個人情報保護法対応のシステム開発チェックリスト——外注時に発注者がやるべきこと
顧客情報・会員情報・従業員情報——多くの中小企業が、業務効率化のためにこうした個人情報を扱うシステムを外注で開発しようとしています。
しかし、「外注先に開発を任せれば、個人情報の管理責任も外注先に移るのでは?」という誤解が非常に多く見られます。実は、個人情報保護法ではそうした考え方は通用しません。外注先に業務を委託しても、個人情報取扱事業者としての責任は委託元(発注者)が持ち続ける仕組みになっているのです。
個人情報保護法は2022年4月に大幅改正され、漏洩時の報告義務の強化や越境データ移転の規制が追加されました。このような法改正の動きの中、「自社はどう対応すればよいのか」を把握していない担当者も多いのが現状です。
本記事では、個人情報を扱うシステムを外注する場合に、発注者として押さえておくべき法的義務・契約上の必須条項・システムの技術的要件を、チェックリスト形式でまとめます。法律の専門的な解釈は弁護士や個人情報保護士にご確認いただくことを前提に、「発注者として実務上何をすべきか」という観点から整理します。
目次
個人情報を扱うシステムを外注するとき、何が問題になるのか
外注しても責任は発注者に残る——個人情報保護法の基本的な考え方
個人情報保護法では、個人情報を取り扱う事業者(個人情報取扱事業者)に対して、安全管理措置や委託先の監督を義務付けています。
重要なのは、「外注(委託)は個人データの第三者提供にはあたらない」という点です。外注先の開発会社に顧客データの取り扱いを委託する場合、個人情報保護法上は「委託」に該当し、本人の同意なく個人データを渡すことができます。
ただし、委託であっても、委託元(発注者)の責任が消えるわけではありません。個人情報保護法第22条(2022年改正後)は、委託先に対して「必要かつ適切な監督を行わなければならない」と定めており、委託先が情報漏洩を起こした場合でも、発注者が監督義務を怠っていたと判断されれば法的責任を問われる可能性があります。
「委託」と「第三者提供」の違いと、発注者が知っておくべき前提
| 区分 | 内容 | 本人同意 |
|---|---|---|
| 委託 | 業務の一部を外部に委託する場合(例:システム開発会社への委託) | 不要 |
| 第三者提供 | 委託目的以外に個人データを提供する場合 | 原則必要 |
システム開発の外注は「委託」に該当しますが、発注者には以下の前提が求められます。
- 外注先(委託先)が適切に個人情報を取り扱えるかを事前に審査すること
- 委託先の監督に必要な事項を契約書に明記すること
- 委託先が適切に取り扱っているかを定期的に確認すること
「委託先に任せたので自社は関係ない」ではなく、「委託先を通じて自社が責任を持つ」という意識が重要です。
個人情報保護法における委託先管理義務とは何か
第22条「委託先の監督」——何を義務付けているか
個人情報保護法第22条(2022年改正後)は、委託先の監督について以下のように定めています。
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
「必要かつ適切な監督」として、個人情報保護委員会のガイドラインでは以下が示されています。
- 委託先の適切な選定: 委託先が個人データを適切に取り扱う能力・体制を持つかの事前審査
- 委託契約の締結: 安全管理措置に必要な事項を委託契約書に明記すること
- 委託先の監督: 契約内容が適切に実施されているかの定期的な確認
これらを怠ると、委託先が漏洩を起こした場合でも委託元(発注者)が法的責任を問われる可能性があります。
再委託(外注先がさらに外注する場合)の規制
開発会社が業務の一部を別の会社にさらに外注(再委託)するケースは珍しくありません。この場合、元の委託元である発注者は、再委託先の行為についても責任を負う可能性があります。
個人情報保護法上の対応として、委託契約書に以下を盛り込むことが重要です。
- 再委託の禁止、または発注者の事前承認を必要とする条項
- 再委託する場合に、元の委託先と同等以上の安全管理措置を確保することの義務付け
- 再委託先の情報(会社名・取り扱う個人データの範囲)を発注者に開示すること
2022年改正で強化された漏洩報告義務と越境移転規制
2022年4月施行の改正個人情報保護法では、以下の点が強化されました。
漏洩報告義務の新設(第26条)
一定規模以上の漏洩等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。報告期限は「発覚から速やかに(概ね3〜5日以内に速報)」、「30日以内に確報」となっています。
外国にある第三者への提供規制(越境移転)の強化
海外のクラウドサービスやオフショア開発(海外の開発会社への外注)を利用する場合、個人データが外国に移転することになります。相手国の個人情報保護制度の確認や、本人への情報提供が必要になるケースがあります。
法律の詳細な解釈は弁護士・個人情報保護士等の専門家にご相談ください。
外注先との契約書・NDAに含めるべき個人情報保護の条項
開発委託契約書に盛り込むべき個人情報保護条項(チェックリスト)
以下の5項目を委託契約書に含めることを確認してください。
秘密保持契約(NDA)と個人情報保護——どちらに何を書くか
NDAは「情報を秘密に保つ」義務を定めるものですが、個人情報保護に関する義務はより広範囲をカバーします。
| 文書 | 記載内容 |
|---|---|
| NDA | 秘密情報の定義・漏洩禁止・返却・廃棄義務 |
| 委託契約書 | 安全管理措置の義務付け・再委託規制・監査権・法令遵守義務 |
実務上は、NDA単体ではなく委託契約書に個人情報保護の条項を網羅的に盛り込むことが推奨されます。NDAを先に締結している場合でも、委託契約書で個人情報保護に関する追加事項を明記してください。
NDAの作成にあたっては、弁護士等の専門家への確認をおすすめします。
再委託禁止・承認規定の書き方
委託契約書に盛り込む際の記載例(参考):
「受託者は、委託業務の全部または一部を第三者に再委託してはならない。ただし、委託者の事前の書面による承認を得た場合はこの限りでない。再委託を行う場合、受託者は再委託先に対して本契約と同等以上の個人情報保護義務を課し、再委託先の監督について委託者に対して責任を負う。」
契約書の具体的な作成にあたっては、弁護士等の専門家への確認をおすすめします。
システム要件に落とし込むべき個人情報保護の技術的要件
個人情報保護法で義務付けられている「技術的安全管理措置」を、発注仕様書の要件として具体的に落とし込む方法を解説します。
保存データの暗号化要件——仕様書への書き方
個人情報を保存するデータベースや、個人情報が含まれるファイルには暗号化が必要です。
仕様書記載例:
- 顧客情報(氏名・住所・電話番号・メールアドレス等)を保存するデータベースは、保存時に暗号化(AES-256等の強度の高い暗号化方式)を施すこと
- 個人情報が含まれるファイルのダウンロード機能を設ける場合、ダウンロードされるファイルにはパスワード保護または暗号化を適用すること
- システムと外部サービス間の通信は、TLS 1.2以上を使用すること
アクセス権限管理(ロールベースアクセス制御)の要件定義
個人情報へのアクセスは、業務上の必要性がある担当者のみに限定する必要があります。
仕様書記載例:
- システムにロールベースアクセス制御(RBAC)を実装すること
- 個人情報にアクセスできるロールと、アクセスできないロールを明確に定義すること
- ロールの設定・変更は、管理者権限を持つユーザーのみが実施できること
- 退職・異動時にアカウントを無効化または削除する機能を設けること
操作ログ・監査ログの取得要件
「誰が・いつ・どの個人情報に・何をしたか」を記録するログの取得は、漏洩発生時の調査や、委託先への監査に不可欠です。
仕様書記載例:
- 個人情報へのアクセス(閲覧・編集・削除・エクスポート)のログを記録すること
- ログには「ユーザーID・日時・操作内容・対象データ(件数・識別子)」を含めること
- ログの保存期間は最低でも1年以上とし、ログは改ざんできない形式で保存すること
- ログの閲覧は管理者権限を持つユーザーのみとし、ログ自体へのアクセスもログに記録すること
データ保管期間・削除ポリシーの仕様化
個人情報保護法は「利用目的の達成に必要な範囲を超えた保管の禁止」を定めています。システム設計時に削除ポリシーを組み込むことが重要です。
仕様書記載例:
- 会員情報・顧客情報の保管期間を明確化し(例: 退会から2年間)、期間超過データを自動または手動で削除する機能を設けること
- データ削除は論理削除(フラグ管理)ではなく物理削除(実データの完全消去)を原則とすること
- 削除実行時にログを記録し、削除実施者・日時・削除件数が確認できるようにすること
バックアップとデータ復元の要件
バックアップデータも個人情報として管理が必要です。バックアップについても安全管理措置を仕様に含めてください。
仕様書記載例:
- バックアップデータは本番データと同等の暗号化・アクセス制限を適用すること
- バックアップの保存場所・保管期間・廃棄方法を明確化すること
- 不要になったバックアップデータは完全消去(復元不可能な形式での削除)を行うこと
プライバシーポリシーとシステム仕様の整合確認ポイント
プライバシーポリシーとシステム機能の整合確認チェックリスト
自社が公開しているプライバシーポリシーに記載された「個人情報の利用目的」と、開発するシステムの機能が整合しているかを確認してください。プライバシーポリシーに記載のない目的でデータを利用する機能をシステムに実装してしまうと、法令違反になる可能性があります。
システム開発後にプライバシーポリシーの改定が必要なケース
システム開発の結果として、既存のプライバシーポリシーでカバーされていない個人情報の取り扱いが発生する場合は、プライバシーポリシーの改定が必要です。
プライバシーポリシーの改定が必要になる主なケース:
- 新たな個人情報の収集項目を追加する場合(例: 新規に生年月日・位置情報の収集を開始)
- 個人情報の利用目的を追加・変更する場合
- 新たに第三者(外部サービス・API連携先等)に個人情報を提供する機能を追加する場合
- 海外のクラウドサービスを利用することで、個人データが国外に移転する場合
プライバシーポリシーの改定にあたっては、弁護士等の専門家の確認を得ることを推奨します。
個人情報漏洩が発生したときの対応フローと報告義務
2022年改正で義務化された漏洩報告・通知フロー
2022年4月施行の改正個人情報保護法(第26条)により、一定の要件を満たす漏洩等が発生した場合の報告・通知が義務化されました。
報告義務が生じる主なケース:
- 要配慮個人情報(病歴・障害・犯罪歴等)が含まれる場合
- 不正利用されるおそれがある場合(不正アクセス・ランサムウェア等)
- 1,000件以上の個人データが漏洩した場合
- 本人の財産的被害が生じるおそれがある場合
報告・通知のタイムライン:
| タイミング | 対応内容 |
|---|---|
| 漏洩発覚から3〜5日以内 | 個人情報保護委員会へ速報 |
| 漏洩発覚から30日以内(不正目的の場合60日以内) | 個人情報保護委員会へ確報 |
| 速やかに | 被害を受けた本人への通知 |
義務が生じる要件の詳細は個人情報保護委員会のガイドライン、または弁護士への相談で確認してください。
外注先が漏洩を起こした場合の発注者の対応手順
外注先(委託先)で漏洩が発生した場合、発注者が実施すべき対応手順の例を示します。
- 委託先からの第一報受領: 委託契約書の「漏洩時の通知義務」に基づき、委託先から速やかに報告を受ける
- 初動対応: 漏洩範囲の特定・漏洩の拡大防止(システムの一時停止・アクセス遮断等)を委託先に指示
- 内部報告: 社内の責任者(代表者・法務担当等)への報告
- 個人情報保護委員会への速報: 義務が生じる要件に該当する場合、発覚から速やかに速報を行う
- 本人への通知: 要件に該当する場合、速やかに被害を受けた本人へ通知する
- 再発防止策の策定: 委託先と協議し、再発防止策を策定・実施する
- 確報の提出: 30日以内(不正目的の場合60日以内)に個人情報保護委員会へ確報を提出する
まとめ——個人情報を扱うシステム外注前チェックリスト
ここまでの内容を、発注者としてシステム外注前に確認すべきチェックリストとしてまとめます。
契約前の確認チェックリスト
システム要件定義時の確認チェックリスト
プライバシーポリシー整合確認チェックリスト
個人情報保護法対応のシステム開発は、法律と技術の両面からの対応が必要な、専門知識を要するテーマです。本記事はあくまでも参考情報であり、具体的な対応にあたっては弁護士・個人情報保護士等の専門家への相談を強くおすすめします。
秋霜堂株式会社では、個人情報を取り扱うシステムの開発において、発注者のコンプライアンス要件を考慮した要件定義・設計を支援しています。「どこから手をつければよいかわからない」という段階からお気軽にご相談ください。
作業時間削減
システム化を通して時間を生み出し、ビジネスの加速をサポートします。
システム開発が可能に
秋霜堂株式会社について
秋霜堂は、Web開発・AI活用・業務システム開発を手がけるシステム開発会社です。要件定義から設計・開発・運用まで一貫してご支援しています。
システム開発のご相談や、自社課題に合った技術的アプローチについてお悩みの方は、お気軽にお問い合わせください。
作業時間削減
システム化を通して時間を生み出し、ビジネスの加速をサポートします。
システム開発が可能に
