コラムInsights
個人データの取扱いを委託する場合における委託元企業の義務・漏えい発生時の事後対応
【免責事項】 本コラムの内容は、執筆時点の法令・ガイドライン等に基づき、一般的な情報提供を目的として作成されたものです。特定の事案に対する法的助言を構成するものではありません。 法律や実務上の運用は随時変更される可能性があり、内容の正確性や完全性を保証するものではありません。本コラムの情報に基づくいかなる行動についても、当事務所は一切の責任を負いかねます。具体的な判断にあたっては、必ず個別の事実関係に基づき、弁護士等の専門家にご相談ください。
委託先や再委託先で情報漏えいが発生した場合、委託元は「委託先の事故」であることを理由に、個人情報保護法上の義務や顧客に対する責任を当然に免れるわけではありません。本稿では、顧客情報のうち個人情報保護法上の「個人データ」に当たる情報を中心に、委託元企業が検討すべき法的な課題について整理します。
なお、2026年4月7日、「個人情報の保護に関する法律等の一部を改正する法律案」(改正法案)が閣議決定されています。同改正法案には、データ処理等の委託を受けた事業者に関する規律の見直しや、漏えい等発生時の本人通知義務の見直しも含まれています。
本コラムでは、主として現行法および現行ガイドラインを前提に整理しつつ、令和8年改正法案についても、本テーマに関連する範囲で補足します。
1. 個人データの取扱いの委託とは
(1)対象となる情報=「個人データ」
個人情報保護法では、「個人情報」と「個人データ」は区別されています。
「個人情報」とは、生存する個人に関する情報であって、氏名、生年月日その他の記述等により特定の個人を識別できるもの、または個人識別符号が含まれるものをいいます。これに対し、「個人データ」とは、個人情報を容易に検索できるよう体系的にまとめた「個人情報データベース等」を構成する個人情報をいいます。
したがって、顧客の氏名・住所・メールアドレス・購入履歴等が、顧客管理システム、会員データベース、Excelの顧客一覧表、予約管理システムなどで検索可能な形で管理されている場合には、通常、個人データに該当します。
個人情報保護法25条が定める委託先監督義務と、同法26条の漏えい等報告・本人通知は、原則として「個人データ」を対象とします。
これに対し、例えば、担当者が商談時に受け取った名刺をまだ顧客管理システムに登録していない状態で保管していた場合、打合せ時に手書きした顧客の連絡先メモ、展示会で一時的に受領した申込用紙でまだ一覧化・データベース化されていないものなどは、個人情報ではあっても、直ちに個人データに当たるとは限りません。
もっとも、漏えいした情報が個人データに当たらず、法26条に基づく報告義務の対象にならない場合でも、委託先の管理ミスについて委託元の選定・監督に問題があったときは、民事上の責任や取引先・顧客対応の問題が別途生じ得ます。
(2)対象となる外部事業者との関係=「委託」
個人情報保護委員会のガイドラインは、「個人データの取扱いの委託」を、契約の名称や類型を問わず、他の者に個人データの入力、編集、分析、出力その他の処理を行わせることと整理しています。
外部事業者が委託業務の範囲内で個人データを取り扱う場合は、個人データの取扱いの委託となります。委託に伴う提供は、本人同意を原則とする第三者提供には当たりませんが、委託先が委託業務を超えて自らの目的で利用する場合は、別途、第三者提供規制が問題となります。
他方、外部事業者が個人データを取り扱わない契約となっているクラウドサービスや、通常は荷物の中身を取り扱わない配送事業者については、個人情報保護委員会は別の整理を示しています。
| 場面 | 報告義務の概要 |
|---|---|
| 個人データの処理を行う委託先での漏えい事故が発生した場合 | 報告対象事態に該当すれば、原則として委託元・委託先の双方が報告・本人通知の義務を負う。 |
| 個人データを取り扱わない契約のクラウドサービス(契約条項によって当該外部事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等)で漏えい事故が発生した場合 | クラウド利用企業が報告義務を負い、サービス提供事業者は同法26条の報告義務を負わない。 |
| 通常の配送事業者による誤配送が発生した場合 | 配送事業者との間に中身の個人データを取り扱う合意がない限り、通常は発送した事業者が報告義務を負う。 |
2. 委託元が負う委託先監督義務
個人情報保護法25条は、個人データの取扱いを委託する場合、委託元に対し、委託先において個人データの安全管理が図られるよう、必要かつ適切な監督を行うことを求めています。
個人情報保護委員会のガイドラインは、委託元が講ずべき措置として、次の三点を挙げています。
- 適切な委託先を選定すること
- 個人データの取扱いと安全管理措置について委託契約を締結すること
- 委託先における個人データの取扱状況を把握すること
同ガイドラインは、委託先の安全管理措置を契約締結時やその後に把握しなかった場合、必要な安全管理措置を指示しなかった場合、再委託条件を定めず再委託先の取扱状況を確認しなかった場合などを、必要かつ適切な監督を行っていない例として示しています。
したがって、漏えいの直接的な原因が委託先または再委託先にあったとしても、委託元自身の選定・契約・監督に問題があれば、委託元の法令違反が別途問題となります。
改正法案では、委託を受けた個人情報取扱事業者に関する規律の見直しが盛り込まれています。法律案要綱では、委託を受けた個人情報取扱事業者について、一定の場合を除き、委託された個人情報を、委託業務の遂行に必要な範囲を超えて取り扱ってはならないものとされています。また、委託契約において個人情報保護委員会規則で定める取扱方法等が定められ、その取扱いが委託業務の遂行に必要な範囲内で契約の定めに従って行われる場合には、個人情報保護法の一部の規定を適用しないものとする仕組みも予定されています。具体的な実務対応については今後の規則・ガイドライン等を確認する必要がありますが、委託元企業としては、委託先に取り扱わせる情報の範囲、取扱方法、事故発生時の報告・協力体制を、委託契約上明確にしておくことが重要です。
3. 委託元に報告・本人通知の義務が生じる場合
委託先で漏えいが起きたすべての場合に、個人情報保護委員会への報告が必要になるわけではありません。委託元が報告義務を負うのは、次の二つの条件を満たす場合です。
- 漏えい等の対象が、委託元から取扱いを委託した個人データであること
- その漏えい等が、個人情報保護法施行規則7条の「報告対象事態」に該当すること
報告対象事態は、次の四類型です。いずれも、実際に漏えい等が発生した場合だけでなく、発生したおそれがある場合を含みます。
| 報告対象事態 | 具体例 |
|---|---|
| 要配慮個人情報を含むもの | 診療情報、健康診断結果などを含む個人データの漏えい等 |
| 財産的被害のおそれがあるもの | クレジットカード番号、決済機能のあるサービスのID・パスワードなどの漏えい等 |
| 不正の目的によるおそれがあるもの | 不正アクセス、盗難、従業者による不正な持ち出しなどによる漏えい等 |
| 本人が1,000人を超えるもの | 対象者が1,000人を超える個人データの漏えい等 |
例えば、委託先の従業者が、委託元の顧客データを不正に持ち出した場合は、人数が1,000人以下であっても、「不正の目的をもって行われたおそれがある行為」による漏えいとして報告対象となり得ます。これに対し、氏名とメールアドレスだけの個人データを誤送信した事案で、対象者が1,000人以下であり、他の三類型にも当たらない場合は、同法26条に基づく報告対象事態には該当しません。
委託された個人データについて報告対象事態が生じた場合、委託元と委託先は双方がその個人データを取り扱っているため、原則として双方が個人情報保護委員会への報告義務を負います。委託先が、把握している所定事項を委託元へ通知したときは、委託先の報告義務は免除されます(法26条1項ただし書・施行規則9条)。この場合も、委託元の報告義務は免除されません。
改正法案では、漏えい等発生時の本人通知について、本人への通知が行われなくても本人の権利利益の保護に欠けるおそれが少ない場合として個人情報保護委員会規則で定める場合には、本人通知に代えて、本人の権利利益を保護するために必要な代替措置をとることができるものとされています。
4. 第三者に対する委託元の責任
委託先で漏えいが発生した場合、委託元には、個人情報保護法上の報告・本人通知・委託先監督の問題に加え、本人または顧客から損害賠償を請求された場合の民事責任の問題も生じ得ます。
この点、漏えいの直接的な原因が委託先にあることだけで、委託元が当然に免責されるわけではありません。委託元に委託先の選定・監督上の過失がある場合や、顧客との契約上負っていた義務に違反した場合には、民法415条または709条に基づく責任が問題となり得ます。委託先についても、自らの契約違反または不法行為に基づく責任が別途問題となります。
もっとも、委託元と委託先が常に同じ範囲の責任を負うわけではありません。第三者に対する損害賠償責任は、漏えいの原因、各社の注意義務違反、損害の内容、因果関係、顧客との契約関係などを踏まえて個別に判断されます。
5. 委託元による委託先管理の実務上のポイント
(1)委託先の選定
委託元は、価格やサービス内容だけで委託先を選定するのではなく、委託先が取り扱う個人データの内容・量・重要性に応じて、安全管理措置が講じられているかを確認する必要があります。
例えば、単なる名刺入力業務と、顧客データベース全体の運用管理を委託する場合とでは、求められる確認の程度は異なります。後者のように、顧客データを継続的・大量に取り扱う委託先であれば、アクセス権限管理、ログ管理、再委託の有無、従業者教育、事故発生時の連絡体制などを確認しておく必要性が高くなります。
実務上は、委託開始前に、委託先の安全管理措置について確認書やチェックシートを用いて確認する方法が考えられます。ただし、チェックシートを形式的に回収するだけでは十分ではありません。委託する個人データの内容や業務の性質に照らして、回答内容に不明点や不足がある場合には、追加質問や契約条件の修正を検討する必要があります。
(2)委託契約で定めるべき事項
委託契約では、単に「個人情報を適切に管理する」といった抽象的な条項を置くだけでは不十分です。
例えば、事故発生時の報告条項が挙げられます。委託先で漏えい等が発生しても、委託元への報告が遅れれば、委託元が個人情報保護委員会への報告や本人通知を適時に行うことが難しくなるためです。個人情報保護委員会のQ&Aでも、委託先で漏えい等事案が発生した場合には、委託先から速やかに報告を受け、委託元としても迅速かつ適切に対応する必要があるとされています。
(3)委託後の取扱状況の確認
委託契約を締結しただけでは、委託先監督として十分とはいえません。委託元は、委託後も、委託先における個人データの取扱状況を把握する必要があります。
個人情報保護委員会のガイドラインは、委託先における個人データの取扱状況を把握するため、定期的な監査等により、委託契約で定めた内容の実施状況を調査し、委託内容等の見直しを含めて適切に評価することが望ましいとしています。
もっとも、すべての委託先について大規模な監査を行う必要があるわけではありません。取り扱うデータの内容や件数、委託業務の重要性、委託先の規模・体制などに応じて、確認方法を変えることが現実的です。例えば、重要度の高い委託先については定期的なヒアリングや書面確認を行い、必要に応じて監査条項に基づく確認を行うことが考えられます。他方、取り扱う情報が限定的な委託先については、定期的な確認書の取得や変更事項の報告義務を中心に管理することも考えられます。
重要なのは、委託元が、委託先の取扱状況を全く把握しないまま放置しないことです。個人情報保護委員会のガイドラインは、契約締結時やその後に委託先の安全管理措置を把握しなかった場合、必要な安全管理措置を指示しなかった場合、再委託条件を定めず再委託先の取扱状況の確認を怠った場合などを、必要かつ適切な監督を行っていない例として示しています。
(4)事故発生後に見直すべき事項
委託先で漏えい等が発生した場合、委託元は、本人通知や行政報告だけでなく、委託先管理の観点からも対応を検討する必要があります。
漏えいの原因が委託先側にある場合でも、委託元として委託先の選定・契約・監督が不十分であった場合には、委託元自身の対応も問題となります。したがって、事故対応とあわせて、委託先管理の体制を見直すことが重要です。
6. 再委託先で漏えいが起きた場合
個人情報保護委員会は、委託先が再委託を行う場合、委託先の再委託先に対する監督の内容として、①再委託先の適切な選定、②再委託先に安全管理措置を遵守させるために必要な委託契約の締結、③再委託先における個人データの取扱状況の把握といった点について、委託元が委託先に報告を求めることにより、再委託先に対する監督を実施することが考えられるとしています。
また、委託先を通じて、または必要に応じて自ら、再委託先の安全管理措置を確認することが望ましいとしています。
再委託条件を定めず、再委託先の取扱状況の確認を怠った結果、再委託先で漏えいが生じた場合、元の委託元について個人情報保護法違反と判断されることがあるので、「再委託先については委託先が責任を負う」と定めるだけでは十分ではありません。
再委託が予定される場合には、委託元は、委託先に対して、再委託先の名称、再委託する業務内容、再委託先における個人データの取扱方法について、事前報告または承認を求める仕組みを設けておく必要があります。また、委託先を通じて、再委託先にも委託契約と同等以上の安全管理措置、事故報告、調査協力、再発防止義務が課されているかを確認することが重要です。
再委託先で漏えいが発生した場合、委託元が再委託先に直接請求できるかは契約関係等によって異なります。しかし、少なくとも委託元としては、再委託先の管理を委託先任せにせず、委託先を通じた報告・確認・改善要求の仕組みをあらかじめ整備しておくべきです。
7. おわりに
委託先・再委託先で顧客情報が漏えいした場合、委託元企業には、現行法上、委託先の選定、委託契約の締結、委託先における個人データの取扱状況の把握という委託先監督が求められます。
また、令和8年改正法案では、委託を受けた事業者に関する規律の見直しや、漏えい等発生時の本人通知義務の見直しも予定されています。今後は、委託先・再委託先との契約において、個人データの取扱範囲、取扱方法、委託業務の範囲を超えた利用の禁止、漏えい等発生時の報告、調査協力をより明確にしておく重要性が高まると考えられます。
顧客情報を外部事業者に取り扱わせている企業は、事故発生後の対応だけでなく、平時から、委託先・再委託先の管理体制を整備しておくことが重要となります。
著者情報

弁護士:藤井 健一
築地かなめ法律事務所 代表弁護士。
関連カテゴリ
関連記事
-
2026-07-08知財・ノウハウ・データの「ただ取り」を防ぐ – 知財取引指針と契約書ひな形から見る取引実務のポイント企業間取引・契約法務 危機管理・不祥事対応 経済法関連
-
2026-06-30【Q&A】賃料増額を求められた場合の対応について企業間取引・契約法務 個人の紛争
-
2026-06-19価格転嫁・支払条件・物流商慣行に関する新ルール – 改正優越ガイドライン・物流特殊指定・支払告示の実務ポイント企業間取引・契約法務 危機管理・不祥事対応 経済法関連
-
2026-06-04価格転嫁・支払条件・物流商慣行はどう変わるか — 優越ガイドライン改定案の実務ポイント企業間取引・契約法務 危機管理・不祥事対応 経済法関連
-
2026-05-14賃料増額請求を受けたときの法的対応 — 借地借家法の枠組みと交渉戦略企業間取引・契約法務 個人の紛争 危機管理・不祥事対応
関連取扱業務
カテゴリ一覧
お問い合わせ
ご相談・ご依頼をご希望の方は、まずはメールフォームよりご連絡ください。
内容を確認の上、追って日程調整等の連絡を差し上げます。
※お電話でのご相談は受け付けておりません。