委託先管理の実務｜APPI第25条 委託元の監督義務・契約書必須8項目・年次点検フロー

「クラウドサービスを契約するたびに個人データが外部に渡るが、委託先の選定基準が社内で曖昧」「委託先の従業員が個人情報を私的に閲覧していた疑いがあるが、どこまで責任を追えるか」「業務委託契約は結んでいるが、個人情報保護に関する条項は5年前のひな形のまま」——委託先管理は、APPI（個人情報保護法）の最重要論点でありながら、「契約締結時に作って、あとは放置」になっている企業が多い領域です。

このページでは、約120社の顧問契約を担当する弁護士法人ブライトが、APPI第25条が委託元（委託する側）に課す監督義務、委託契約書に必ず盛り込むべき8条項、委託先点検フロー、そして委託先従業員による不正閲覧・持ち出しが発覚した場合の責任分担まで、実務目線で解説します。

クラウド・SaaS・人材紹介・印刷・物流・コールセンター等、現代の事業活動はほぼすべてが「個人データを伴う委託」を含みます。委託先管理を整備していないことは、APPI違反リスクだけでなく、漏えい発生時に会社が直接責任を負う結果を招きます。

この記事でわかること

• APPI第25条 委託元の監督義務（適切な選定／必要かつ適切な監督）の意味
• 委託契約書に必ず盛り込むべき個人情報保護関連 必須8条項
• 委託先選定基準の作り方（書面確認・実地調査・認証取得状況）
• 委託先点検フロー（年次レビュー・契約更新時チェック）
• 委託先従業員による不正があった場合の責任分担と社内対応

この記事のポイント

• APPI第25条は委託元に「適切な選定」と「必要かつ適切な監督」の二段の義務を課す
• 監督義務は契約締結時で完結せず、運用・点検・改善のPDCAで継続的に履行する
• 委託先での漏えい・不正があれば、委託元（自社）も第26条の報告義務主体になる

この記事の監修者

和氣 良浩（わけ よしひろ）

弁護士法人ブライト｜代表弁護士／パートナー弁護士

弁護士歴20年（2006年登録）／大阪弁護士会／大阪大学法学部卒

専門：顧問弁護士・企業法務・M&A・経営権紛争・事業再生

APPI第25条が委託元に課す義務

条文の構造

個人情報保護法（APPI）第25条は、「個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない」と定めています。

ここで重要なのは、義務の主語が「委託する側（委託元）」である点です。委託先で漏えいが起きた場合、委託元自身もAPPI上の責任を直接問われる構造になっています。クラウドサービスを「使う」ことは多くの場合、APPI上は「委託」に該当します。

「必要かつ適切な監督」の3要素

個人情報保護委員会のガイドラインは、「必要かつ適切な監督」を以下の3要素で具体化しています。

• 適切な委託先の選定：委託する個人データの取扱いに関して、安全管理措置が委託元と同等水準であるかを確認
• 委託契約の締結：個人データの取扱いに関する規律を契約で明確化
• 委託先における個人データ取扱状況の把握：委託契約で定めた事項の遵守状況を継続的に把握

この3要素は、契約締結前・契約締結時・契約期間中の各フェーズで、それぞれ別の作業として実装されます。「契約書を交わせば義務履行完了」というのは誤解です。

「委託」と「第三者提供」の違い

判別の分岐点

「委託」と「第三者提供」は、APPI上の規律が異なります。

• 委託（第27条第5項第1号）：本人同意なしで個人データを渡せるが、第25条の監督義務を負う
• 第三者提供（第27条第1項）：原則として本人同意が必要

分岐点は「提供先が、提供元の利用目的の範囲内で、提供元の指示・管理下で取り扱うか」です。委託先が独自の判断で個人データを利用したり、自社のマーケティングに転用したりする場合、それは「委託」ではなく「第三者提供」とみなされ、本人同意が必要になります。

典型的な委託の例

• 給与計算・年末調整の社労士・税理士への委託
• 顧客データを保管するクラウドストレージ（AWS S3／Google Drive等）
• メール配信代行・SMS配信
• 名簿印刷・DM発送業務
• コールセンター・カスタマーサポート業務
• 採用選考代行・適性検査の実施
• 会員データのCRM／MAツール

「委託の判定」が難しい典型例

• 分析ツール（Google Analytics 等）：分析目的のCookie・ID取得は「委託」扱いで運用するのが一般的だが、相手方の利用範囲との整合確認が必要
• 広告配信プラットフォーム：相手方が独自にプロファイリングを行う場合は委託では収まらず、共同利用または第三者提供で整理
• SaaSのメンテナンス・サポート：ベンダーが顧客データに技術サポートでアクセスする場合の整理

判別が曖昧なまま「委託扱い」で運用すると、後で「実態は第三者提供だった」と判断され、本人同意なしの違法状態になっているリスクがあります。整理が難しい局面ほど、契約書の前文・利用範囲条項で「委託の範囲を明示」することが重要です。

委託契約書に必ず盛り込む 必須8条項

1. 個人データの取扱範囲・利用目的の特定

委託する個人データの項目（氏名・連絡先・購買履歴等）と利用目的を、契約書本文または別紙で明示します。「業務遂行に必要な範囲」のような包括表現は不可。委託元の指示する業務以外への利用を明確に禁止する条項とセットにします。

2. 安全管理措置の義務付け

委託先に、組織的・人的・物理的・技術的安全管理措置の実施を義務付けます。委託元が自社で実施している水準と同等以上の措置を、契約書または付属の安全管理措置仕様書で定めます。

3. 再委託の制限

再委託は、委託元の事前書面承諾を要する形にします。再委託を一律禁止するのは現実的でないため、「再委託先名・取扱範囲・安全管理措置」を委託元に通知・承諾を得た上で再委託を許可する運用が標準です。

4. 守秘義務

委託先従業員を含めた守秘義務を、契約終了後も継続する形で課します。違反時の損害賠償条項とセットにします。

5. 監査・実地調査の権利

委託元が、委託先の個人データ取扱状況を点検（書面確認・実地調査）できる権利を契約上明確にします。委託先からの拒否を防ぎ、APPI第25条の監督義務を実質的に履行するための条項です。

6. 漏えい等発生時の通知義務

委託先で漏えい等が発生（または発生のおそれを把握）した場合の、委託元への通知期限・通知内容・協力義務を明示します。委託元が個人情報保護委員会への報告義務（第26条）を期限内に果たすため、「速報24時間以内・確報30日以内」等の現実的な期限設定が望まれます（漏えい対応の詳細は本シリーズの漏えい対応記事を参照）。

7. 契約終了時のデータ返還・削除

契約終了時の個人データ返還・削除（バックアップ含む）と、削除完了報告書の提出を義務付けます。クラウドサービスの場合は、契約終了から一定期間後の自動削除条項とその証跡提出を求めます。

8. 損害賠償・違約金

委託先の安全管理措置違反・漏えい発生・契約違反による損害賠償責任を明示します。漏えい時の調査費用・本人通知費用・行政対応費用も損害に含める文言にしておきます。

これら8条項は、業務委託契約書本体に組み込むか、別紙「個人情報の取扱いに関する覚書（DPA）」として独立させるかは設計次第です。詳細は 業務委託「基本契約書＋個別契約書」二段運用 も参照してください。

委託先選定基準の作り方

選定時の確認項目

委託先選定時は、以下の項目を書面で確認します。社内に「委託先選定基準書」を整備し、選定担当者の判断ばらつきを抑えます。

• 個人情報保護方針・プライバシーポリシーの整備状況
• 安全管理措置の実装内容（組織・人的・物理的・技術的）
• 第三者認証の取得状況（ISMS／プライバシーマーク／SOC2 等）
• 過去5年間の漏えい・インシデント発生状況と対応実績
• 従業員教育の実施頻度と内容
• 再委託の有無とその管理体制
• 契約終了時のデータ返還・削除フロー
• 監査・実地調査受け入れの可否

第三者認証の活用

ISMS（ISO/IEC 27001）・プライバシーマーク・SOC2 Type II 等の第三者認証取得は、委託先選定で重要な指標になります。ただし、認証取得＝完全無欠ではない点に注意が必要です。認証範囲（取得部署・サービスの範囲）の確認、有効期限のチェック、定期的な再確認を運用します。

クラウド・SaaSの選定特有の注意点

• データセンター所在地（外国にある第三者への提供への該当性）
• サブプロセッサ・再委託先のリスト開示
• ベンダーのセキュリティ白書・SOC2レポートの取得・確認
• DPA（データ処理契約）の有無とその内容
• 削除SLA（解約後のデータ削除完了までの期間）

運用フェーズの委託先点検

年次点検フロー

契約締結後は、最低年1回の点検を運用します。標準的な点検項目は以下の通りです。

• 委託先の個人情報保護方針・プライバシーポリシーの最新版確認
• 第三者認証の更新状況確認
• 過去1年間のインシデント・漏えい有無の自己申告書取得
• 安全管理措置の実施状況確認（チェックシート方式）
• 再委託先・サブプロセッサ一覧の最新版取得
• 委託先従業員の異動・退職に伴うアクセス権管理の確認
• 監査・実地調査の実施判断（リスクに応じて選定）

契約更新時の見直し

契約更新時は、委託契約書本体の見直しタイミングです。APPI改正・関連ガイドライン改訂・自社の業務変更を反映させ、必須8条項の最新性を確認します。古いひな形のまま自動更新されている契約は、特に要注意です。

監査・実地調査の運用

すべての委託先に毎年実地調査を行うのは現実的でないため、リスクに応じた優先順位付けを行います。

• 個人データ件数の多い委託先（数万件超）
• 要配慮個人情報を扱う委託先（医療・金融・人事系）
• 過去にインシデントが発生した委託先
• 第三者認証を保有しない委託先
• 外国所在の委託先

これらに該当する委託先は、書面確認だけでなく実地調査・現地ヒアリングまで実施するのが実務水準です。

委託先従業員による不正への対応

典型的な発生パターン

• 清掃・警備等の現場常駐スタッフが顧客個人情報を盗み見
• コールセンターオペレーターが顧客リストをUSBで持ち出し
• 派遣社員が在職中に顧客データを私用クラウドにアップロード
• システム保守ベンダーの作業員が必要範囲を超える閲覧

発覚時の初動

委託先従業員による不正が発覚した場合、委託元としては以下を並行して進めます。

• 委託先への即時通知と事実関係調査の指示
• 当該従業員の業務アクセス権の即時停止依頼
• 影響範囲の特定（漏えい件数・項目・本人）
• 個人情報保護委員会への報告判断（漏えい等への該当性）
• 本人通知の要否判断と実施
• 委託先・委託先従業員に対する損害賠償請求の検討
• 刑事告訴の検討（不正競争防止法・刑法）

委託先で漏えいが起きても、委託元はAPPI第26条の報告義務主体としての責任を負います。委託先からの通知が遅れたことを理由に報告期限を延ばすことは認められません。

営業秘密侵害との連動

委託先従業員が、個人情報だけでなく営業秘密（顧客リスト・取引条件・ノウハウ）まで持ち出した場合、不正競争防止法に基づく差止・損害賠償請求が並行します。営業秘密管理規程の整備と委託契約の連動が重要です。詳細は 営業秘密の持ち出し対策 も参照してください。

顧問弁護士による委託先管理体制の整備支援

委託先管理は、「契約締結時の整備」「運用フェーズの点検」「インシデント発生時の即応」の3段階で構成されます。社内体制だけで網羅するのは負担が大きく、顧問弁護士の関与で管理体制の品質と継続性を確保するのが現実的です。

弁護士法人ブライトの顧問契約では、以下の支援を提供しています。

• 委託契約書テンプレート・DPAテンプレートの整備（必須8条項対応）
• 委託先選定基準書・年次点検チェックシートの策定
• クラウド・SaaS事業者との契約レビュー（DPA・SCC・サブプロセッサ評価）
• 委託先で漏えいが発生した場合の即応支援（24時間以内対応）
• 委託先従業員による不正への損害賠償・刑事告訴の実行
• 個人情報の共同利用への切替検討（個人情報の共同利用 完全ガイド 参照）

まとめ

委託先管理は、APPI第25条の監督義務を、契約締結時・運用時・インシデント時の3段階で履行する継続的な業務です。クラウド・SaaS時代において「個人データを伴わない委託」はほぼ存在しない以上、委託先管理体制の整備は経営課題として優先順位が高い領域です。

委託契約書の8条項チェック・年次点検フローの整備・インシデント時の即応体制の3点が、整備されていない場合は、顧問弁護士関与で一度の整備フェーズを通すことをお勧めします。プライバシーポリシーや漏えい対応との連動については、本情セキ・個人情報シリーズの他記事も併せてご参照ください。