個人情報の取扱いの委託とは?委託先の監督義務と“混ぜるな危険”問題

by privacy

個人情報を扱う業務は、現実には外注やクラウドサービスといった業務委託によって回っていると思います。
コールセンター、発送代行、予約システム、給与計算、データ入力、広告配信、分析基盤など、便利になる一方で、事故が起きたときに真っ先に問われるのが「委託先をしっかり監督していたか」です。

個人情報保護法は、個人データの取扱いを委託する場合、委託先に対する必要かつ適切な監督を義務づけていますし(法25条)、ガイドラインでも委託先の選定・契約・監査まで含めて具体的に求めています。

この記事では、「委託」の基本から、第三者提供との違いなどありがちな誤解、そして最近とくに注意したい“混ぜるな危険”まで、実務目線で整理します。

委託は第三者提供ではないのに監督が必要な理由

まず大前提として、「個人データの取扱いの委託」は、第三者提供の制限(法27条1項)の“提供”には当たらない整理がされています(法27条5項1号)。ただし、だからといって“自由に渡していい”というわけではありません。

ガイドラインでは、「委託」が第三者提供と扱われない趣旨として、委託先が「委託された業務の範囲内」で、委託元と“一体のものとして”個人データを取り扱うことに合理性があるからだ、と説明しています。
つまり、委託先がその枠を超えた瞬間に前提が崩れ、「委託」とは認められないおそれがでてきます。

そして、その“一体性”を保つために課されるのが、委託先の監督義務(法25条)です。

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

個人情報保護法 25条

委託に当たる業務の具体例

では、そもそも「個人データの取扱いの委託」とはどのような形態を指すのでしょうか。

この点について、ガイドラインでは「契約の形態・種類を問わず、他の者に個人データの取扱いを行わせること」であると定義しており、入力(本人からの取得を含む)、編集、分析、出力など幅広い処理が例示されています。

例えば、以下のようなものが「個人データの取扱いの委託」になりやすいと考えられます。

  • 発送代行・印刷:顧客の氏名・住所リストを渡してDMを発送してもらう
  • 配送・通信:宛名情報(氏名・住所等)を使って荷物や通知を送る
    ※ 一般に委託に当たり得る一方、配送事業者や通信事業者が通常「中身」に関知しないなら、中身の個人データについては委託に当たらない場合があります
  • データ入力・スキャン・名寄せ:紙申込書の入力、データクレンジング等
  • コールセンター・チャット対応:本人確認、問合せ履歴管理、対応ログの保管
  • 給与計算・社保手続:従業員情報の取扱い(社労士/給与BPO等)
  • 広告配信・CRM運用:配信リストを預けて配信、配信結果のレポート作成
  • セキュリティ運用:監視ログの保管・解析、SOC運用(ログに個人データが含まれる場合)

重要なのは、「委託だから本人の同意はいらない」で思考停止してはならないことです。
むしろ、個人データの取扱いの委託というのは、監督義務をどう実行するかが法令遵守のために優先度の高い検討事項になります。

委託と整理してはいけない場面もある

「外注っぽいから委託」と決め打ちすると危ないケースがあります。
その典型例が「アンケート調査の業務委託」です。

例えば、食品製造業者Aが、マーケティング会社Xに対して、性別・年代別の嗜好調査を委託したとします。

委託を受けたX社が自ら個人データを取得して集計し、委託元であるA社は調査結果の統計情報しか受け取らず、A社が個人データ取扱いに一切関与しないという場合なら、通常、その個人データについては取扱いの委託に当たらないとされます。
(※X社が取得した個人データはX社の保有個人データとなり、X社が本人からの開示請求などに対応する必要があります)

一方で、A社が内容を確認できる、契約で権限が付与される、取扱い制限を課す等があれば、委託に当たる整理になり得ます。
(※個人情報保護法ガイドラインQ&A 7-36より)

つまり、「委託かどうか」は関与の度合いや契約上の権限/制限などの実態が大きく影響します。

委託先は自分のために個人情報を使えない

委託先は、委託された個人データを委託された業務の範囲内でのみ取り扱う必要があります。この考え方が、委託が第三者提供扱いされない前提そのものです。

Q&Aでも、「委託された業務と無関係な自社の営業活動のために利用する」ような行為は、委託の範囲を超える例として挙げられています。

他にも、委託によって得た個人データについて以下のような”二次利用”ができないことにも注意が必要です。

  • 委託された個人データを統計情報に加工しても、委託業務の範囲外で加工し、その統計情報を自社のために使うのはNG
  • 広告配信を受託し、配信の過程で取得した「本人の反応等」(=別の個人データ)を自社のために利用するのはNG

実務では、委託先の提案として「分析精度向上のため学習に使いたい」「サービス改善に使いたい」が出がちです。ここを曖昧にすると、委託の前提(委託元・委託先の一体性)が崩れ、整理が一気に難しくなります。

“混ぜるな危険”はなぜ問題になるのか

個人データの取扱いの委託に関してよく問題になるが、いわゆる“混ぜるな危険”という考え方です。
これは、簡単に言うと次の2パターンです。

パターン1: 異なる委託元の個人データを混ぜる

委託先が、複数の委託元から受けた個人データを区別せず混ぜて取り扱っている場合は、個人データの取扱いの委託には該当しないと考えられます。(Q&A 7-37)。
これは、委託元からの指示があったとしても、混ぜて取り扱った時点で「委託」ではなくなります。

また、複数の委託元のデータを「本人ごとに突合(名寄せ)」する場合も同様です(Q&A Q7-43)。
例えば、B社から委託された購買履歴データと、C社から委託された位置情報データを、本人ごとに突合することで情報量の多いデータを作成し、それをB社、C社に提供する(戻す)という行為は「委託」といて行うことはできません。

一方で、本人ごとに突合しない、例えば単純にサンプル数を増やす目的で“合わせる”だけなら統計情報作成が可能、という線引きも示されています。

パターン2: 委託元からの個人データと、委託先が持つデータを混ぜる

委託先が、委託に伴って受け取った個人データを、独自に取得した個人データや個人関連情報と本人ごとに突合することはできないとされています(Q&A Q7-41)。

さらに、突合したうえで新しい項目を付加したり内容を修正して委託元に戻すこともできません。(Q&A Q7-42)。
例えば、D社から委託された住所録に一部誤りがあったとして、委託を受けたE社がすでに保有している住所録を参照して誤りを訂正し、その訂正後のデータをD社に戻すようなことはできない、ということです。(ただしE社がオプトアウトによる第三者提供が可能な場合を除きます)

このような取扱いを実施するには、委託先側で本人同意を取るなど「付加・修正する情報を適法に提供するための対応」が必要となります。

このあたりは、DMP/MA/ポイント事業者/広告配信事業者など、データを大量に持つ事業者に委託する場面で特に注意が必要なポイントです。

委託先の監督義務をどう実装するか

個人データの取扱いの委託について定めている法25条は抽象的に「必要かつ適切な監督」と書いていますが、ガイドラインには委託元が実施すべき事項が記されています。

  1. 適切な委託先の選定
    委託先の安全管理措置が、少なくとも法23条・ガイドラインで求められる水準と同等であることを事前に確認する。
  2. 委託契約の締結
    安全管理措置の内容に加え、委託元が委託先の取扱状況を合理的に把握できる条項(報告、監査、再委託条件など)を盛り込むのが望ましい。
  3. 委託先での取扱状況の把握
    定期監査等で実施状況を調査・評価し、必要に応じて見直す。再委託があるなら、委託元としても事前報告/承認や監査の仕組みを設けることが望ましい。

こういった委託元に課される義務に対応するための手段の1つとして、個人情報だけでなくデータ全般に関する取扱いなどについて回答を求める「セキュリティチェックシート」などが活用されています。

また、記事執筆現在(2026年1月)検討が重ねられている、いわゆる”個人情報保護法の3年ごとの見直し”において、委託先の義務の明文化が求められる予定となっています。
※個人情報保護法 いわゆる3年ごと見直しの制度改正方針(案) 概要
そのため、委託先への対応に関して、委託元はより一層留意する必要がでてきます。

なお、セキュリティチェックシートを作成するのは委託元となる事業者ですが、回答を求められる事業者としても、その内容を把握し適切に回答する必要がありますので、普段から情報管理について意識していないと難しい場合もあります。
こういった場合、専門家が提供するサービスなどを利用し、ウソのない適切な回答と、実際の管理体制の構築などが求められます。
(参考) 中小企業・個人事業向け情報セキュリティチェックサポート

クラウド利用は委託なのか

個人情報の取扱いの委託について考える場合に、クラウドサービスの利用を無視できません。

この点について、クラウドの利用が法27条の「提供」に当たらない場合(いわゆるクラウド例外)は、監督義務(法25条)が課されない一方で、利用者側が安全管理措置の一環として適切な措置を講じる必要があると考えられます。

クラウド例外の整理と、プライバシーポリシーでの書き方は、こちらの記事にまとめています。

クラウドサービスを使うと「第三者提供」になるのか?

クラウドサービスを使うと「第三者提供」になるのか?

まとめ

個人データの取扱いの委託は、第三者提供ではないとされますが、ただそれは委託先が委託元と“一体”として、委託業務の範囲内だけで個人データを扱うことが前提です。
だからこそ、委託元には委託先の監督義務が課され、さらに“混ぜるな危険”避ける設計が不可欠になります。

プライバシーポリシーと委託管理をまとめて整備するなら

委託は、契約・運用・セキュリティ・表示(説明)の4点が噛み合って初めて強くなります。ところが実務では、

  • 委託先管理が契約に落ちていない
  • 再委託・監査・目的外利用禁止が曖昧
  • “混ぜるな危険”に気づかないままMA/DMP/分析基盤を導入している
  • プライバシーポリシーが「第三者提供」だけを想定した書きぶりになっている

…というズレがよく起きます。

もし、プライバシーポリシーの新規作成・改定や、委託先管理(条項整備/運用フロー整備/チェックリスト化)まで含めて一気に整えたい場合は、ご相談ください。
「自社のケースだと委託?第三者提供?共同利用?」の切り分けから、ガイドライン・Q&Aに沿って、実務に落ちる形で設計します。

プライバシーポリシーの作成・確認 お気軽にご相談ください

関連記事:

個人情報とは何か? 個人関連情報とは?定義・具体例・第三者提供ルールと注意点 クラウドサービス利用時に注意する個人情報保護のルール Cookie同意バナーを作る上で気をつけたいポイント カスタマーマッチ/行動ターゲティング広告利用と個人情報