業務委託契約個人情報取扱｜PMS整備不要で済む契約条項の書き方

2026年2月23日

朝比奈蒼

この記事のポイント

✓業務委託契約で個人情報を扱う際の必須条項と委託元・委託先の責任範囲を整理
✓PMSやプライバシーマークを取得していないフリーランス・小規模事業者でも契約書だけで「監督義務」を果たす書き方を解説します

「業務委託契約で個人情報を渡すんですが、本人の同意って取り直す必要ありますか？」「うちはPマーク（プライバシーマーク）を持っていないんですけど、業務委託先として失格でしょうか？」。こうした相談は、フリーランスと発注側の双方から増えています。結論から言うと、業務委託に伴う個人情報の提供は「第三者提供」に当たらず、本人の同意は原則不要です。ただし、それは委託元が委託先を「必要かつ適切に監督」した場合に限られます。本記事では、PMS（個人情報保護マネジメントシステム）やプライバシーマークを整備していなくても、業務委託契約書の条項設計だけで法的義務を果たす方法を、個人情報保護委員会のガイドラインと実務の両面から解説します。

業務委託で個人情報を扱う案件は全体の約3割、しかし契約書整備は半数以下

個人情報保護委員会が2023年に公表した実態調査によると、中小企業のうち外部委託で個人情報を取り扱っている事業者は約32%。一方で、書面による業務委託契約を締結している割合は45%程度にとどまっています。つまり、外部委託で個人情報をやり取りしている事業者の半数以上が、契約書なし、または口約束に近い形で運用していることになります。

これはフリーランス側から見ても深刻な数字です。発注書も契約書も交わさずに顧客リストを共有された結果、漏えい事故が起きたときに「誰が、どこまで責任を負うのか」が一切定まっていないケースが現場では珍しくありません。私が編集者として複数のクライアントワークを見てきた限りでも、契約書のひな型を提示してくる発注者は体感で3〜4割程度。残りはメールでのやり取りだけで進んでいきます。

2022年4月の改正個人情報保護法施行以降、漏えい時の本人通知・個人情報保護委員会への報告が法定義務化されました。さらに、違反した場合の罰則は最大1億円の法人罰金まで引き上げられています。これは「中小企業だから」「個人事業主だから」で見逃される性質のものではありません。契約書を整えるコストは1案件あたり1〜2時間程度ですが、それを怠った代償は桁違いに大きい、というのが現状です。

なお、フリーランス側で受託する場合の発注書・契約書の整備については、フリーランスを守る「下請法（取適法）」の知識｜発注書・契約書の必須項目チェックリストで別途まとめています。2024年11月施行のフリーランス保護新法と合わせて押さえておきたい論点です。

1. 業務委託に伴う個人情報の提供は「第三者提供」ではない

個人情報保護法の中で、業務委託に関わる最も重要な条文は第27条第5項第1号です。ここに「利用目的の達成に必要な範囲内において個人データの取扱いの全部又は一部を委託することに伴って当該個人データが提供される場合」は、第三者提供に該当しないと明記されています。

つまり、業務委託に必要な範囲で個人情報を委託先に渡すことは、本人の同意を取り直さなくてよいのです。よく誤解されますが、「委託先＝第三者だから、毎回顧客の同意を取らないといけない」のではありません。委託元と委託先は、外形的には別法人・別人格でも、個人情報保護法上は「一体」とみなされます。

なぜ第三者提供から除外されるのか

理由はシンプルで、委託元が利用目的を達成するためには、外部リソースの活用が不可欠だからです。例えば、ECサイトの運営者が配送業者に顧客住所を渡さなければ、商品は届きません。給与計算を社労士に委託するなら、従業員の個人情報は当然必要です。これらすべてに「本人の同意」を要求すると、ビジネスが事実上回りません。

ただし、この除外規定には条件があります。それが「利用目的の達成に必要な範囲内」という縛りです。ここを逸脱して、委託元が委託先に「ついでに別の事業にも使ってください」と渡したら、その瞬間に第三者提供になり、本人同意が必要になります。

「必要な範囲」を超える典型パターン

私が実務で見てきた中で、特に多いのが以下のパターンです。

1つ目は、Web制作の委託で「会員情報も将来的なメルマガ配信用にコピーしておいてもいいですよ」と渡すケース。これは目的外利用で完全にアウトです。2つ目は、データ入力の委託先に「次のキャンペーン案も考えてみてもらえますか」と顧客リストの分析を追加発注するケース。元の契約の利用目的（データ入力）を超えています。

正直なところ、「ついで仕事」で個人情報の利用範囲がなし崩しに拡大していくのは現場あるあるです。だからこそ、契約書で利用目的を明確に縛っておく必要があります。

このような場合、業務委託契約書の中に「個人情報保護に関する条項」を適切に盛り込むことが、法的な義務であると同時に、企業の信頼を守る上で極めて重要になります。

2. 委託元の「監督義務」とは何か｜PMSなしでも果たせる

個人情報保護法第25条には、委託元の「監督義務」が定められています。条文を平易に言い換えると、「委託元は、委託先に対して個人データの安全管理が図られるよう、必要かつ適切な監督をしなければならない」というものです。

ここで重要なのは、「監督義務」はプライバシーマークやPMS（個人情報保護マネジメントシステム）の取得を必須としていないという点です。よく「Pマーク持ってないと業務委託は無理ですよね？」と相談されますが、これは誤解です。Pマークは委託元が安心して発注するための「目印」にはなりますが、法的要件ではありません。

監督義務を果たす3つの要素

個人情報保護委員会のガイドラインによれば、必要かつ適切な監督として以下の3つが求められます。

1つ目は、適切な委託先の選定です。委託先が個人データの安全管理措置を講じているかを事前に確認する必要があります。確認方法は、相手の規模に応じて柔軟でよく、Pマーク取得済みであれば書類確認、フリーランス相手であればチェックシートへの記入や、契約条項での誓約で十分とされています。

2つ目は、委託契約の締結です。後述する個人情報保護条項を盛り込んだ書面契約が必須です。

3つ目は、委託先における個人データ取扱状況の把握です。年に1回程度、定期的に「ちゃんと守ってますか？」を確認する仕組みが必要です。これは監査ではなく、自己点検チェックシートの提出や、メールでの状況報告でも構いません。

「過剰な要求」は委託先を疲弊させる

実は監督義務を理由に、委託元から委託先（特にフリーランス）に対して、過剰な要求が行われるケースが現場で増えています。例えば「弊社のセキュリティポリシー50ページに全部署名してください」「四半期に1回オンサイト監査を受けてください」といった要求です。

これは個人情報保護委員会が想定する「必要かつ適切」の範囲を超えている可能性があります。委託先が中小事業者・個人事業主の場合、その規模に応じた合理的な水準で監督すれば十分とされており、過剰な負担を強いることは取適法（下請法）の優越的地位の濫用にも触れかねません。

私自身も編集者として委託を受ける立場ですが、「アカウントロック設定を全PCに必須化」「業務PCはVDI環境を購入してください」といった要求を真顔で送ってくる発注元には、正直なところ、これはどうかと思います。発注元が自社で負担すべきインフラを、委託先に押し付けているケースが少なくありません。

3. 業務委託契約書に盛り込むべき個人情報保護条項8つ

ここからが本記事の核心です。PMSやプライバシーマークの整備をしていなくても、契約書の条項設計で監督義務を果たすことができる、その具体的な書き方を提示します。

3-1. 利用目的の特定条項

最も基本かつ重要な条項です。「委託先は、本契約に基づき提供を受けた個人情報を、本業務の遂行の目的にのみ使用するものとし、それ以外の目的に使用してはならない」と明記します。

利用目的を契約書本文で明確に縛ることで、目的外利用を未然に防げます。実務上は、「本業務」を契約書冒頭で定義しておき、その範囲を厳格に限定するのがポイントです。「本業務およびこれに付随する業務」のような曖昧表現は避けてください。

3-2. 安全管理措置の実施義務

「委託先は、提供を受けた個人情報について、漏えい・滅失・毀損の防止その他の安全管理のため必要かつ適切な措置を講じるものとする」という条項です。

ここで委託元側が陥りやすいのが、「ISO27001取得済みであること」「Pマーク取得済みであること」を一律で要件にしてしまうパターン。これは中小事業者・フリーランスを実質的に排除することになり、競争性を損ねます。代わりに、後述する個別の安全管理措置（パスワード設定、暗号化通信など）を具体的に列挙する方が現実的です。

3-3. 再委託の制限条項

「委託先は、委託元の事前の書面による承諾を得ることなく、本業務の全部又は一部を第三者に再委託してはならない」という条項を入れます。

これは個人情報保護委員会のガイドラインでも特に強調されている論点です。再委託が無断で行われると、委託元の監督が及ばない領域に個人情報が流出してしまうリスクがあります。再委託を認める場合でも、再委託先に対しても本契約と同等以上の義務を課すこと、再委託先で事故が起きた場合の責任は委託先が負うこと、を明記してください。

3-4. 従業者に対する監督義務

「委託先は、本業務に従事する自社の従業者に対して、個人情報の取扱いに関し必要かつ適切な監督を行うものとする」という条項です。

フリーランス個人で完結する案件では従業者がいないため、この条項は実質的に空文化しますが、法人間契約では必須です。具体的には、従業者と秘密保持契約（NDA）を締結すること、定期的な教育研修を実施することが含まれます。

3-5. 漏えい等が発生した場合の通知義務

「委託先は、個人情報の漏えい・滅失・毀損その他の事故が発生した場合又はそのおそれがある場合には、速やかに委託元に通知し、その指示に従って対応するものとする」という条項です。

2022年4月の改正個人情報保護法以降、一定の漏えい事故では委託元から個人情報保護委員会への報告と本人通知が法定義務化されました。報告期限は「事案を知った後、速やかに（概ね3〜5日以内）」とされており、委託先からの第一報が遅れると委託元が法令違反に問われます。

実務的には、「24時間以内に第一報、72時間以内に詳細報告」といった具体的な時間軸を契約書に書き込むことを推奨します。

3-6. 契約終了時の返還・廃棄義務

「本契約終了時又は委託元からの請求があった場合、委託先は提供を受けた個人情報を速やかに返還又は廃棄するものとする」という条項です。

ここで重要なのは、廃棄の方法と廃棄証明書の提出を求めること。「シュレッダー処理」「データ消去ソフトでの完全消去」など、具体的な廃棄方法を契約書または別紙で定めておくとトラブル予防になります。クラウドストレージで共有していた場合は、アクセス権の削除と削除ログの提出を求めるのが現代的な実務です。

3-7. 監査・報告に応じる義務

「委託元は、委託先における個人情報の取扱状況について、合理的な範囲で報告を求め、または監査を行うことができる」という条項です。

ただし、前述の通り「合理的な範囲」がポイント。フリーランス相手にオンサイト監査を要求するのは非合理的なので、自己点検チェックシートの提出（年1回程度）で代替するのが現実的です。

3-8. 損害賠償と免責の条項

「委託先の故意又は過失により委託元に損害が生じた場合、委託先は当該損害を賠償する責任を負う。ただし、賠償額は本契約に基づく業務委託料の総額を上限とする」という条項です。

賠償上限を入れるかどうかは委託元・委託先のパワーバランスで決まりますが、フリーランス・小規模事業者の受託では上限設定がないと事業継続リスクが致命的になります。委託料の1〜3倍程度を上限とするのが業界水準です。

また、委託先と業務委託契約を締結する際に以下のような個人情報の管理についても盛り込み、委託元が委託先の個人情報取扱状況を把握することが重要です。

4. 委託先側が「PMSなし」でも信頼を得るための実務的アプローチ

ここまでは委託元視点の話が中心でしたが、委託先（特にフリーランス）視点での実務も整理しておきます。Pマーク取得には初期費用30万円〜、年間維持費20万円〜という相場があり、年商数百万円〜1,000万円規模のフリーランス・小規模事業者にとっては投資対効果が見合わないケースがほとんどです。

Pマークなしでも提示できる「信頼の根拠」

Pマークの代わりに、以下の要素を組み合わせて委託元に提示することで、十分な信頼を得られます。

1つ目は、個人情報取扱規程（プライバシーポリシー）の整備。A4で2〜3ページの簡潔なもので構いません。「収集する情報の範囲」「利用目的」「第三者提供の制限」「安全管理措置」「開示・訂正請求への対応」を明記します。

2つ目は、業務環境のセキュリティ対策の明示。具体的には、業務PCにフルディスク暗号化（BitLockerやFileVault）を設定、パスワード付きスクリーンセーバーを有効化、業務用クラウドストレージは2段階認証必須、公共Wi-Fiでの業務作業禁止、といった項目です。

3つ目は、自己点検チェックリスト。個人情報保護委員会が公表している「中小規模事業者向け自己点検チェックリスト」を活用すると効率的です。

4つ目は、業務委託契約書の個人情報保護条項に「私はこの内容を遵守します」と署名捺印すること。これだけで委託元の監督義務の半分以上は形式的に満たされます。

実体験：Pマーク要求への対処法

私が編集業を始めた頃、ある大手企業から「Pマーク取得していますか」と聞かれて固まったことがあります。当時は当然取得しておらず、「取得していません」と素直に答えると一次選考で落とされました。

その後、別の案件で「Pマーク取得が条件です」と言われた際には、上記のセキュリティ対策一覧と個人情報取扱規程を提示し、「Pマーク認証の代替として、これらの実施で監督義務を満たせる旨が個人情報保護委員会のガイドラインに記載されています」と説明したところ、契約に至りました。

つまり、Pマーク取得は法的必須要件ではないことを正しく理解し、説明できるかが分かれ目です。発注側の担当者がガイドラインを読んでいないだけで機械的に弾かれるケースがあるので、適切な根拠を示せるかが重要になります。

著述家，記者，編集者の年収・単価相場を見ると、編集者の中央値は450万〜600万円程度で推移しています。この単価帯でPマーク維持コスト年間20万円超を負担するのは、収益構造として無理筋。だからこそ、契約条項とセキュリティ対策の明示で代替する方が合理的です。

5. 業務委託契約書のひな型を選ぶときの注意点

世の中には業務委託契約書のひな型が無数に出回っています。経済産業省や中小企業庁が公開しているものを含め、信頼性の高いひな型は無料で入手できます。マネーフォワードクラウド契約や、freeeサインといった電子契約サービスでもひな型が提供されています。

ひな型選定の3つの観点

ひな型を選ぶときは、以下の3点を必ずチェックしてください。

1つ目は、個人情報保護条項が独立した条文として明記されているか。「秘密保持」の中に紛れ込んでいるひな型は、個人情報特有の論点（漏えい時の本人通知など）が抜け落ちている可能性があります。

2つ目は、最終改訂日が2022年4月以降であるか。改正個人情報保護法施行以前のひな型は、漏えい時の通知義務など現行法に整合していない条項が残っているリスクがあります。

3つ目は、再委託・損害賠償上限・契約終了時の処理について明文化されているか。これらは紛争予防の核となる条項なので、抜けていると後々厄介です。

2026年最新の個人情報保護法改正ポイント｜Cookie規制と企業の対応義務では、2026年に予定されている次回改正の論点（Cookie・データポータビリティ・顔識別データ）も含めて解説しています。契約書のメンテナンス頻度は最低でも年1回が推奨されます。

弁護士チェックの判断基準

「弁護士チェックは必要か」もよく聞かれます。私の見解では、以下のいずれかに該当する場合は弁護士チェックを推奨します。

要配慮個人情報（医療情報、健康診断結果、犯罪歴など）を取り扱う場合、取扱う個人データが1万件以上ある場合、海外への越境移転を伴う場合、業務委託料が年間500万円を超える長期契約の場合。これらは万一の事故時の被害が大きく、契約書の精緻さが直接ビジネスを守ります。

逆に言えば、月数万円規模の短期案件で、扱う個人情報も数十件程度であれば、信頼できるひな型を流用するだけで十分なケースが大半です。すべての契約で弁護士チェックを入れていたら、リーガルコストだけで案件の利益が吹き飛びます。

6. クラウドサービス利用と個人情報の関係｜SaaS時代の盲点

近年、業務委託の文脈で見落とされがちなのが、SaaS（Software as a Service）の利用です。例えば、業務委託先がSlack、Notion、Google Workspace、Microsoft 365などで個人情報を取り扱う場合、それらクラウドサービス事業者は「委託先」なのか「再委託先」なのか、という論点が浮上します。

個人情報保護委員会の解釈

個人情報保護委員会は、「事業者が個人データを取り扱わないことになっている場合、クラウドサービス事業者は委託先には当たらない」という解釈を示しています。具体的には、サービス契約上、クラウド事業者が当該データの内容を見ない・触れない・利用しないことが明記され、かつ実際にそのように運用されている場合は、クラウド事業者は「外部記憶装置の提供者」として扱われ、業務委託契約は不要となります。

主要なクラウドサービスの多くは利用規約でこの旨を明記しており、形式的には委託関係に当たりません。ただし、サービスごとに細かな差異があるので、利用規約の該当条項を一度確認することを推奨します。

越境移転の論点

クラウドサービス事業者のサーバが日本国外にある場合、個人情報の越境移転の論点が発生します。改正個人情報保護法では、外国にある第三者への個人データ提供について本人の同意取得などが必要になりました。ただし、上記の通り「クラウドサービス事業者が個人データを取り扱わない」場合は、そもそも第三者提供に該当しないため、越境移転の規制も及びません。

このあたりは法解釈が複雑なので、大規模な顧客データを扱う場合はビジネス文書検定などで体系的に法務リテラシーを習得しておくか、専門家への相談を推奨します。

7. 漏えい事故が起きたときの実務対応フロー

最後に、万が一漏えい事故が起きた場合の実務フローを整理しておきます。事故対応の精度は、契約書の出来栄えと同じくらい重要です。

委託先側の対応（事故発見から24時間以内）

事故を発見したら、まず証拠保全。漏えいの経路・規模・影響範囲を特定するため、関連するログ・メール・ファイルを保全します。次に、委託元への第一報。電話＋メールの両方で通知するのが鉄則です。記録に残らない電話だけはNG、メールだけだと相手が気づかない可能性があります。

その上で、自社内での被害拡大防止措置。漏えい源となったアカウントの停止、共有リンクの無効化、必要に応じてサーバの一時停止などを行います。

委託元側の対応（事故報告受領から72時間以内）

委託先からの第一報を受けたら、まず事案の精査。本人通知が必要なケース（要配慮個人情報を含む、1,000人以上、財産的被害が発生など）に該当するかを判断します。

該当する場合は、個人情報保護委員会への速報（事案を知った後、速やかに）と本人通知の準備。委員会への確報は30日以内、本人通知は事案の性質によりますが原則として速やかに行います。

事故対応費用の負担

「漏えい事故の費用は誰が払うのか」も契約書で明確にしておくべき論点です。一般的には、原因が委託先側にある場合は委託先が負担、ただし上限は損害賠償条項の範囲内、というのが業界水準です。

調査費用、本人通知のための郵送費、見舞金、信用毀損による営業損失など、項目別に積算すると数百万円〜数千万円規模になることも珍しくありません。だからこそ、損害賠償上限の設定が委託先（特に小規模事業者）にとって死活問題なのです。

アプリケーション開発のお仕事カテゴリでは、会員管理機能やEC機能を含むシステム開発案件が多く、ほぼ確実に個人情報の取扱いが発生します。ソフトウェア作成者の年収・単価相場を見ると、システム開発系の単価相場は時給5,000円〜10,000円程度で、Pマーク取得コストを案件単価でカバーできる規模感です。

一方、データ入力やライティング系では、案件単価が時給1,500円〜3,000円程度の水準で、Pマーク取得コストの回収は事実上困難。だからこそ、本記事で解説した「契約条項で監督義務を果たす」アプローチが、フリーランス・小規模事業者にとって現実的な選択肢になります。

AIコンサル・業務活用支援のお仕事やAI・マーケティング・セキュリティのお仕事といった近年成長中のカテゴリでも、ChatGPTやLLM活用に伴う個人情報の取扱いが新しい論点として浮上しています。生成AIに顧客データを学習させない設定（オプトアウト）の確認、API利用時のデータ保持ポリシーの精査など、従来の業務委託契約書では想定していなかった条項追加が必要になるケースが増えています。

なお、フリーランスとしての税務まわりの整備については、税理士に依頼すべきタイミングと売上の目安｜フリーランスの決断基準【2026年版】で別途解説しています。契約書整備と並んで、事業の屋台骨を支える要素として早めの整備を推奨します。インフラ系のスキル証明としてはCCNA（シスコ技術者認定）などのベンダー資格も、案件獲得時の信頼補強に役立ちます。

公的機関・関連参考情報

本記事の内容に関連する公的機関や信頼できる情報源は以下の通りです。最新情報は公式サイトで確認してください。

よくある質問

Q. フリーランスに業務委託する際、情報漏洩などのセキュリティ面で気をつけるべきことは何ですか？

必ず業務開始前にNDA（秘密保持契約）を電子契約で締結し、アクセス権限を最小限に絞ることが鉄則です。Google WorkspaceやNotion等のツールでは、ゲスト権限を活用し、プロジェクト終了と同時にアカウントの権限を即座に解除する運用ルールを徹底してください。ローカルへのデータ保存を禁止する規約も有効です。