「顧客リストのデータ入力をフリーランスに任せたいが、個人情報を渡して大丈夫なのか」——フリーランス活用を検討する発注企業の現場で、いま最も稟議を止めている懸念ではないでしょうか。社員のように物理的にPCや勤務環境を管理できない相手に、氏名・連絡先・購買履歴といった顧客情報を渡してよいのか、判断材料がないまま議論が空転しがちです。
個人情報保護法には「委託先の監督義務」という条文があることは知っていても、フリーランスのような個人事業主を相手に何をどこまで確認すべきか、具体的な運用に落とし込めないという声を多く伺います。法人委託を前提に書かれた解説記事ばかりで、フリーランス特有の論点(PCのセキュリティ環境、退職管理が存在しない、公共Wi-Fiの利用など)が抜けているためです。
さらに、2024年11月にはフリーランス保護新法が施行され、2026年通常国会には委託先規律強化・課徴金導入を含む個人情報保護法の改正法案提出が見込まれるなど、発注者を取り巻く法環境は急速に変化しています。「今後何が変わるか」を見越した発注設計が、これからの実務には欠かせません。
本記事では、個人情報保護法における発注者の3つの監督義務をフリーランス委託の文脈で具体化したうえで、「どの程度の情報なら・どんな業務なら・どんな契約条項があれば」フリーランスに委託可能かを判断するためのフレームワークを提示します。漏洩時の責任範囲と事前措置、2025〜2026年の改正動向も含め、社内稟議で説明できる実務材料として持ち帰れる構成にしました。
フリーランスに個人情報を扱わせてよいのか?個人情報保護法上の整理
結論からいえば、個人情報をフリーランスに扱わせること自体は法的に禁じられていません。ただし「外部に委託したから責任も移った」とはなりません。発注者には委託先を選定・契約・監督する義務が残り、フリーランス委託では法人委託にない固有のリスクへの目配りが追加で求められます。まずこの誤解を解いた上で、何が必要なのかを整理していきましょう。
「委託」と「第三者提供」の違い——発注者に残る監督責任
個人情報保護法では、自社の業務目的のために外部に個人データを渡して処理を依頼する行為を「委託」と整理し、第三者提供(本人同意が必要)とは区別しています。委託の場合、本人同意がなくてもデータを渡せますが、その代わりに委託元には「委託先に対する必要かつ適切な監督義務」(個人情報保護法第25条、旧第22条)が課されます。
ここで多くの発注者が誤解しがちなのが、「委託すれば責任も委託先に移る」という発想です。実際には逆で、委託先で漏洩が起きても、選定や契約・監督に不備があれば委託元(発注者)が個人情報保護委員会の指導・勧告対象となり、本人に対する損害賠償責任を負うこともあります。委託は「責任の移転」ではなく「責任を残したまま処理だけを外に出す」仕組みだ、と理解する必要があります。
なお、契約形態の整理が曖昧なまま発注すると、「これは委託なのか業務委託なのか派遣なのか」が不明確になり、適切な監督ができなくなるリスクがあります。契約形態の違いを整理したい場合はSES・派遣・業務委託の違いも併せて確認してください。
法人委託とフリーランス(個人)委託の違い——固有リスク
法人に委託する場合、相手企業の情報セキュリティ規程・PC管理ルール・退職時のデータ削除手続きなどは、相手の社内統制に一定程度依存できます。しかしフリーランス(個人事業主)委託では、これらの統制が制度として存在しないケースが大半です。発注者は、以下のフリーランス固有リスクを前提に監督設計を組み立てる必要があります。
- PC・作業環境のセキュリティが本人任せ: ウイルス対策ソフトの導入状況、OSアップデート状況、暗号化の有無などが委託先のリテラシーに依存する
- 退職管理という概念が存在しない: 契約終了時にデータを誰がいつ削除するかを、契約で明示しないと残ったままになる
- 作業場所が固定されない: 自宅・コワーキングスペース・カフェなど、不特定多数の目があり得る場所での作業が前提となる
- 公共Wi-Fi利用の可能性: 通信経路の暗号化が担保されないネットワークでの作業リスク
- 業務委託後の再委託の可視性が低い: フリーランスが家族や知人に作業の一部を手伝わせるリスクをチェックしづらい
これらは「フリーランスに任せてはいけない理由」ではなく、「契約条項と運用ルールでカバーすべき具体論点」として整理することが重要です。
フリーランス保護新法(2024年11月施行)との交差点
2024年11月1日に施行された「特定受託事業者に係る取引の適正化等に関する法律」(通称・フリーランス保護新法)により、発注者にはフリーランスに対する取引条件の明示義務・60日以内の報酬支払義務・ハラスメント対策などの新たな義務が課されました(公正取引委員会 特設サイト)。
個人情報を扱う業務の委託では、フリーランス保護新法と個人情報保護法の義務が重なり合います。たとえば「取引条件の書面明示」を行う際に、業務範囲や個人情報の取扱方法を明記しておけば、個人情報保護法第25条が求める「委託契約の締結」要件を同時に満たすことができます。逆に、口頭発注や曖昧な業務範囲設定は、両法の違反リスクを同時に抱えることになります。
つまり、フリーランス委託では「書面契約の整備」が両法を貫く共通の起点になるという視点を持っておくと、実務設計が一気に整理されます。
個人情報保護法で発注者が負う3つの義務(第25条)——フリーランス活用時の実務
個人情報保護法第25条が定める委託元の監督義務は、ガイドラインで①適切な委託先の選定、②委託契約の締結、③委託先における取扱状況の把握、という3要素に分解されています。ここではそれぞれをフリーランス委託の文脈で具体化します。
①適切な委託先の選定——フリーランスに対する確認項目
法人委託では取引先の信用調査会社レポートやプライバシーマーク取得状況が選定材料になりますが、フリーランス委託では使えません。代わりに以下の項目を発注前に確認します。
- 業務用PCの管理状況: OS・ウイルス対策ソフトのバージョン、暗号化の有無、家族との共有有無
- 作業環境: 自宅作業が中心か、公共スペース利用の頻度、専用作業環境の有無
- 過去の取引実績: 類似業務(特に個人情報を扱う業務)の実績、守秘義務違反の経歴がないこと
- 本人確認: 身元確認(運転免許証・マイナンバーカード等)、連絡先の確認、屋号・事業所所在地の確認
- セキュリティに関するリテラシー: 公共Wi-Fiの利用方針、パスワード管理、退席時のロック習慣
これらを「フリーランス向けセキュリティチェックシート」として標準化し、稟議資料に添付する運用が現実的です。Workeeを含むエージェント経由でフリーランスを起用する場合は、エージェントが収集している身元情報や実績情報の提供範囲を事前に確認しておくと、選定確認の工数を削減できます。
個人情報保護法に対応したシステム開発を伴う案件では、より細かなチェック観点が必要になるため、個人情報保護法対応のシステム開発チェックリストもあわせて参照してください。
②委託契約に盛り込むべき条項——フリーランス契約特有の留意点
ガイドライン上、委託契約には少なくとも目的外利用禁止・再委託の制限・漏洩発生時の通知・契約終了時のデータ返却または削除・損害賠償等を盛り込むことが望まれます。フリーランス委託では、これに加えて以下の条項を明文化しておきましょう。
- 作業場所・通信環境の制限: 「公共Wi-Fiを利用しない」「自宅または受託者の事業所のみで作業する」など
- 使用機器の制限: 「業務用に分離した端末で作業する」「家族と共用しない」など
- データ保管期間と削除義務: 契約終了後X日以内の削除、削除完了報告書の提出を義務化
- 再委託の事前承認: 「家族・知人への作業依頼を含め、いかなる再委託も事前書面承認を要する」
- 個人情報保護委員会への報告協力義務: 漏洩発生時、報告期限内に発注者が委員会報告できるよう協力する義務
- 損害賠償の範囲: 発注者が本人に対し賠償した金額の求償権を明示
フリーランス保護新法による取引条件の書面明示義務とまとめて整備すれば、両法対応を一度の契約改訂で済ませることができます。
③委託中の取扱状況の把握——フリーランス相手に過剰監督とならない運用設計
ガイドラインは「定期的・必要に応じた取扱状況の把握」を求めていますが、フリーランスに対する常時監視は、フリーランス保護新法が求める「独立した事業者としての尊重」と緊張関係を生みます。過剰な監督は委託ではなく実質的な「指揮命令」と評価され、偽装請負や使用者責任の問題を引き起こす可能性があるため、運用設計が重要です。
実務上のバランスを取るには、以下のような「報告ベース」の把握が現実的です。
- 月次または案件単位の作業報告書の提出を義務化(個人情報のアクセス件数・保存場所・処理完了データ等)
- 委託したデータの保管状況に関する自己点検チェックシートを四半期に1回提出
- 重要事象(PC紛失・不審アクセス・第三者からの問合せ等)発生時の即時報告義務
- 契約終了時の削除完了報告と、抜き打ちで実施する削除証跡確認(スクリーンショット等)
「監視」ではなく「報告と自己点検の仕組み化」によって、フリーランスの独立性を尊重しつつ監督義務を果たす設計を目指してください。
フリーランスに個人情報を渡すときのOK・NG判断基準
ここまで義務の構造を整理してきましたが、現場で最も困るのは「結局、自社のこのケースはOKなのかNGなのか」という具体的判断です。ここでは情報の種類と業務の性質の2軸で整理した判断フレームワークを提示します。
渡してよい情報・渡すべきでない情報——情報の種類別判断軸
個人情報には法令上の機微性に応じた階層があり、フリーランスに渡せる範囲も変わってきます。
情報の種類 | 例 | フリーランス委託の可否 |
|---|---|---|
統計化・匿名加工済みデータ | 年代別購入傾向、性別比率 | OK(個人情報には該当しない) |
仮名加工情報 | 氏名・連絡先を削除し、別ID化したデータ | 条件付きでOK(社内利用前提、再識別禁止) |
一般の個人情報 | 氏名・連絡先・購買履歴 | 条件付きでOK(選定・契約・監督の3義務を満たす) |
要配慮個人情報 | 健康情報、犯罪歴、信条等 | 原則として慎重判断(追加の本人同意・取扱権限の限定が必要) |
マイナンバー(特定個人情報) | 個人番号を含む情報 | 原則NG(番号法上の安全管理措置・委託先要件が個人情報保護法より厳格) |
判断の第一原則は「業務遂行に本当に必要な情報だけを渡す」ことです。データ入力業務であれば、氏名と注文情報だけで足りるのに住所や生年月日まで含めて渡している、というケースは少なくありません。委託前に「最小限の項目に絞れないか」を見直してください。
業務の種類別マトリクス——どこまでの業務をフリーランスに委託できるか
業務の性質によって、リスクの大きさは大きく変わります。下表は「情報の種類×業務の性質」で典型的な判断を示したものです。
業務の性質 | 一般の個人情報 | 要配慮個人情報 |
|---|---|---|
参照のみ(読み取り権限のみ、編集不可) | 条件付きOK | 条件付きOK(権限管理を厳格化) |
更新・追記(既存データの修正・補完) | 条件付きOK | 慎重判断 |
データ移送(外部システムへの転送・ダウンロード) | リスク高(暗号化・経路制限が必要) | 原則として直接委託を避ける |
開発・テスト用にデータを取り扱う | リスク高(テストデータは仮名加工・ダミー化を原則) | 原則として直接委託を避ける |
顧客との直接やり取り(メール・電話) | 条件付きOK(記録ログを発注者が保有) | 原則として委託しない(自社対応または法人委託) |
「条件付きOK」と整理した業務でも、再三述べてきた選定・契約・監督の3義務を満たすことが大前提です。
NGに見えてもOKにできる条件——匿名化・アクセス制御・分割委託の実務テクニック
一見NGに見える業務でも、設計の工夫で安全に委託できるケースは多くあります。
- 匿名加工・仮名加工によるリスク低減: 氏名や連絡先を別IDに置き換えてから渡す。フリーランスは識別子のないデータだけを扱うため、漏洩時の影響範囲が小さくなる
- アクセス制御による業務範囲の限定: 自社CRMの該当機能だけにアクセスできるアカウントを発行し、ダウンロード機能を無効化する。フリーランスのPCに個人情報が落ちない設計
- 業務の分割委託: 「氏名と注文番号を結びつける作業」と「注文番号に基づく出荷ラベル印刷作業」を別人に委託することで、1人が完全な個人情報セットを持たないようにする
- VDI・リモートデスクトップの活用: 仮想デスクトップ上で作業させ、フリーランスのローカル環境にデータを残さない
これらの技術的・運用的措置は、契約条項とセットで設計してこそ効果を発揮します。
漏洩が起きたとき、発注者の責任はどうなるか
万一の漏洩時に発注者がどこまで責任を負うのかを把握しておくことは、稟議における最大の関心事です。前章までで触れた監督義務の延長として、漏洩発生時の責任構造と事前措置のあり方を整理します。
委託先の漏洩でも委託元が問われるケース——監督義務違反の認定基準
委託先(フリーランス)が漏洩を起こした場合、発注者には主に次の3つの責任追及経路があります。
- 個人情報保護委員会からの指導・勧告: 監督義務違反が認定されると、委員会から指導・勧告を受け、悪質な場合は命令違反として刑事罰の対象となる
- 本人からの損害賠償請求: 民法上の使用者責任類似の構成や、安全管理義務違反として、本人から発注者に対し慰謝料を中心とする損害賠償が請求される
- 取引先からの契約違反責任: BtoBで顧客企業の従業員情報を扱っていた場合、顧客企業との契約上の善管注意義務違反を問われる
監督義務違反として認定されやすいパターンには、(a)選定時の確認を行わなかった、(b)契約書を交わさず口頭発注だった、(c)契約後の取扱状況を一度も確認していなかった、というケースが典型です。逆に、選定チェックシート・契約書・定期報告書の3点セットが整っていれば、発注者側の責任は大きく軽減されます。
報告義務と本人通知(個人情報保護委員会への報告)の発注者側の責務
2022年4月施行の改正個人情報保護法により、一定の漏洩が発生した場合に個人情報保護委員会への報告および本人への通知が法的義務となりました。報告期限は「速報を3〜5日以内」「確報を30日以内(要配慮個人情報や不正アクセスを含む場合は60日以内)」と定められています。
ここで重要なのは、委託先(フリーランス)で漏洩が起きた場合でも、報告義務は原則として委託元(発注者)に課されることです。フリーランスが個人情報保護委員会に直接報告するわけではなく、発注者がフリーランスから情報を集めて報告する流れになります。
このため、契約書には「漏洩を認知した時点から24時間以内に発注者へ第一報を行う」「漏洩の原因・影響範囲・被害件数を3日以内に書面で報告する」といった報告フローを明記しておく必要があります。報告フローが整備されていないと、発注者側の30日以内の確報が間に合わず、報告遅延として委員会から追加の指導を受けるリスクがあります。
責任を軽減する事前措置・事後対応——契約条項と運用記録の重要性
漏洩が起きてから慌てて対応するのではなく、事前措置として以下の3点を運用記録として残しておくことが、責任軽減の決定打になります。
- 選定記録: 委託先選定時のチェックシート、面談記録、過去実績の確認証跡
- 契約記録: 個人情報保護条項を含む業務委託契約書、フリーランス保護新法に基づく取引条件明示書面
- 監督記録: 月次報告書、四半期自己点検シート、契約終了時の削除完了報告書
これら3つのフォルダを案件ごとに整理しておけば、万一漏洩が起きた際に「発注者として果たすべき監督義務は履行していた」ことを客観的に示せます。また、事後対応として漏洩発覚時には、(1)被害拡大防止のための即時のアクセス遮断、(2)影響範囲の特定、(3)本人通知の準備、(4)委員会報告、を24〜72時間以内に並行で進める必要があります。
2025〜2026年の改正動向——委託先規律強化の行方
法環境は流動的です。現時点での発注設計だけでなく、近い将来の制度改正を見越した運用が、これからの実務には欠かせません。
フリーランス保護新法による発注者義務の拡張——個人情報保護法との重なり
2024年11月施行のフリーランス保護新法により、発注者には取引条件の書面明示義務・報酬支払期日(受領から60日以内)の遵守義務・ハラスメント対策の体制整備義務などが課されました(政府広報オンライン)。
個人情報を扱う業務の発注では、これらの新法義務と個人情報保護法の監督義務が交差します。とくに「取引条件の書面明示」は、個人情報保護法第25条が求める「委託契約の締結」の要件と統合的に整備するのが効率的です。具体的には、フリーランス保護新法に基づく取引条件明示書面に、個人情報保護法に基づく取扱条項(目的外利用禁止・再委託制限・漏洩通知・削除義務等)を盛り込んだ統合フォーマットを社内テンプレートとして用意する、というアプローチが現実的です。
次期改正で変わる可能性のある委託先管理の実務——課徴金制度・委託先規律強化
個人情報保護委員会は2026年1月9日、「個人情報保護法 いわゆる3年ごと見直しの制度改正方針」を公表しました(個人情報保護委員会 制度改正方針)。改正法案は2026年4月7日に閣議決定され、同通常国会に提出されています(個人情報保護委員会 2026年4月7日報道発表)。国会審議を経て成立した場合、施行は2028年春頃が見込まれています。
発注者側の実務に大きく影響するポイントは、以下の2点です。
-
課徴金制度の導入: 大規模なプライバシー侵害事案を対象に課徴金を課す制度の新設が方針として示されました。違法な第三者提供・不適正利用・不正取得などが対象に想定されており、委託先での漏洩が監督義務違反として認定された場合、発注者側にも課徴金リスクが及ぶ可能性があります。
-
委託先規律の見直し: 委託先が委託元の指示に従って機械的に処理するのみのケースについて、一定の契約管理・監督措置を条件として、委託先側の一般的義務の適用を原則免除する方向の整理が検討されています。これは「委託元の監督がしっかりしていれば委託先の負担を軽くする」発想であり、逆に言えば委託元(発注者)の監督責任がより重く位置づけられる方向ということができます。
これらは2026年4月7日に閣議決定・国会提出済みであり、現在国会審議中です。最終的な施行には引き続き国会審議を経る必要があります。確定情報ではないことに留意しつつ、「将来は発注者の監督責任がさらに重くなる」という前提で、いまのうちから選定・契約・監督の3点セットを社内標準化しておくことが、3年後の運用負担を大きく左右します。
まとめ——フリーランス活用前に確認すべき個人情報保護の実務ポイント
ここまでの内容を、稟議書や社内説明資料にそのまま貼り付けられる形で整理します。
個人情報保護法上の発注者の責任構造
- 委託は「責任の移転」ではなく「処理だけを外に出す」仕組み。発注者には監督義務が残り続ける
- フリーランス委託は法人委託と異なる固有リスク(PC管理・退職管理不在・公共Wi-Fi等)を前提に設計する必要がある
- フリーランス保護新法(2024年11月施行)の取引条件明示義務と、個人情報保護法第25条の委託契約締結要件は、統合的に整備するのが効率的
発注前にチェックすべき3つの義務
- 適切な委託先の選定: フリーランス向けセキュリティチェックシートで業務用PC・作業環境・実績・身元・リテラシーを確認
- 委託契約の締結: 目的外利用禁止・再委託制限・漏洩通知・削除義務に加え、作業場所制限・使用機器制限・委員会報告協力を明文化
- 取扱状況の把握: 監視ではなく「報告と自己点検の仕組み化」で、独立性を尊重しつつ監督義務を果たす
OK・NG判断のフレームワーク
- 情報の種類(統計化・仮名加工・一般・要配慮・マイナンバー)と業務の性質(参照のみ・更新・移送・開発・直接やり取り)の2軸で判断
- NGに見えてもOKにできる工夫: 匿名加工、アクセス制御、業務の分割委託、VDIの活用
- 第一原則は「業務遂行に本当に必要な情報だけを渡す」こと
漏洩時の責任と軽減策
- 委託先で漏洩が起きても、報告義務は原則として発注者に課される(速報3〜5日以内、確報30〜60日以内)
- 選定記録・契約記録・監督記録の3点セットを案件ごとに整理しておけば、責任軽減の客観的証跡となる
今後の改正動向(2025〜2026年)
- 2026年4月に改正法案が閣議決定・通常国会に提出済み(施行は2028年春頃の見込み、国会審議中)
- 発注者の監督責任がさらに重くなる方向。いまのうちから選定・契約・監督の3点セットを社内標準化することが将来コストの抑制につながる
個人情報保護法上のリスクは、フリーランス活用を断念する理由ではなく、適切な発注設計を整えれば管理可能なリスクです。フリーランス活用の意思決定では、法的リスクに加えてコスト・スキル・契約形態・実施体制など複数の判断軸を並べて検討してください。本記事で整理した3つの義務・OK/NG判断軸・漏洩時の責任構造が、その判断の一助となれば幸いです。
なお、フリーランス保護新法と個人情報保護法を含む業務委託発注時の法律・契約リスクを点検したい場合は、「フリーランス新法対応 業務委託発注の法律・契約リスク点検ガイド」も社内資料として活用できます。発注前のチェックリストとして、本記事と併せて社内稟議の材料にしてください。
