システム開発を外部に委託するとき、委託先には何らかの形で社内の情報が渡る。業務の仕様、顧客のデータ、ときには個人情報も含まれる。これらをどう扱い、どう守るかを取り決めておかないと、情報が目的外に使われたり、管理の甘い先まで渡ったりするリスクが残る。秘密保持やセキュリティの条項は、地味で読み飛ばされがちだが、いざ事故が起きたときの拠り所になる重要な部分である。
本記事は、システム開発の委託で交わす秘密保持契約(NDA)やセキュリティに関する条項について、発注者として確認したい観点を整理する。読者として想定しているのは、中小企業の経営者、発注担当、管理部門の担当者である。なお、個人情報の取り扱いは個人情報保護法などに関わる領域であり、自社の義務や具体的な対応は、弁護士などの専門家への確認を前提としてほしい。本記事は一般的な確認観点の整理にとどまる。
結論:何を守るか、どこまで渡るか、起きたらどうするかを決める
秘密保持・セキュリティに関するリスクを抑えるうえで、発注前に整理しておきたいのは次の3点である。
- 守る対象(秘密情報・個人情報)の範囲と、利用してよい目的を明確にする
- 再委託先まで含めて、情報がどこまで渡り、どう管理されるかを確認する
- 情報の事故が起きたときの連絡・対応の手順を、あらかじめ決めておく
「漏らさないでください」という抽象的な約束だけでは弱い。何を、どこまで、どう守るかを具体化しておくことが、実効性につながる。
秘密保持契約(NDA)で確認したい点
NDAは、委託先に渡す情報を守るための基本的な取り決めである。形式的に交わすだけでなく、中身を確認しておきたい。
| 確認項目 | 見ておきたいこと |
|---|---|
| 秘密情報の定義 | 何が秘密情報にあたるか(口頭の情報を含むか等) |
| 利用目的の限定 | 委託業務の遂行以外に使えない定めか |
| 第三者への開示 | 再委託先など、どこまで開示が許されるか |
| 管理方法 | 情報をどう保管・管理する義務があるか |
| 返却・破棄 | 契約終了時に情報を返却・破棄する定めか |
| 有効期間 | 契約終了後も一定期間、義務が続くか |
とくに見落とされやすいのが、契約終了後の扱いである。開発が終わったあとも、渡した情報や成果物に含まれる情報をどう扱うかを定めておかないと、終了後に情報が残り続けるリスクがある。返却・破棄と、終了後も続く義務の期間を確認しておきたい。
データの取り扱いと個人情報
システムに投入するデータに、顧客の個人情報が含まれることは多い。個人情報を委託先に渡す場合、その取り扱いには通常の秘密情報以上の注意が求められる。
- 目的外利用の禁止:委託した業務以外に、データを使わせない取り決めになっているか
- アクセスする人の範囲:委託先の中で、誰がそのデータに触れられるかが管理されているか
- 保管の方法:データがどこに保管され、どう保護されるか(暗号化や保管場所など)
- テストデータの扱い:開発・テストに本番の個人情報をそのまま使うか、加工したデータを使うか
開発やテストの段階で、本番の個人情報をそのまま使うべきかは慎重に考えたい。可能であれば、個人を特定できない形に加工したデータを使うなど、リスクを下げる工夫を委託先と相談しておきたい。なお、個人情報保護法上で自社に求められる委託先の監督などの具体的な義務は、専門家への確認を前提に整理してほしい。
再委託先の管理
委託先がさらに別の会社へ作業を再委託する場合、情報はその先まで渡る。NDAを直接の委託先とだけ結んでいても、再委託先の管理が緩ければ、そこからの漏えいリスクが残る。
- 再委託の可否と承認:再委託を認めるか、認める場合は事前承認を前提とするか
- 再委託先への義務の継承:委託先が負う秘密保持・セキュリティの義務が、再委託先にも及ぶ仕組みか
- 責任の所在:再委託先で事故が起きたとき、発注者に対して誰が責任を負うか
理想は、再委託先で起きたことについても、直接の委託先が発注者に対して責任を負う形である。多重下請けの構造そのもののリスクは偽装請負・多重下請けのリスクでも扱っている。情報がどこまで渡るかを把握できる状態にしておきたい。
事故が起きたときの対応
どれだけ備えても、情報の事故が起きる可能性をゼロにはできない。だからこそ、起きたときの対応を決めておくことが重要である。
| 観点 | 決めておきたいこと |
|---|---|
| 連絡 | 事故を把握したとき、いつ・誰に連絡するか |
| 初動 | 被害の拡大を防ぐための初動を誰が行うか |
| 原因調査 | 原因の調査と報告を誰がどこまで行うか |
| 再発防止 | 再発防止策の検討と実施の責任 |
| 費用・責任 | 事故対応にかかる費用や損害の扱い |
とくに「いつ連絡をもらえるか」は重要である。事故を把握したのに連絡が遅れると、対応が後手に回り、被害が広がりやすい。把握後すみやかに連絡する取り決めを、契約に持たせておきたい。
開発環境・アクセス権の扱い
情報の守り方は、契約書の条項だけでなく、実際の開発環境でどう運用するかにも左右される。委託先がどんな環境で開発し、どこから自社のデータに触れるかを把握しておきたい。
- 接続の経路:委託先が自社のシステムやデータに、どこから・どう接続するか
- アクセスする範囲:委託先の担当者が、業務に必要な範囲だけにアクセスできるようになっているか
- アカウントの管理:付与したアカウントが、契約終了時に確実に無効化されるか
- 持ち出しの制限:データを委託先の端末や外部の保管先に持ち出す扱いがどうなっているか
開発の利便性とセキュリティは、しばしば綱引きになる。すべてを厳しくすると開発が止まり、緩めるとリスクが残る。業務に必要な範囲を見極め、過不足のないアクセス権を設計することが現実的である。とくに契約終了時のアカウント無効化は忘れられやすいため、終了時の手続きとして決めておきたい。
発注前に整理しておきたいこと
秘密保持・セキュリティの取り決めを実のあるものにするために、発注前に自社で整理しておくとよい点をまとめる。
| 整理する項目 | 確認の観点 |
|---|---|
| 渡す情報の種類 | 仕様・顧客データ・個人情報のどれを渡すか |
| 機微度の高い情報 | とくに守りたい情報を切り分けたか |
| テストデータの方針 | 本番データを使うか、加工データを使うか |
| 再委託の見込み | 委託先が再委託する可能性があるか |
| 事故時の連絡先 | 自社側の窓口を誰にするか |
「何を渡すのか」「そのうちとくに守りたいものは何か」が整理されていると、委託先との取り決めが具体的になる。すべての情報を同じ厳しさで守るのは現実的でないため、機微度に応じて扱いを分ける考え方が役立つ。これらが完全に整っていなくても相談は可能だが、渡す情報の見当がついていると、話が進めやすい。
契約終了後・乗り換え時の情報の扱い
秘密保持やセキュリティは、開発が終わったあとにこそ問われる場面がある。委託先との契約が終わったり、別の会社へ乗り換えたりするとき、それまで渡した情報がどう扱われるかを決めておかないと、終了後に情報が残り続けるリスクがある。
| 場面 | 確認したいこと |
|---|---|
| 契約終了時 | 渡した情報・データを返却・破棄してもらえるか |
| アカウント | 付与したアクセス権が無効化されるか |
| バックアップ | 委託先側に残るデータの扱いをどうするか |
| 乗り換え時 | 次の委託先へ安全にデータを引き継げるか |
とくに見落とされやすいのが、委託先側に残るバックアップや、開発中に作られた一時的なデータである。「返却・破棄」と一言で済ませず、どこに何が残りうるかを意識して取り決めておきたい。乗り換えの場面では、古い委託先からの破棄と、新しい委託先への安全な引き継ぎを、同時に考える必要がある。どんなデータをシステムが扱うかは要件の整理の段階から見えているとよく、業務システムの要件定義テンプレートで扱うデータ項目の洗い出しは、守るべき情報の把握にも役立つ。情報がどこまで広がっているかを見える状態にしておくことが、終了時の安全につながる。
クラウドや外部サービスを使う場合
近年のシステム開発では、クラウドのサービスや外部のAPIを組み合わせて作ることが多い。この場合、データは委託先だけでなく、その先のクラウド事業者や外部サービスにも預けられることになる。発注者として、どこにデータが置かれるかを把握しておきたい。
| 確認項目 | 見ておきたいこと |
|---|---|
| データの保管場所 | どのクラウド・サービスにデータが置かれるか |
| 利用するサービス | 開発・運用で使う外部サービスの種類 |
| 事業者の取り扱い方針 | 預けたデータがどう扱われるとされているか |
| 障害・終了時の備え | サービス側の障害や終了に備えがあるか |
クラウドや外部サービスの利用は、開発を速め、運用を軽くする利点がある一方で、データの預け先が増えることでもある。委託先がどんなサービスを使う想定かを聞き、自社のデータがどこに置かれるかを把握しておきたい。とくに機微な情報を扱う場合は、保管場所や事業者の取り扱い方針が自社の方針と合うかを確認しておくと安心である。これらの技術的な詳細は委託先に説明を求め、回答を記録に残しておくとよい。なお、自社に求められる具体的な義務の範囲は、弁護士などの専門家への確認を前提に整理してほしい。
よくある質問
Q1. NDAは委託先が用意したものをそのまま使ってよいですか
そのまま使える場合もあるが、秘密情報の定義や、契約終了後の扱い、再委託先への義務の継承などは、自社の事情に合っているか確認しておきたい。気になる点があれば、専門家への確認を前提に調整するのが現実的である。
Q2. テストに本番の個人情報を使っても大丈夫ですか
可能であれば、個人を特定できない形に加工したデータを使うなど、リスクを下げる方法を検討したい。本番の個人情報をそのまま使う必要があるかを委託先と相談し、使う場合は管理の取り決めを確認しておきたい。具体的な可否は専門家への確認を前提に考えてほしい。
Q3. 委託先で情報漏えいが起きたら、発注者にも責任が及びますか
委託先での事故であっても、発注者として委託先を適切に選び監督していたかが問われる場面はありうるとされる。だからこそ、契約での取り決めと、事故時の対応の備えが重要になる。具体的な責任の範囲は、弁護士などへの確認を前提に整理してほしい。
委託先に渡す情報の守り方を、発注前に整理しませんか
GXOでは、システム開発の委託にあたり、秘密保持の取り決め、個人情報やデータの扱い、再委託先の管理、事故時の対応といったセキュリティ面の確認観点を、発注前に整理するご支援を行います。
※ 初回相談では、営業資料の説明よりも現状整理とリスク確認を優先します。