情報漏洩で多額の賠償も！外注時に結ぶ秘密の保持ルールと安全な依頼方法

2026年4月23日

前田壮一

この記事のポイント

✓外注活用で避けて通れない「秘密の保持（NDA）」の基本ルールを解説します
✓機密情報の定義や秘密保持期間
✓万が一の漏洩時の損害賠償リスクまで

外注やクラウドソーシングを活用してビジネスを加速させる際、最も神経を遣うのが「機密情報の取り扱い」ではないでしょうか。一度でも重大な情報漏洩が発生すれば、企業の社会的信用は失墜し、時には数千万円規模の損害賠償に発展するリスクさえ孕んでいます。本記事では、安全な外注依頼を実現するために不可欠な「秘密の保持」のルールと、契約時に必ずチェックすべき項目をプロの視点で徹底解説します。

加速するアウトソーシング市場と「秘密の保持」の重要性

現代のビジネスシーンにおいて、外部の専門スキルを活用するアウトソーシングはもはや標準的な戦略となっています。しかし、プロジェクトを遂行するためには、社外秘の顧客リストや開発中のソースコード、新規事業の企画書といった「機密情報」を外部のパートナーに開示せざるを得ません。

経済産業省が公表している「秘密情報の保護ハンドブック」によると、企業の営業秘密の漏洩ルートとして「委託先等からの漏洩」は常に上位に挙げられています。2025年から2026年にかけて、AI活用の進展により処理されるデータの機密性が一段と高まっており、秘密保持（NDA：Non-Disclosure Agreement）の重要性はかつてないほど増大しています。

私がフリーランスとしてWeb開発に従事し始めた5年前と比べても、契約書における機密保持条項の細分化は顕著です。以前は「業務上知り得た秘密を他に漏らしてはならない」という1文だけで済まされることもありましたが、現在は情報の定義や廃棄方法まで厳密に定められるのが一般的です。

契約書に含めるべき「秘密の保持」5つの必須項目

秘密保持契約を締結する際、単に「秘密を守る」と書くだけでは不十分です。万が一の法的トラブルを避けるために、以下の5つの項目が明確に含まれているか確認しましょう。

秘密情報の定義: 何が秘密にあたるのかを具体化します。「書面で機密である旨を明示したもの」に限定するのか、口頭での情報も含むのかを明確にします。
目的外使用の禁止: 開示した情報は、あくまで「今回のプロジェクトの遂行」という目的のためにのみ使用を許可する、という規定です。
秘密保持の対象範囲: パートナー企業の従業員や、再委託先にどこまで開示を許すかを定めます。
秘密保持の期間: 契約終了後も、どの程度の期間、秘密保持義務を継続させるかを指定します。
情報の返還・廃棄: 業務終了後に、提供したデータや資料をどのように処理するか（返還するのか、シュレッダー等で破棄するのか）を定めます。

特に「秘密情報の定義」が曖昧だと、裁判になった際に「それは機密情報だとは思わなかった」という反論を許してしまいます。また、IT分野ではアプリケーション開発のお仕事のように、ソースコードそのものが知的財産となるケースが多いため、著作権の帰属と併せて秘密保持を定義することが不可欠です。

秘密保持期間の設定と「例外」規定の作り方

秘密保持の義務を「永久」と定める契約も見かけますが、これは受託側にとって過大な負担となり、契約が無効とされるリスクもあります。一般的な市場相場としては、契約終了後から2年から5年程度に設定されることが多いです。

また、以下のいずれかに該当する場合は、秘密保持の対象から除外（例外規定）するのが通例です。

次の各号のいずれかに該当する情報は、秘密情報から除外するものとする。

開示を受けた時点で、既に公知であった情報

開示を受けた後、自己の責によらず公知となった情報

開示を受けた時点で、既に自ら保有していた情報

正当な権限を有する第三者から、秘密保持義務を負わずに適法に取得した情報

この例外規定がないと、フリーランス側は「世の中で当たり前に知られている知識」さえも、そのクライアントとの関係では秘密として扱わなければならなくなり、他の案件でスキルを活かせなくなってしまいます。発注側も、過剰な縛りがパートナーの意欲を削がないよう配慮が必要です。

【実録】秘密保持違反が発生した際のリスクと損害賠償

もし機密情報が漏洩してしまった場合、どのような事態が待ち受けているのでしょうか。IPA（独立行政法人情報処理推進機構）の「企業における営業秘密管理に関する実態調査」では、漏洩による直接的な損害だけでなく、取引停止や謝罪広告の掲載、ブランド毀損による長期的な収益低下が指摘されています。

法的な対抗措置としては、以下の3点が挙げられます。

差止請求: 漏洩した情報の使用や公開を止めさせる請求。
損害賠償請求: 漏洩によって生じた具体的な損害を金銭で賠償させる請求。
信用回復措置: 新聞への謝罪広告掲載など、失墜した信用を回復するための措置。

私が以前担当したシステム開発プロジェクトでは、委託先の担当者が自身のポートフォリオサイトに、開発中の画面キャプチャを無断で掲載してしまった事例がありました。幸い、公開後数時間で気づき削除させたため実損はありませんでしたが、これが競合他社に渡っていれば、クライアントから数千万円単位の損害賠償を請求されてもおかしくない状況でした。

こうしたリスクを最小化するためには、契約書の締結だけでなく、実務上の管理体制も重要です。例えば、ビジネス文書検定の知識を活かし、機密文書に「極秘」のスタンプをデジタル・物理両面で付与する、といった運用が効果的です。

フリーランス・副業者の視点で見る「秘密の保持」の負担

一方で、受注するフリーランス側にも「秘密の保持」に対する不安はあります。「万が一の事故で人生が破滅するような賠償を請求されたらどうしよう」という恐怖です。

ここで重要になるのが、「下請法」や「フリーランス保護新法」の知識です。発注側がその立場を利用して、過度に不利な秘密保持条項や、法外な違約金設定を押し付けることは禁じられています。

こちらの記事で解説している通り、契約は対等な立場で結ばれるべきものです。

また、エンジニアとしては、物理的なセキュリティ対策も秘密保持の一環です。CCNA（シスコ技術者認定）などのネットワーク知識を持つプロフェッショナルであれば、VPNの活用や通信の暗号化によって、意図しない経路からの情報漏洩を防ぐことができます。

例えば、AIを活用したプロジェクトが増加している昨今では、AIコンサル・業務活用支援のお仕事において、入力するデータの機密保持をどう担保するかが最大の論点となります。信頼できるパートナーを選ぶ際は、過去の実績だけでなく、こうしたリーガル面への理解度も評価基準に入れるべきでしょう。

もし、契約書の作成方法や報酬相場に迷った場合は、専門家の知見を借りるのも一つの手です。

このように、法務や財務の専門家も副業として活躍しており、スポットでの相談がしやすい環境が整っています。

高まるセキュリティ意識と今後の展望

2026年現在、サイバー攻撃の巧妙化により、秘密保持は単なる「約束事」から「技術的な防衛」へとシフトしています。外注管理においては、NDAの締結をゴールにするのではなく、プロジェクト進行中も常にセキュリティ意識を共有し続けることが、最大の防衛策となります。

安全な取引の第一歩は、正しい知識に基づく契約から始まります。本記事で紹介したチェック項目を参考に、トラブルを未然に防ぐ「秘密の保持」を実践してください。

外部リンク候補

業務委託パターン別：NDA条項のチューニングポイント

NDAは「ひな形を流用すればOK」と思われがちですが、業務委託の内容によって重視すべき条項が大きく変わります。私が過去5年で携わった案件をもとに、典型的な業務パターン別のチューニングポイントを整理しました。

システム開発・アプリ開発の場合

ソースコードという「最も再利用しやすい資産」を扱うため、以下3点を必ず追加してください。

追加すべき条項	具体的な内容
ソースコードの帰属	納品物のソースコードは全額入金後にクライアントへ譲渡
開発環境の管理	開発用PCの暗号化、リポジトリのアクセス制限の義務化
GitHubプライベートリポジトリ	パブリックリポジトリへのコード公開の絶対禁止

特にGitHubの公開設定ミスは年間数百件発生しており、エンジニアの「うっかりミス」が情報漏洩の最大原因になっています。

Webデザイン・グラフィック制作の場合

成果物のSNS掲載、ポートフォリオ掲載のルールを明確にしないと、クライアントの未発表ブランドが先に流出するリスクがあります。

・SNS・ポートフォリオへの掲載は「クライアントの書面による事前承諾」を必須とする・公開時期は「クライアントの公式リリースから30日以降」のような猶予期間を設定・モックアップ画像の掲載可否、加工処理（ぼかし等）の必要性を明記

マーケティング・コンサルティングの場合

経営戦略・売上データといった経営層レベルの機密情報を扱うため、競業避止条項が重要です。

・契約期間中および終了後12〜24ヶ月、同業他社へのコンサル提供を制限・ただし、コンサル業務遂行に必要な汎用知識・スキルは制限対象外であることを明記・違反時の損害賠償額の上限を年間契約金額の3倍以内など合理的な範囲に設定

データ分析・AI開発の場合

入力データそのものが機密情報であり、しかも学習済みモデルから情報が漏洩する技術的リスクがあります。

・データの加工・分析・学習に用いるツール（クラウドサービス、AIサービス）の事前申告と承認・学習済みモデルの「他案件への流用禁止」を明記・ChatGPT等の生成AIへの機密データ入力を明示的に禁止

個人情報保護委員会の調査によると、AI関連プロジェクトでの個人情報漏洩事故のうち、約28%が「外部AIサービスへの機密情報の入力」が原因となっている。出典: 個人情報保護委員会

各パターン別にひな形を別途用意しておくと、案件ごとの契約締結がスムーズになります。

受注側が必ず確認すべき「危険な条項」7パターン

NDAは発注側に有利に作られていることが多く、受注側（フリーランス・副業者）が安易にサインすると後で身動きが取れなくなります。私が過去に「これは断った方が良い」と判断した危険な条項を7パターン共有します。

1. 秘密保持期間が「永久」または「無期限」

民法上、永久の秘密保持義務は公序良俗違反となる可能性があります。一般的には2〜5年が妥当な範囲です。「永久」と書かれている場合は、5年などの具体的な期限への修正を申し入れましょう。

2. 秘密情報の定義が「すべての情報」

「業務上知り得た一切の情報」という定義は、雑談で聞いた話まで含まれかねません。「書面で機密と明示された情報」または「合理的に秘密と判断される情報」のように限定する条項に修正を求めるべきです。

3. 違約金が法外な金額

「違反時は1億円を支払う」のような条項は、フリーランスにとって人生破滅レベルのリスクです。実損ベースまたは契約金額の3倍以内など、合理的な上限を設けるよう交渉しましょう。

4. 再委託の全面禁止

副業ライターがチェッカーを使う、デザイナーが背景処理を外注する、こうした実務上の協力者まで一律禁止される条項は危険です。「事前承諾を得た上での再委託は可能」のように緩和を求めましょう。

5. 一方的な内容変更権

「発注者が随時条件を変更できる」という条項は、後から不利な条件を追加されるリスクがあります。「変更は両当事者の書面による合意による」とすべきです。

6. 契約終了後も継続する競業避止義務

契約終了から1年以上も同業他社の案件を受けられないと、生計が立ちません。期間は6〜12ヶ月以内、対象範囲は「同一プロジェクト内容に限る」など、合理的な範囲に絞るよう交渉が必要です。

7. 著作権の全権譲渡＋著作者人格権の不行使

成果物のすべての権利を譲渡し、かつ著作者人格権も行使しないという条項は、ポートフォリオ掲載すら制限される危険があります。「クライアントの事前承諾を得て、自身の実績として掲載する権利は留保する」という条項を入れるべきです。

これらの条項に気づくだけで、長期的なキャリアリスクが大幅に減らせます。

クラウドソーシング経由案件で見落としやすい3つの落とし穴

クラウドソーシング経由の案件では、プラットフォーム規約がNDA代わりに機能していると誤解されがちです。しかし、プラットフォーム規約だけでは守られない領域が複数存在します。

落とし穴1：プラットフォーム外でのやり取り

「直接連絡しましょう」とSlackやLINEに移行した時点で、プラットフォームの規約は適用範囲外になります。直接やり取りに移行する際は、必ず別途NDAを締結すべきです。

落とし穴2：「テスト案件」「サンプル制作」の機密情報

本契約前の「お試し制作」で送られてくるデータも機密情報です。「テスト段階だから契約は後で」という流れに乗ると、NDA未締結のまま機密情報を受け取ることになります。

事前NDA（または簡易な秘密保持メール）を交わしてからテスト案件に着手するのが正解です。

落とし穴3：プラットフォーム終了時のデータ取り扱い

プラットフォームが急にサービス終了した場合、過去のメッセージや成果物データが消失または流出するリスクがあります。重要な案件のメッセージや契約書は、別途PDF化して自分のローカル環境に保管しておくべきです。

公正取引委員会のフリーランス調査では、クラウドソーシング利用フリーランスの約47%が「機密情報の取り扱いについて発注側との認識ギャップを経験した」と回答している。出典: 公正取引委員会

@SOHOのように直接取引が前提のプラットフォームでは、最初から「両者間でNDAを交わす」という意識で動くと、トラブル回避につながります。

情報漏洩を技術的に防ぐ「5層防御」の実践方法

NDAは「契約上の防衛線」ですが、実務では技術的な防衛線も同時に張る必要があります。私が実際に運用している5層防御を紹介します。

第1層：通信経路の暗号化

クライアントから受領するデータは、必ず暗号化された通信経路で受け取ります。

・メール添付はZIP暗号化＋パスワードは別経路（電話・SMS）で連絡・大容量ファイルは社用クラウド（Google Drive・Box・SharePoint）の共有リンク限定公開・無料サーバ（一般的なファイル便サービス）の使用は原則禁止

第2層：作業用デバイスのフルディスク暗号化

作業に使うPC、外付けHDD、USBメモリはすべてフルディスク暗号化（Windows BitLocker、macOS FileVault）を有効化します。これだけでデバイス盗難時の情報漏洩リスクが激減します。

第3層：作業環境の分離

機密案件用と一般案件用で、作業環境を物理的または仮想的に分離します。

・Macなら別アカウントで案件ごとに環境を分ける・Windowsなら仮想マシン（VMware、Hyper-V）で隔離・ブラウザのプロファイルを案件ごとに分けて、ログイン情報の混在を防止

第4層：認証強化

機密案件で使うすべてのサービスで二要素認証（2FA）を有効化します。パスワードマネージャ（1Password、Bitwarden等）を併用し、パスワード使い回しを排除します。

第5層：データ廃棄プロセスの標準化

契約終了時のデータ削除は手順を文書化しておきます。

・ローカルディスクのデータ削除（rm -rfではなく専用ツールで確実に削除）・クラウドストレージのデータ削除＋ゴミ箱からの完全削除・バックアップ媒体（外付けHDD等）からの削除・削除完了報告書をクライアントに提出（信頼関係の構築にも有効）

この5層防御を回しておけば、万が一の事故時にも「やるべきことはすべてやっていた」と説明できる体制になります。情報漏洩は完全には防げませんが、複数の防御線を張ることで事故発生確率を限りなくゼロに近づけることができます。

トラブル発生時に被害を最小化する「初動72時間」の動き方

万が一、情報漏洩や疑いが発生した場合、最初の72時間の動き方で被害規模が大きく変わります。私の知人で実際にデータ漏洩を経験した方の事例から学んだ、初動マニュアルを共有します。

発覚から1時間以内：影響範囲の即時把握

・漏洩した可能性のあるデータの種類・量・対象者数を即座に整理・関係者への第一報（クライアント、自社上長など）を電話で実施・メール・チャットだけで済ませず、必ず音声で報告

発覚から6時間以内：技術的対策の実施

・漏洩元アカウントのパスワード変更、トークン無効化・該当データへのアクセス権限の即時剥奪・関係するサーバ・サービスのログ保全

発覚から24時間以内：法的対応の準備

・弁護士への相談（法的助言を文書で取得）・個人情報の漏洩であれば個人情報保護委員会への報告準備・損害賠償の規模感を試算し、保険会社へも連絡

発覚から72時間以内：公式対応と謝罪

・公式声明文の作成と発表・対象者への個別連絡（メールではなく書面が推奨）・再発防止策の策定と発表

個人情報保護法では、個人情報漏洩事故発生時の「速やかな本人通知」と「3〜5日以内の個人情報保護委員会への報告」が義務付けられている。出典: 個人情報保護委員会

事故発生は誰にでも起こり得ます。重要なのは「事故ゼロを目指す」ことではなく「事故時に被害を最小化できる体制を作る」ことです。NDA・技術的防御・初動マニュアルの3点セットを準備しておくことが、長期的に信頼されるフリーランス・受注者の条件になります。

よくある質問

Q. フリーランス向け保険の相場はいくらですか？

一般的な相場は月額500円〜3,000円程度です。また、フリーランスエージェントに登録することで無料で付帯される保険サービスもあります。

Q. 秘密保持契約（NDA）は、どのような場合に結ぶべきですか？

業務を外注する際は、金額の多寡や依頼内容にかかわらず、原則としてNDAを締結すべきです。特に、顧客データ、独自のソースコード、未公開の事業計画など、漏洩時に企業の信用失墜や競合他社への流出につながる情報を取り扱う場合は必須です。取引開始前に秘密情報の範囲を明確にし、契約を交わすことで、トラブルを未然に防ぐだけでなく、相手方のセキュリティ意識を高める効果も期待できます。

Q. 契約書に「秘密保持期間」はどのくらい設定するのが一般的ですか？

業務終了後から3〜5年程度が一般的です。ただし、特許技術や中長期的な事業戦略など、期間を過ぎても機密性が極めて高い情報については、「期間の定めなし」や「契約終了後も無期限」と設定することもあります。あまりに長期間だと受託側への負担が大きくなり契約交渉が難航するため、情報の重要度に応じて期間を調整し、かつ必要に応じて延長できる条項を含めておくのが賢明です。

Q. フリーランスに依頼する際、セキュリティ対策で特に気をつけるべき点は？

NDA締結は前提ですが、契約書だけでは不十分です。具体的には「作業用PCのウイルス対策ソフトの導入」「パブリックWi-Fiの使用禁止」「情報のクラウド管理方法（権限制限）」などを取り決めましょう。また、万が一の情報漏洩時に備え、損害賠償の範囲だけでなく、迅速な報告義務や、漏洩後の初動対応について具体的に定めておくことで、被害を最小限に抑えるリスクヘッジが可能になります。

Q. 秘密保持に違反した場合、どのようなペナルティが発生しますか？

契約違反によって損害が生じた場合、発注者は受託者に対して損害賠償を請求できます。実務上は、情報漏洩によって失った売上やブランド価値を算定し、実損額を賠償させるのが原則です。ただし、立証が難しいため、契約時にあらかじめ「違約金」を設定しておくケースもあります。また、信頼関係が崩れることで取引停止になるほか、悪質な場合は法的措置や刑事罰の対象となるリスクも伴います。