外部エンジニアに開発を委託する企業が増えています。クラウド開発・SaaS連携・AIシステムなど、社外の専門人材を活用する場面では、ソースコードや本番データベース、APIキーといった「事業の中核に直結する情報」を渡すケースが避けられません。一方で、退任後のソースコード流出やAPIキー漏洩などのインシデントも報じられ、機密情報の管理は発注企業にとって極めて重要なテーマとなっています。
そこで重要になるのがNDA(秘密保持契約)です。インターネットで「業務委託契約書 雛形」と検索すれば多くのテンプレートが見つかりますが、機密情報条項が薄かったり、「業務上知り得た情報」と抽象的に書かれているだけだったりして、「これで本当に自社のソースコードや本番環境を守れるのか」が判断できず、不安に思う担当者は少なくありません。法務部が手薄な中小・中堅企業ほど、その悩みは深くなりがちです。
特にエンジニア委託の場合、一般的なNDA雛形ではカバーしきれない論点があります。ソースコードの持ち出し制限、開発用端末の管理、退任時のアクセス権剥奪、OSS利用の報告、再委託(孫請け)の制限など、エンジニア特有の情報資産に応じた条項を組み込まなければ「事故が起きてから抜け漏れに気付く」状況になりかねません。
本記事では、(1) 業務委託エンジニアにNDAが必要な理由、(2) エンジニアに開示する機密情報の具体的な範囲と棚卸しチェックリスト、(3) 業務委託契約とNDAを一本化するか別契約にするかの判断基準、(4) エンジニア向けに必須の条項と雛形カスタマイズ例、(5) 締結タイミングと電子契約を含む実務手順、(6) よくある落とし穴と注意点、(7) 次のアクション3ステップ、までを発注者視点で解説します。
本記事を読み終える頃には、自社で外部エンジニアに開示する機密情報を漏れなく整理し、雛形を自社向けにカスタマイズできるイメージが持てる状態になります。社内稟議や法務確認に進める材料として活用してください。
業務委託エンジニアにNDA(秘密保持契約)が必要な理由
業務委託でエンジニアに開発を任せる場合、なぜNDAを準備する必要があるのでしょうか。まずはNDAの基本的な意味と、業務委託契約書との関係、エンジニア委託に特有のリスクから整理します。
NDA(秘密保持契約)とは — 業務委託の文脈での定義
NDA(Non-Disclosure Agreement)は、業務上開示した情報を「秘密情報」として定義し、その情報の目的外使用と第三者への開示を禁止する契約です。日本語では「秘密保持契約」と呼ばれます。
業務委託の文脈では、発注企業(委託者)が受託者(業務委託エンジニア)に対して、業務遂行のために必要な情報を開示する代わりに、その情報の取り扱いに一定の義務を課す契約として機能します。義務違反があった場合は、損害賠償や差止請求の根拠になります。
経済産業省は秘密保持契約のひな形を公開しており、業務委託や共同研究など複数のシーンを想定した条文例を提供しています(経済産業省「秘密情報の保護ハンドブック」関連資料)。本記事でもこのひな形をベースに、エンジニア向けの追加条項を解説していきます。
業務委託契約書とNDAの違いと使い分け
業務委託契約書とNDAは似て非なる契約です。両者の違いを整理すると以下のようになります。
項目 | 業務委託契約書 | NDA(秘密保持契約) |
|---|---|---|
主な目的 | 業務の範囲・対価・納品物などの取り決め | 情報の取り扱いルールの取り決め |
主な内容 | 業務内容・委託料・納期・検収・知的財産権 | 秘密情報の定義・目的外使用禁止・保持期間 |
締結タイミング | 業務開始前(契約書面で確定) | 商談段階や業務開始前 |
対象期間 | 委託業務の期間 | 契約終了後も継続することが多い |
実務では、業務委託契約書の中に「秘密保持条項」を組み込むパターンと、別途NDAを単独で締結するパターンの両方があります。どちらを選ぶかの判断基準は後述の章で詳しく解説します。
エンジニア委託に特有の機密情報リスク3つ
エンジニア委託では、一般的な業務委託に比べて以下の3つのリスクが大きくなります。
- 本番環境へのアクセス権を渡すリスク: 開発・運用業務では、本番サーバーへのSSH接続権限、本番データベースへのアクセス権、AWS・GCPなどクラウドコンソールへのアクセス権を一時的にでも付与せざるを得ない場面があります。これらの権限を渡すことは、事業継続に直結する資産への扉を開けることを意味します。
- ソースコードと設計書を開示するリスク: 開発委託である以上、ソースコードや設計書を共有する必要があります。これらは事業の中核を成す知的資産であり、競合への流出は致命的な影響を与えかねません。リポジトリ全体への参照権限を付与する場合は特に注意が必要です。
- 顧客データに触れるリスク: 開発や保守の業務では、本番データを使ったテスト・調査が必要になることがあります。顧客の個人情報や取引データに触れる以上、個人情報保護法上の安全管理措置との整合性も求められます。
これら3つのリスクは、一般的なNDA雛形に書かれている「業務上知り得た情報」という抽象表現だけでは十分にカバーできません。エンジニア委託では、これらのリスクを意識した条項設計が不可欠です。
NDA未締結で起きた漏洩事例(匿名化)
実際に発生しがちな漏洩パターンを、匿名化した事例として紹介します。これらは公開情報や業界で語られる典型例をベースにした想定事例です。
- ケース1: 退任後のソースコード流用: フリーランスエンジニアにECサイトの開発を委託した中小企業A社。契約終了後、当該エンジニアが類似サービスを立ち上げ、A社のコードベースに酷似したサービスを公開していたことが発覚した。NDA未締結のため、ソースコードの目的外使用を明確に禁止する根拠がなく、対応に難航した。
- ケース2: APIキーがGitHubに公開: スタートアップB社が外部開発者にAWS環境の構築を委託したところ、当該開発者の個人GitHubリポジトリに、本番環境のAPIキーがハードコードされたまま公開されていた。不正アクセス被害には至らなかったが、全APIキーの再発行・監査ログ精査に1週間以上を要した。
- ケース3: 顧客リスト流出: SaaS企業C社が業務委託エンジニアにCRMの改修を依頼。改修のためにエクスポートした顧客リストが、当該エンジニアが自宅で使用していた私用クラウドストレージに残されたままだった。
いずれのケースも、契約段階で「機密情報の範囲」「目的外使用の禁止」「契約終了時のデータ削除義務」「使用端末の制限」などを明文化していれば、リスクを大幅に抑えられた可能性があります。
なお、フリーランスエンジニアとの締結については、契約形態特有の論点を別記事で詳しく解説しています(フリーランスエンジニアとのNDA締結ガイド)。本記事では業務委託全般における機密情報の取り扱いと条項設計に焦点を当てます。
業務委託エンジニアに開示する「機密情報」の範囲
NDAの「機密情報の定義」をどう書くかが、その後の安全性を左右します。本章では、エンジニア委託でやり取りされる情報を4つのカテゴリに分け、自社の状況を棚卸しできるチェックリストとして整理します。記事を読みながら、自社で該当する項目にチェックを入れていく形で活用してください。
コード・設計関連の機密情報
開発委託で必ず開示する情報です。これらは事業の中核をなす知的資産であり、機密情報の定義に明示的に含めるべきです。
- ソースコード(プロダクトコード・開発中ブランチ・パッチコード)
- 設計書(アーキテクチャ図・データベース設計書・API仕様書・シーケンス図)
- 内部実装ドキュメント(ADR、技術選定書、運用手順書)
- テストコード・テストデータの構造
- CI/CDパイプラインの設定情報
- 依存ライブラリと脆弱性対応の社内ルール
漏洩時インパクト: 競合への技術流出、模倣サービスの構築、セキュリティホールの突き止め。
データ関連の機密情報
業務の都合で本番データやテストデータに触れる場面があります。個人情報を含む場合は個人情報保護法の安全管理措置との整合性も意識する必要があります。
- 顧客の個人情報(氏名・連絡先・住所)
- 取引データ(注文履歴・売上データ・決済情報)
- サービスの利用ログ・行動ログ
- アカウント認証情報のハッシュ・トークン
- 統計データ・KPIダッシュボードの中身
- サポート対応の問い合わせ履歴
漏洩時インパクト: 個人情報漏洩としての法的責任、顧客信用の毀損、課徴金・損害賠償。
アクセス権・認証情報
技術的に最もセンシティブなカテゴリです。アクセス権そのものが「鍵」なので、付与する段階で漏洩リスクが発生します。
- APIキー・シークレットキー(自社APIおよびAWS・Stripe・SendGridなど外部サービス)
- OAuthトークン・リフレッシュトークン
- SSH鍵・本番サーバーへのアクセス権
- GitHub・GitLab等のリポジトリアクセス権(read/write/admin)
- 社内VPN認証情報・踏み台サーバーアクセス権
- クラウドコンソール(AWS・GCP・Azure)のIAMロール
- CI/CD用のサービスアカウント認証情報
- 監視・ログ基盤(Datadog・Sentry等)のアクセス権
漏洩時インパクト: 不正アクセス、本番環境の改ざん、データ流出、クラウド利用料の不正消費。
組織・事業関連の機密情報
開発業務に直接関連しない情報でも、エンジニアが業務上知り得る場面があります。これらも機密情報として明示しないと、SNSやブログでの発信を制限できません。
- 社内Slack・チャットツールでのやり取り
- 経営計画・事業計画・予算情報
- 顧客リスト・パイプライン情報
- 未公開機能・新規プロダクトのコンセプト
- 業務委託契約の単価・条件
- 採用情報・人事情報(同僚エンジニアの待遇など)
漏洩時インパクト: 競合への戦略漏洩、人材引き抜き、機密性の高い案件情報の流出。
機密情報から除外する情報の定義
機密情報を広く定義する一方で、以下のような情報は除外することが一般的です。これを明示しておかないと、契約相手が「不当に行動制約を受ける」と感じて契約を渋るリスクがあります。
- 既に公知となっている情報
- 開示前から受託者が正当に保有していた情報
- 第三者から守秘義務を負わずに正当に取得した情報
- 受託者が独自に開発した情報(秘密情報を使用せず開発したもの)
- 法令や裁判所・行政機関の命令に基づき開示を求められた情報
経済産業省のひな形でも、これらの除外規定が標準的に含まれています。雛形のままで違和感はないため、特別な事情がない限りそのまま採用して問題ありません。
業務委託契約とNDAは一本化すべきか、別契約にすべきか
ここまでで「何を機密情報として定義すべきか」が見えてきました。次に多くの担当者が悩むのが「業務委託契約書とNDAを別契約にすべきか、契約書内に秘密保持条項を入れるだけで良いのか」という選択です。本章では両パターンのメリット・デメリットと、判断基準を解説します。
一本化パターン: 業務委託契約書に秘密保持条項を含める
業務委託契約書の中に「第○条 秘密保持」として条項を組み込むパターンです。
メリット:
- 契約締結が1回で済み、署名・捺印の手間が少ない
- 契約内容の管理(保管・参照)が一元化される
- 受託者の心理的負担が少ない(書類が1通だけ)
デメリット:
- 業務委託契約の有効期間に秘密保持義務が連動するため、契約終了後の秘密保持期間の設定が難しい
- 商談・トライアル段階での情報開示にカバーしきれない(業務委託契約はまだ未締結のため)
- 機密情報条項の更新が業務委託契約全体の更新と紐づき、柔軟な見直しがしづらい
別契約パターン: NDAを単独で先行締結する
業務委託契約とは別にNDA単独で締結するパターンです。
メリット:
- 商談・要件定義・トライアル段階から情報開示が安全に行える
- 秘密保持期間を業務委託契約と独立して設定できる(契約終了後5年など)
- 複数の業務委託契約を同じ相手と結ぶ場合、NDAを共通の基盤として再利用できる
デメリット:
- 契約締結が2回必要になり、署名・捺印の手間が増える
- 受託者が「契約書が多くて面倒」と感じる場合がある
- 両契約の条項が矛盾しないよう注意が必要(特に秘密情報の定義)
判断基準フローチャート
どちらのパターンを選ぶかは、以下の3つの観点で判断します。
観点 | 一本化が適するケース | 別契約が適するケース |
|---|---|---|
取扱情報の機密性 | 一般的な業務情報のみ(コードを書くが本番データには触れない) | ソースコード・本番DB・APIキー・顧客データに触れる |
商談・トライアルの有無 | 既に発注が確定しており商談段階の情報開示は不要 | 提案・トライアル段階から技術情報を共有する |
同一相手との反復取引 | 単発の小規模案件 | 継続的に複数案件を委託する見込みがある |
エンジニア委託では、本記事で扱う典型ケース(ソースコード・本番環境・顧客データへのアクセスを伴う案件)の多くで、別契約パターン(NDA単独締結)が望ましいと言えます。商談段階で技術仕様や運用課題を共有することが多いため、NDAを先行して結んでおく方が安心です。
一方、すでに固定で取引している協力会社で、既存のNDAに包括的に守られているような状況であれば、各案件ごとの業務委託契約には簡易な秘密保持条項のみを入れ、「詳細はマスターNDAに従う」という運用も合理的です。
エンジニア向けNDAに必須の条項と雛形
ここからは具体的な条項の中身に踏み込みます。経済産業省の汎用ひな形をベースに、エンジニア向けに追加・修正すべき条項を解説します。なお、提示する条文例はあくまで参考として記載するもので、実際の契約書作成にあたっては弁護士など専門家への確認を推奨します。
基本条項5つ
まずは経済産業省ひな形にも含まれている、NDAに最低限必要な基本条項5つを確認します。
# | 条項 | 内容の要点 |
|---|---|---|
1 | 秘密情報の定義 | 何が機密情報に該当するかを明確化 |
2 | 目的外使用の禁止 | 業務遂行の目的以外で使用することを禁止 |
3 | 第三者への開示禁止 | 事前の書面承諾なく第三者に開示することを禁止 |
4 | 保持期間 | 秘密保持義務がいつまで続くかを規定(一般的には契約終了後3〜5年) |
5 | 契約終了時の返還・廃棄 | 契約終了時に秘密情報を返還または廃棄することを義務化 |
この5つは経済産業省のひな形をそのまま採用しても問題ありません。エンジニア向けには、機密情報の定義(第1条)に前述のチェックリストで列挙した情報を「特に」として明記すると効果的です。
エンジニア向け追加条項①: ソースコード・成果物の持出禁止と知的財産権の帰属
エンジニア向けNDAで最も重要な追加条項のひとつが、ソースコードと成果物の取り扱いです。
なぜ必要か: 一般的なNDA雛形は「秘密情報の目的外使用禁止」を定めますが、ソースコードを業務委託エンジニア個人の開発環境(ローカルPC・私用クラウドストレージ)に持ち出して保管することを明示的に禁止していないケースが多くあります。
条文例:
受託者は、本業務の遂行に必要な範囲を超えて、ソースコード・設計書・その他の成果物を委託者の指定する開発環境外に保管または複製してはならない。本業務終了時には、受託者の管理下にあるすべての成果物の複製を完全に削除し、削除完了を書面または電子的方法で委託者に報告するものとする。
これと併せて、知的財産権の帰属(成果物の著作権は委託者に帰属する旨)も明記しておきます。職務著作・職務発明の規定が適用されない業務委託の場合、特に明示しておく必要があります。
エンジニア向け追加条項②: 開発用端末・環境の管理義務
リモート開発が一般化した現在、業務に使用する端末の管理は重要な論点です。
なぜ必要か: ソースコードや本番認証情報を扱う以上、それを保管する端末の安全性が確保されなければ意味がありません。私用端末でフルディスク暗号化されていないPC、家族と共用しているPC、長年OSアップデートされていないPCなど、リスクの高い環境で業務されると漏洩リスクが跳ね上がります。
条文例:
受託者は、本業務に使用する端末について、以下の安全管理措置を講じるものとする。(1) 端末の暗号化(フルディスク暗号化)、(2) OS・主要ソフトウェアの最新セキュリティパッチの適用、(3) アンチウイルスソフトの導入、(4) スクリーンロックの設定、(5) 受託者本人以外が当該端末を使用しないこと。委託者が指定した場合、受託者は本業務専用の端末を使用するものとする。
エンジニア向け追加条項③: 退任時のアクセス権剥奪・データ削除の義務
契約終了時の処理は、漏洩事例で最も多く問題になるポイントです。
なぜ必要か: 業務委託の契約終了は、社員の退職に比べて引き継ぎが曖昧になりがちです。GitHub・AWS・本番DBへのアクセス権が剥奪されないまま放置されたり、ローカルPCにソースコードが残ったまま忘れられたりするケースが頻発します。
条文例:
本契約終了時、または委託者から要請があった場合、受託者は速やかに以下の措置を講じるものとする。(1) 受託者の管理下にあるすべての秘密情報(電子データを含む)の削除、(2) 委託者が付与したすべてのアクセス権(リポジトリ・本番環境・社内システム等)について返却または失効申請、(3) 削除・失効完了の書面または電子的方法での報告。委託者は、受託者からの報告を確認した上で、必要に応じて監査ログ等により実態を確認できるものとする。
発注者側の運用としても、退任時に「アクセス権剥奪チェックリスト」を準備しておくと取りこぼしを防げます(詳細は後述の実務手順章で解説します)。
エンジニア向け追加条項④: 再委託(孫請け)の制限と承諾義務
エンジニアが業務の一部を別の人物に再委託(孫請け)する場合の規定も明確にしましょう。
なぜ必要か: 再委託先には自社が直接NDAを締結していないため、機密情報が拡散する経路になります。事前承諾なしの再委託を許可してしまうと、機密情報の管理が事実上崩れます。
条文例:
受託者は、委託者の事前の書面による承諾を得ずに、本業務の全部または一部を第三者に再委託してはならない。委託者が再委託を承諾する場合、受託者は再委託先に本契約と同等以上の秘密保持義務を課す契約を締結し、その契約書の写しを委託者に提出するものとする。再委託先による秘密情報の漏洩・目的外使用については、受託者が委託者に対して直接責任を負うものとする。
エンジニア向け追加条項⑤: OSS利用報告義務と脆弱性発見時の通知義務
近年特に重要性が増している論点です。
なぜ必要か: 開発業務では多くのOSS(オープンソースソフトウェア)を組み合わせて利用しますが、OSSにはGPL・AGPLなど「派生物の公開を求めるライセンス」もあります。これらを意図せず組み込むと、自社のソースコード全体の公開義務が発生する可能性があります。また、業務中にプロダクトや依存ライブラリの脆弱性を発見した場合に、適切に報告されないと攻撃の温床になります。
条文例:
(1) 受託者は、本業務において新たに導入するOSS(オープンソースソフトウェア)について、そのライセンス種別および利用範囲を委託者に事前に報告し、承諾を得るものとする。(2) 受託者は、本業務の遂行過程で、委託者のプロダクトまたは依存ライブラリにおいて脆弱性または不正アクセスの兆候を発見した場合、直ちに委託者に通知するものとする。
競業避止義務と独占禁止法・フリーランス保護法のバランス
NDAに「契約終了後○年間、競合企業に同種業務を提供してはならない」という競業避止条項を含めるかどうかは慎重な判断が必要です。
2024年11月に施行された「特定受託事業者に係る取引の適正化等に関する法律(フリーランス保護法)」では、特定受託事業者(フリーランス)に対する不当な経済上の利益の提供要請や、内容を著しく不利にする契約変更等が禁止されています(厚生労働省「フリーランス・事業者間取引適正化等法 特設ページ」)。期間が著しく長い・地理的制限が過剰・補償が一切ないといった「一方的に不利な競業避止条項」は、フリーランス保護法や独占禁止法上の優越的地位の濫用に抵触するリスクがあります。
実務的には、競業避止義務を入れる場合でも以下のような調整が望ましいといえます。
- 期間を1〜2年程度に限定する
- 制限対象を「本業務で取得した秘密情報を直接利用した競合行為」に限定する(同業他社全体の禁止は避ける)
- 制限が業務上必要な合理的範囲であることを明確に説明できるようにする
「受託者が他社で同種業務をすること自体を禁止する」のではなく、「秘密情報を流用しないことを徹底する」という構造で書く方が、優秀なエンジニアにも納得感を持って受け入れてもらいやすくなります。
NDA締結の実務手順(タイミング・電子契約・運用)
ここまでで「何を契約に書くか」が固まりました。本章では「いつ・どのように締結するか」「締結後にどう運用するか」という実務面を整理します。
締結タイミング — 商談開始時 / 業務開始前 / トライアル前のどれを選ぶか
NDAは「秘密情報を開示する前」に締結することが鉄則です。具体的なタイミングは以下のいずれかになります。
タイミング | 適するケース | 留意点 |
|---|---|---|
商談開始時 | 提案・要件定義段階で技術仕様や業務課題を詳細に共有する | 最も安全。マスターNDAとして将来の発注にも備えられる |
トライアル開始時 | PoCや小規模な試行業務に進む | トライアルでも本番相当の情報に触れるなら必須 |
業務開始前(業務委託契約と同時) | 軽微な情報のみで商談が進んだ案件 | 商談段階で開示した情報が遡及的にカバーされないリスクに注意 |
エンジニア委託では、技術選定や既存システムの構成説明が商談段階で発生することが多いため、商談開始時にNDAを締結しておくのが最も安全です。
電子契約サービスの選び方
紙の契約書での署名・捺印は、リードタイムが長く管理コストもかかります。電子契約サービスの活用が一般化しており、業務委託・NDAの締結でも広く使われています。
主要な電子契約サービスには以下のような選択肢があります。
- クラウドサイン(公式サイト): 国内シェアトップクラス。法人向け機能が充実
- GMOサイン: 大手企業導入実績多数、低コストプランあり
- DocuSign: グローバル対応、英文契約での実績豊富
- freeeサイン: バックオフィスツールとの連携が強み
選定の観点は以下です。
観点 | チェック項目 |
|---|---|
法的有効性 | 電子署名法に準拠した「立会人型」または「当事者型」の電子署名が利用可能か |
監査ログ | 誰がいつ署名したかの記録が改ざん不能な形で保存されるか |
テンプレート機能 | 自社で頻繁に使うNDA雛形をテンプレートとして保存できるか |
既存ツール連携 | 自社の業務管理システムやSlack・Microsoft Teamsと連携できるか |
海外受託者対応 | 海外在住の受託者(タイムゾーン・言語)にも対応できるか |
NDAは反復利用するため、テンプレート機能と監査ログの保管期間は特に重視するべき項目です。
締結後の運用ポイント — アクセス権付与・退任時のチェックリスト
契約締結は「準備」に過ぎません。本当の安全性は運用フェーズで決まります。発注者側で以下のチェックリストを準備しておくと取りこぼしを防げます。
業務開始時(アクセス権付与時のチェックリスト):
- NDA締結が完了していることを確認
- 付与するアクセス権をリスト化(GitHub・AWS・本番DB・Slack・etc.)
- 最小権限の原則で付与(admin権限を初期付与しない)
- APIキー・シークレットを発行する場合は受託者専用のキーを発行
- 監視・ログ基盤に当該受託者の操作が記録される設定を確認
業務中の運用ポイント:
- 新たに追加で開示する情報がある場合、機密情報の範囲内であることを確認
- 重要な変更(追加機能・本番DBアクセス権の付与)は記録を残す
- 受託者が再委託先を増やす場合は事前承諾フローを実施
退任時のチェックリスト:
- 付与したアクセス権をすべて剥奪・失効(GitHub・AWS IAM・SSH鍵・VPN・社内システム)
- 発行したAPIキー・シークレットを失効・ローテーション
- 受託者から成果物のローカル削除完了報告を受領
- 監査ログで退任前後の不審な操作がないかを確認
- 契約終了書面(または電子契約上の終了処理)を完了
この退任時チェックリストを社内のテンプレートとして用意しておくことが、漏洩事故の予防に最も効きます。
エンジニア向けNDAでよくある落とし穴と注意点
最後に、実務で起こりがちな落とし穴を整理します。事前に把握しておくことで「事故が起きてから気付く」状況を防げます。
秘密情報の定義が抽象的すぎる
「業務上知り得た情報」とだけ書かれているNDAでは、訴訟になった際に「その情報が秘密情報に該当するか」の立証が困難になります。前述のチェックリストのように、ソースコード・本番DB・APIキーなど具体的なカテゴリを例示する形にしましょう。
加えて、「委託者が秘密と指定して開示した情報」のように、開示時に秘密指定を行うことを要件とする規定の場合、口頭やSlackで気軽に共有した情報がカバーされない可能性があります。実務的には「秘密指定の有無を問わず、業務遂行のために開示された情報すべてを秘密情報とする。ただし、第○条で除外する情報を除く」のような書き方が安全です。
知的財産権の帰属を明記し忘れる
NDAは「秘密情報の取り扱い」を定める契約のため、知的財産権の帰属は別途明記する必要があります。業務委託契約書側に書くケースが一般的ですが、両方に矛盾なく書かれているかを確認しましょう。
特に注意すべきは、開発成果物の著作権・特許権・意匠権の帰属、そして開発過程で生まれた中間生成物(プロトタイプ・実験用コード・調査メモ)の扱いです。曖昧なままだと「成果物は委託者のもの、中間物は受託者のもの」という解釈の余地が生まれ、後で揉める原因になります。
フリーランス保護法・取適法に抵触する一方的条項
前述の通り、2024年施行のフリーランス保護法は、一方的に不利な条件を強要することを禁止しています。以下のような条項は要注意です。
- 過剰に長期の競業避止義務(5年以上など)
- 報酬や対価との対称性がない秘密保持義務
- 受託者側の損害賠償の上限が極端に高い、または上限規定がない
- 契約解除権が委託者側にのみ広範に認められている
エンジニアが「契約条件が一方的すぎる」と感じると、優秀な人材ほど契約を断る傾向があります。法的なリスクだけでなく、人材獲得の観点からも、双方が納得できる落とし所を探ることが重要です。
退任時のアクセス権剥奪の運用漏れ
冒頭の漏洩事例でも紹介した通り、退任時のアクセス権剥奪は最も漏れやすいポイントです。GitHubの組織メンバー削除、AWS IAMロールの削除、本番サーバーのSSH鍵削除、社内SaaSアカウントの停止、VPN認証情報のリセットなど、付与時に作成した「アクセス権リスト」を逆引きで確実に処理する仕組みが必要です。
社内に情シスチームがある場合は退任プロセスを情シスにエスカレーションする運用が望ましく、ない場合でも「退任時チェックリスト」を必ず文書化しておきましょう。
まとめ — 業務委託エンジニアのNDA締結チェックリスト
本記事では、業務委託エンジニアとのNDA締結について、機密情報の範囲・必須条項・実務手順を整理しました。最後に、自社で進めるための次のアクションを整理します。
次のアクション3ステップ
ステップ1: 機密情報の棚卸し 本記事の「業務委託エンジニアに開示する『機密情報』の範囲」章にあるチェックリストをコピーし、自社で外部エンジニアに開示する情報項目をすべて洗い出します。経営層・情シス・開発部門の3者で確認すると漏れを防ぎやすくなります。
ステップ2: NDA雛形のカスタマイズ 経済産業省の汎用ひな形をベースに、エンジニア向け追加条項5つ(ソースコード持出禁止・端末管理義務・退任時のアクセス権剥奪・再委託制限・OSS報告義務)を組み込みます。本記事で紹介した条文例を参考に、自社の状況に合わせて文言を調整してください。法務部門が不在の場合は、弁護士やリーガルテックサービスへのレビュー依頼を検討しましょう。
ステップ3: 電子契約と運用フローの整備 電子契約サービスを導入し、NDA雛形をテンプレートとして登録します。同時に「アクセス権付与時チェックリスト」「退任時チェックリスト」を社内に整備し、運用フローとして定着させます。
これらを揃えれば、外部エンジニアへの委託に伴うセキュリティ不安を大きく軽減できます。事故が起きてから対応するのではなく、契約と運用の両輪で「漏らさない仕組み」を整えることが、外部人材活用を継続的に進める基盤になります。
お役立ち資料のご案内
秋霜堂株式会社では、業務委託エンジニアとのNDA締結に使えるお役立ち資料「システム開発における秘密保持契約書(NDA)の雛形」を公開しています。エンジニア向け追加条項を組み込んだ実務向けの雛形となっており、自社の状況に合わせてカスタマイズしてご活用ください。
