複業受け入れのセキュリティ対策｜情報漏洩を防ぐ4つの柱と最低限のチェックリスト

複業人材を活用したい。スキル補強やプロジェクトの即戦力として魅力的だし、採用コストを抑えながら専門人材と仕事できるメリットも大きい。そう判断しながらも、「セキュリティが心配で踏み切れない」という担当者の声をよく聞きます。

「NDAを結べばいいのでは？」と思っても、「NDAだけでは足りないと聞いた」「社内でどんなルールを作ればいいか分からない」という壁にぶつかります。セキュリティの専門知識がなければ、何から手をつければよいか判断のしようがありません。

その不安は正当です。しかし、複業受け入れのセキュリティ対策は「特別に難しいこと」ではありません。押さえるべきポイントは「契約」「デバイス・ネットワーク」「アクセス権限」「情報共有ルール」の4つです。それぞれに最低限やるべきことと、余裕があれば追加したい対策があります。

本記事では、セキュリティ専任担当者がいない中小〜中堅企業の担当者を想定し、今日から動けるレベルの具体的な対策を解説します。情報漏洩が起きる経路を理解し、4つの柱に沿って体制を整えることで、複業人材を安全に受け入れる判断基準を手に入れてください。

複業受け入れで情報漏洩が起きる3つの経路

複業人材を受け入れる際のセキュリティリスクを「なんとなく怖い」のままにしておくと、対策の優先順位がつけられません。まず、情報漏洩が実際に起きやすい経路を3つに整理します。

契約の抜け穴——NDAだけでは守れないケース

最初の経路は「契約」です。NDA（秘密保持契約）を締結することは必須ですが、NDAだけでは守れないケースがあります。

よくある問題は、「秘密情報の定義が曖昧」なことです。「業務上知り得た情報」という一般的な記述では、複業人材側が「これは秘密情報に当たらない」と判断してしまうことがあります。また、「業務終了後の情報の返還・削除」が規定されていないと、終了後もデータを持ち続けるケースが発生します。

NDAはあくまで「法的な担保」です。実際の情報漏洩を防ぐ運用ルールは別途整備する必要があります。

私物デバイス・在宅ネットワーク経由の漏洩

2つ目の経路は「デバイスとネットワーク」です。複業人材の多くはリモートワークで業務を行います。自宅や外出先での作業が基本となるため、企業が管理するネットワーク外での情報取り扱いが課題になります。

具体的なリスクは、私物PCへのマルウェア感染、公共Wi-Fiを経由した通信の傍受、ウイルス対策ソフトが最新でない端末からのアクセスなどです。企業側でデバイスの管理状態を直接確認できないため、ルールと自己申告による運用が基本になります。

業務終了後もアクセス権が残るリスク

3つ目の経路は「アクセス権限の放置」です。業務が終了した後もSlackやGoogleドライブなどのクラウドツールへのアクセス権が残ったままになることがあります。

アクセス権の削除はツールごとに手動で行う必要があり、担当者が退職・終了の対応に追われる中で漏れやすいポイントです。元複業人材が以前のアクセス権を使って情報を閲覧・取得することを、発覚前に防ぐのは困難です。

これら3つの経路を理解した上で、次の対策を検討してください。

受け入れ前に整えるべき「契約・法的基盤」

複業人材との取引には「NDA（秘密保持契約）」と「業務委託契約」の2種類の契約が必要です。それぞれに盛り込むべき項目を確認します。

NDAに必ず含める5項目

NDAは情報漏洩の法的防止線です。以下の5項目が含まれているか確認してください。

1. 秘密情報の定義を具体化する 「業務上知り得た情報」という曖昧な定義ではなく、「顧客リスト」「システムの設計情報」「未公表の事業計画」など、具体的なカテゴリを明記します。

2. 情報の利用目的を限定する 「本業務の遂行目的のみに利用する」と記載し、目的外利用を禁止します。

3. 第三者への開示禁止 他の業務委託先や個人への情報共有を禁止する条項を入れます。

4. 業務終了時の情報の返還・削除義務 業務終了時に、受け取ったデータ・書類を返還または削除することを義務付けます。「確認書」を提出させる形式にすると運用がしやすくなります。

5. 違反時の損害賠償条項 違反した場合の損害賠償額や対応方法を記載します。抑止力として機能します。

業務委託契約で明記すべきセキュリティ条項

業務委託契約には、NDAに加えてセキュリティに関する運用ルールを盛り込みます。

• 使用可能なデバイスの条件（会社貸与か私物かの選択、ウイルス対策必須など）
• 業務に使用可能なネットワーク環境（公共Wi-Fi禁止など）
• 会社ツールのアクセス範囲
• 業務完了後のアクセス権削除への協力義務

これらを契約書に明記することで、運用ルールの遵守を法的に担保できます。

フリーランス保護新法との関係（2024年11月施行）

2024年11月に「フリーランス・事業者間取引適正化等法」（フリーランス保護新法）が施行されました。この法律は主に発注事業者がフリーランスに対して守るべき義務（書面による取引条件の明示・報酬の適正化など）を定めたものです。

セキュリティ対策を義務付ける規定ではありませんが、書面での取引条件明示が義務化されたことで、業務委託契約の精度を高める契機になっています。複業人材との取引でも、この機会に契約書の内容を見直すことをお勧めします。

（参考: フリーランスが安心して働ける環境づくりのための法律（政府広報オンライン））

デバイス・ネットワーク対策の現実的な選択肢

複業人材が使用するデバイスとネットワークの管理は、セキュリティの中でも判断が難しい領域です。専任担当者がいない企業でも実施できる対策を紹介します。

BYOD vs 会社貸与デバイス——中小企業の現実的な選択

デバイスの管理方針は「会社がPCを貸与するか」「私物デバイスを使わせるか（BYOD）」の2択です。

会社貸与デバイスは、セキュリティ設定を企業側で管理できるため安全性は高くなります。ただし、デバイスの購入コストと管理の手間がかかります。短期のプロジェクトや少人数の複業人材に対して全員分を貸与するのはコスト的に難しい場合があります。

BYOD（私物デバイス利用）は、コストを抑えられる反面、企業側でデバイスの状態を直接管理できません。そのため、「何を守るか」を明確にした上でルールを設定し、複業人材側の自己管理に依存することになります。

多くの中小企業では、短期・少人数の複業人材に対してはBYODを選択しつつ、長期的な関与や機密性の高い業務には貸与デバイスを使用するという使い分けが現実的です。

最低限やるべきBYOD対策

BYODを選択した場合、以下の対策を運用ルールとして業務委託契約に明記し、複業人材に徹底してもらいます。

• ウイルス対策ソフトの導入: 有料・無料問わず最新の状態に保つことを義務付けます
• OSとアプリケーションの定期的なアップデート: 既知の脆弱性を塞ぐために重要です
• 業務用と個人用のアカウント分離: ブラウザのプロファイル機能などを使って、業務関連のアカウントと個人用アカウントを明確に分けてもらいます
• 画面ロックの設定: 離席時に画面が自動でロックされるよう設定してもらいます

公共Wi-Fi利用禁止ルールの運用方法

カフェや公共施設の無料Wi-Fiは、通信が傍受されるリスクがあります。複業人材には公共Wi-Fiでの業務利用を禁止するルールを設けることを推奨します。

ただし、「禁止」だけでは使われてしまうことがあります。代替手段として、スマートフォンのテザリング（モバイルデータ通信）や携帯型Wi-Fiルーターの活用を案内することで、現実的に守りやすくなります。

VPN（仮想プライベートネットワーク）の利用は通信の暗号化に効果的ですが、企業側でVPNを提供する体制が必要です。セキュリティ体制を整える段階では、まずは公共Wi-Fi禁止ルールと代替手段の案内から始めるのが現実的です。

アクセス権限設計——「必要最小限」の原則

アクセス権限の設計は、複業人材のセキュリティ管理において最も効果的な対策のひとつです。「最小権限の原則」と呼ばれる考え方を基本にします。

最小権限の原則——なぜ「業務に必要なものだけ」に絞るのか

最小権限の原則とは、各ユーザーが自分の業務遂行に必要最低限のアクセス権のみを持つという考え方です。

必要以上のアクセス権を与えると、万が一の情報漏洩時に影響範囲が広がります。例えば、デザイン業務を担当する複業人材が顧客データベースや財務情報にもアクセスできる状態は、業務上必要ないにもかかわらずリスクを高めます。

権限を絞ることで、万が一アカウントが不正利用された場合でも、取得できる情報を限定できます。

業務フェーズ別のアクセス権設計例

複業人材の業務内容に応じたアクセス権の設計例です。

Webデザイン・UI/UX担当の場合

• Figmaやデザインツール: 対象プロジェクトのみ閲覧・編集可
• Google Drive: デザイン素材フォルダのみ
• Slack: 対象プロジェクトチャンネルのみ（全社チャンネルは不要）

エンジニア担当の場合

• GitHubリポジトリ: 対象リポジトリのみ
• 本番環境へのアクセス: 原則禁止（開発・ステージング環境のみ）
• データベース: 対象業務に必要なテーブルのみ読み取り権限

マーケティング担当の場合

• Google Analytics, 広告管理: 対象アカウントのみ
• SNS管理ツール: 対象アカウントのみ
• 顧客リスト・個人情報: 業務上必要がない場合は閲覧不可

業務終了時のアクセス削除チェックリスト

業務終了時はツールごとにアクセスを削除します。「誰が何のツールを使っていたか」を一覧管理しておくと、削除漏れを防げます。

以下のツールが対象になることが多いです。削除が完了したらチェックをつけて記録しておきます。

• Slack（ワークスペースからの削除・ゲストアカウントの無効化）
• Google Drive（共有フォルダからの削除・共有リンクの無効化）
• GitHub（リポジトリのコラボレーターから削除）
• プロジェクト管理ツール（Notion, Asanaなど）
• 専用業務ツール（デザインツール、広告管理画面など）
• メーリングリストや社内SNS

ツールの棚卸しリストを事前に作成しておくと、終了時の作業がスムーズになります。

情報共有ルール——社内外での取り扱い基準を作る

「どこまでの情報を複業人材と共有してよいか」という基準がないまま業務を進めると、担当者の判断に委ねられ、意図せず過剰な情報が共有されることがあります。

情報の機密レベル分類

まず、自社の情報を「機密レベル」で分類します。複雑にせず、3段階程度が運用しやすいです。

この分類を担当者間で共有し、「何を複業人材に渡してよいか」の判断基準を統一します。

チャット・クラウドストレージの共有設定ルール

業務ツールの設定で防げるリスクがあります。

Slack の場合 ゲストアカウント機能を使い、複業人材が参照できるチャンネルを必要最小限に絞ります。全社チャンネルや人事・経営に関するチャンネルには招待しない設定にします。

Google Drive の場合 Google Workspace の管理コンソールから、外部共有の権限を制限できます。「リンクを知っている全員に共有」という設定は避け、「特定のユーザーのみ」に絞った共有を徹底します。共有フォルダは業務ごとに分けて管理し、不要なフォルダへのアクセスが発生しない設計にします。

受け入れ初日のセキュリティオンボーディング手順

複業人材の受け入れ初日に、セキュリティルールの説明を必ず実施します。口頭だけでなく、書面で「確認しました」という署名を取得することで、ルールの認識を双方で確認できます。

説明すべき内容：

• 使用を許可するツールとアクセス範囲
• 情報の機密レベルと共有禁止事項
• 公共Wi-Fiや私物デバイスの利用ルール
• 業務終了時のデータ削除・返還の手順
• セキュリティに関する疑問の問い合わせ先

30分程度の簡単な説明で十分です。説明用の資料を一度作っておけば、以降の複業人材受け入れ時にも使い回せます。

複業受け入れセキュリティの「最低限ライン」と「理想ライン」

ここまでの対策を「今すぐやるべきこと」と「余裕ができたら追加する対策」の2段階に整理します。

最低限ライン（すぐ実施できる5つのアクション）

以下の5つは、セキュリティ専任担当者がいなくても今週中に対応できる対策です。

1. NDAと業務委託契約の内容を見直す 既存の契約書がある場合は本記事の5項目と照合し、不足があれば追記します。新規の場合は弁護士に相談することも選択肢です。

2. 付与するアクセス権を業務内容ごとに書き出す スプレッドシートで「複業人材名・業務内容・付与ツール・アクセスレベル」を一覧化します。これが終了時の削除リストにもなります。

3. セキュリティオンボーディングの説明用資料を作る A4一枚程度で構いません。ルール・禁止事項・問い合わせ先を記載した資料を用意します。

4. 公共Wi-Fi禁止ルールを業務委託契約に明記する 「業務時は公共Wi-Fiを使用しない」という一文を追加するだけで、法的な根拠になります。

5. 業務終了時のアクセス削除フローを決める 「誰が・いつ・どのツールのアクセスを削除するか」を手順として文書化します。

理想ライン（体制が整ってきたら追加する対策）

体制が整ってきたら、以下を追加することでよりセキュアな環境を実現できます。

• 多要素認証（MFA）の設定: 主要ツールのログインに多要素認証を設定します。パスワード漏洩時の被害を大幅に軽減できます
• アクセスログの定期確認: ツールによっては誰がいつアクセスしたかのログを確認できます。定期的に確認することで異常を早期発見できます
• MDM（モバイルデバイス管理）の導入: 複数の複業人材を継続的に活用する場合、MDMツールを使ってデバイス管理を自動化することを検討します
• セキュリティポリシー文書の整備: 「情報セキュリティポリシー」を社内文書として整備し、複業人材にも適用される形にします
• 年1回のセキュリティ状況の見直し: 使っているツール・アクセス権・契約書の内容を定期的に棚卸しします

複業人材の活用は、適切なセキュリティ対策と合わせて進めることで、企業にとって大きな強みになります。最初から完璧を目指さず、最低限ラインから始めて段階的に体制を整えていくことが、継続的なセキュリティ向上につながります。