| 違反時対応 | 是正、損害、契約解除、再発防止 |
| 問い合わせ窓口 | 通常時・緊急時の責任者 |
必ずしも「業務委託契約書」という名前でなければならないわけではありません。個人情報保護委員会のFAQでは、安全管理措置に係る委託元と委託先の合意内容を客観的に明確化できる手段であれば、覚書、合意書、誓約書などの形でもよいと説明されています。
ただし、実務上は、後から確認できる形で文書化しておくことが重要です。
口頭の約束だけでは、事故時に「何を合意していたのか」を説明しにくくなります。
再委託は必ず確認する
委託先がさらに別の事業者へ作業を出すことを、再委託といいます。
再委託は、印刷、配送、システム保守、クラウド運用、コールセンター、データ入力などで発生しやすい項目です。
個人情報保護委員会のガイドラインでは、委託先が再委託を行う場合、委託元は再委託先、再委託する業務内容、再委託先の個人データの取扱方法等について、委託先から事前報告を受ける、または承認を行うことが望ましいとされています。また、委託元が必要かつ適切な監督を行っていない場合、再委託先で不適切な取扱いがあったときに、元の委託元による法違反と判断され得るとされています。
契約書では、次のいずれかを明確にしましょう。
| 方針 | 内容 |
|---|---|
| 再委託禁止 | 原則として再委託を認めない |
| 事前承認制 | 再委託する前に委託元の承認を必要とする |
| 事前報告制 | 再委託先、業務内容、取扱情報を事前に報告させる |
| 一定条件下で許可 | 定型的な配送、クラウド基盤等について条件付きで許可する |
中小企業では、再委託先まで細かく把握することが難しい場合もあります。
その場合でも、少なくとも「再委託があるのか」「どの範囲であるのか」「事故時に誰が報告するのか」は確認しておくべきです。
海外委託・海外再委託は追加確認が必要
海外の事業者に個人データの取扱いを委託する場合や、委託先が海外の再委託先を使う場合は、追加の確認が必要です。
個人情報保護委員会のFAQでは、外国にある第三者に個人データの取扱いを委託する場合も、原則として法第28条第1項に基づく「外国にある第三者への個人データの提供を認める」旨の本人同意が必要になると説明されています。ただし、一定の例外も示されています。
また、外国にある第三者に個人データの取扱いを委託する場合、委託元は、委託先が所在する外国の個人情報保護制度等を把握したうえで、委託先の監督その他の安全管理措置を講じる必要があります。委託先が外国にある再委託先を使う場合も、再委託先が所在する外国の制度等を把握する必要があります。
海外委託がある場合は、次の項目を確認します。
| 確認項目 | 内容 |
|---|---|
| 委託先の所在国 | どの国・地域で取り扱われるか |
| 再委託先の所在国 | 海外再委託があるか |
| 保存場所 | サーバ所在地、バックアップ所在地 |
| アクセス場所 | 海外拠点から日本のデータへアクセスするか |
| 本人同意・情報提供 | 法第28条に関する確認が必要か |
| 外的環境の把握 | 所在国の個人情報保護制度等を把握しているか |
| 契約条項 | 第三者提供禁止、再委託条件、削除、事故時報告 |
海外委託や海外クラウドは、個別判断が必要になりやすい領域です。
不明な場合は、サービス提供事業者の契約条件、データ処理条件、再委託先一覧、保存国情報を確認し、必要に応じて専門家に相談してください。
運用中に確認すること
契約が終わった後も、委託先管理は続きます。
運用中は、少なくとも次の点を定期的に確認します。
| 確認項目 | 確認内容 |
|---|---|
| 委託業務の範囲 | 契約時と業務内容が変わっていないか |
| 渡している情報 | 不要な個人情報まで渡していないか |
| アカウント | 委託先担当者のアカウントが適切か |
| 権限 | 必要最小限の権限か |
| ログ | アクセスログ・操作ログを確認できるか |
| 再委託 | 契約時と再委託先が変わっていないか |
| 事故報告 | 事故やヒヤリハットの報告があったか |
| 教育 | 委託先内で教育・周知が行われているか |
| 証跡 | 点検記録、報告書、チェックシートが残っているか |
| 契約更新 | 契約条件や利用規約が変わっていないか |
委託先の取扱状況を把握する方法は、必ずしも立入検査だけではありません。個人情報保護委員会のFAQでは、委託先における個人データの取扱状況を把握する手段として、必要に応じて個人データを取り扱う場所に赴くことも考えられるものの、それが義務付けられているわけではなく、個人データの内容や規模に応じて、口頭確認を含む適切な方法を講じれば足りると説明されています。
したがって、中小企業では、次のような現実的な方法から始めるとよいでしょう。
| 方法 | 内容 |
|---|---|
| 年1回の確認票 | 委託先にチェックシートを提出してもらう |
| 定例会議で確認 | 業務報告時に個人情報の取扱いも確認する |
| 事故報告の有無確認 | 漏えい、紛失、誤送信、不正アクセスの有無を確認する |
| アカウント棚卸 | 委託先担当者のアカウント・権限を確認する |
| 契約更新時確認 | 利用規約、再委託先、保存国、担当者変更を確認する |
| 重要委託先の詳細確認 | 重要データを扱う委託先は、ログ、MFA、教育、監査結果も確認する |
重要なのは、「確認した」という記録を残すことです。
事故時の報告ルールを事前に決める
委託先で個人情報の漏えい等が疑われた場合、時間が経つほど被害範囲の特定や証拠保全が難しくなります。
個人情報保護委員会のガイドラインでは、漏えい等またはそのおそれのある事案が発覚した場合、事業者内部への報告、被害拡大防止、事実関係の調査、原因究明、影響範囲の特定、再発防止策の検討、個人情報保護委員会への報告および本人通知などが必要な措置として示されています。
そのため、委託契約では、事故時に次の事項を決めておきます。
| 項目 | 決めておくこと |
|---|---|
| 報告期限 | 発見後、何時間以内に委託元へ報告するか |
| 第一報の連絡先 | 誰に、電話・メール・チャットのどれで連絡するか |
| 報告内容 | 発生日、発見日、対象情報、件数、原因、対応状況 |
| 証拠保全 | ログ、メール、端末、ファイルを保存するか |
| 被害拡大防止 | アカウント停止、共有停止、ネットワーク遮断など |
| 本人通知・公表 | 誰が判断し、誰が実施するか |
| PPC報告 | 委託元・委託先のどちらがどの情報を準備するか |
| 再発防止 | 原因分析、是正策、報告書提出 |
事故が起きてから「誰が連絡するのか」「委託元と委託先のどちらが説明するのか」を決めると、初動が遅れます。
委託先に個人情報を渡す場合は、契約時点で事故時の連絡網を作っておきましょう。
終了時に確認すること
契約終了時は、委託先管理で最も漏れが出やすい場面です。
業務委託が終わった。
キャンペーンが終わった。
クラウドサービスを解約した。
制作会社を変更した。
税理士・社労士・保守会社を変更した。
このようなとき、個人情報、アカウント、共有フォルダ、バックアップ、ログ、再委託先のデータが残っていないかを確認する必要があります。
個人情報保護法では、個人情報取扱事業者は、利用する必要がなくなった個人データについて、遅滞なく消去するよう努めなければならないとされています。個人情報保護委員会のガイドラインでも、利用目的が達成され、当該目的との関係で保有する合理的理由がなくなった場合などには、遅滞なく消去するよう努めなければならないと説明されています。
終了時には、次のチェックを行います。
| No | 確認項目 | 内容 |
|---|---|---|
| 1 | 委託業務の完了 | 委託業務が完了した日を確認する |
| 2 | データ返却 | 必要なデータを自社に返却してもらう |
| 3 | データ削除 | 委託先に残る個人情報を削除する |
| 4 | 削除証跡 | 削除完了報告、証明書、作業記録を受け取る |
| 5 | バックアップ | バックアップ内の個人情報の扱いを確認する |
| 6 | 再委託先 | 再委託先のデータ削除・返却も確認する |
| 7 | アカウント削除 | 委託先担当者のID、VPN、SaaS権限を削除する |
| 8 | 共有リンク | クラウドストレージ、共有URL、ゲスト権限を停止する |
| 9 | API・連携 | 外部アプリ連携、APIキー、Webhookを停止する |
| 10 | ログ保管 | 必要なログや作業記録を保存する |
| 11 | 契約書保管 | 契約書、覚書、確認票、削除証跡を保管する |
| 12 | 次回委託への反映 | 問題点や改善点を台帳に反映する |
特に注意すべきなのは、クラウドストレージの共有リンク、ゲストユーザー、外部協力者のアカウントです。
委託先との契約が終わっても、SaaSやクラウド上の権限が残っていると、情報にアクセスできる状態が続きます。
前回の記事で扱った退職者・異動者アカウント管理と同じように、委託先についても契約終了時のアカウント棚卸が必要です。
委託先台帳を作る
委託先を管理するには、まず一覧化が必要です。
SaaS・クラウド台帳とは別に、個人情報を扱う委託先については、次のような委託先台帳を作ると管理しやすくなります。
| 項目 | 記録例 |
|---|---|
| 委託先名 | 〇〇印刷、〇〇社労士事務所、〇〇クラウド |
| 委託業務 | DM発送、給与計算、CRM運用 |
| 渡す情報 | 氏名、住所、メール、給与情報など |
| 件数 | 約500件、毎月30件など |
| 重要度 | 高・中・低 |
| 契約書 | あり/なし |
| 秘密保持 | あり/なし |
| 再委託 | 禁止/事前承認/あり |
| 海外取扱い | なし/あり/未確認 |
| 事故時連絡先 | 担当者、電話、メール |
| 定期確認 | 年1回、四半期ごとなど |
| 最終確認日 | 2026年5月8日 |
| 終了時処理 | 返却、削除、削除証明 |
| 未確認事項 | 再委託先、ログ、保存国など |
委託先台帳は、完璧である必要はありません。
最初は「誰に、何を、なぜ渡しているか」が分かることを優先しましょう。
よくある失敗
契約書に「秘密保持」しか書いていない
秘密保持は重要ですが、それだけでは不十分です。
個人情報を扱う委託では、目的外利用の禁止、アクセス制御、再委託、事故時報告、終了時の返却・削除、取扱状況の確認なども定める必要があります。
再委託先を確認していない
委託先がさらに外部へ作業を出している場合、実際に個人情報を扱うのは再委託先かもしれません。
再委託を禁止するのか、事前承認制にするのか、事前報告制にするのかを決めておきましょう。
契約終了後の削除を確認していない
「契約が終わったから大丈夫」と考えるのは危険です。
データ、バックアップ、共有フォルダ、ゲストアカウント、API連携、再委託先のデータが残っていないかを確認する必要があります。
クラウドサービスの利用規約を見ていない
クラウドサービスでは、事業者が個人データを取り扱うのか、再委託先があるのか、保存国はどこか、ログやバックアップはどう扱われるのかを、利用規約やデータ処理条件で確認する必要があります。
特に、海外事業者のクラウドサービスを使う場合は、外国にある第三者への提供や外的環境の把握が関係する場合があります。
事故時の報告期限を決めていない
委託先で事故が起きたとき、委託元への報告が遅れると、影響範囲の特定や本人対応が遅れます。
契約時点で、事故時の第一報、報告期限、報告内容、証拠保全、再発防止報告を定めておきましょう。
まとめ
委託先に個人情報を渡す場合、確認すべきことは次の3段階で整理できます。
契約前には、委託業務、渡す情報、必要最小限性、委託先の安全管理措置、再委託、海外取扱い、事故時連絡先を確認します。
運用中には、委託業務の範囲、アカウント、権限、ログ、再委託、事故報告、定期確認を行い、確認記録を残します。
終了時には、データ返却、削除、削除証跡、バックアップ、再委託先、アカウント、共有リンク、API連携を確認します。
個人情報の委託先管理は、大企業だけの問題ではありません。
中小企業でも、顧客情報、従業員情報、給与情報、予約情報、問い合わせ情報を外部に渡す場面は多くあります。
まずは、次の3つから始めましょう。
- 個人情報を渡している委託先を一覧化する
- 契約書・覚書・利用規約で、取扱いと事故時連絡を確認する
- 契約終了時に、返却・削除・アカウント停止の記録を残す
委託先に任せることは、責任を手放すことではありません。
委託元として、何を渡し、誰が扱い、どう守り、いつ返却・削除するのかを説明できる状態にしておきましょう。
ライトハウスコンサルタントでは、情報処理安全確保支援士による情報セキュリティに関するコンサルティング、SECURITY ACTION取得サポート、CIOアウトソースサービスなどを行っています。委託先管理、個人情報の取扱い、SaaS・クラウド台帳、社内ルール整備に不安がある場合は、早めに専門家へ相談することをおすすめします。
