再委託条項とは?業務委託契約でどこまで認めるべきかを整理する|Legal GPT
契約審査・承認・監査・稟議を、ひとつのOSで。
属人化しがちな契約レビューを、誰でも同じ品質で処理できる仕組みに。法務・営業の現場でそのまま使えます。
再委託条項とは?
業務委託契約でどこまで認めるべきかを整理する
再委託をめぐっては、発注者と受託者の利害が鋭く対立する。承諾の範囲をどう設計するか、秘密情報・個人情報・品質管理の責任連鎖をどう担保するか。実務で使える視点で整理する。
- 再委託条項の基本構造と、設計のバリエーション(無制限・事前承諾制・包括承諾制・重要業務のみ承諾制)の比較
- 発注者側・受託者側それぞれの交渉ポイントと現実的な落としどころ
- 秘密保持・個人情報・品質管理・責任の連鎖をどう条項に落とし込むか
- 再委託先の変更通知義務の設計実務
- 海外再委託・クラウドサービス利用との関係
- 悪い条項例→改善例(条文レベルで確認)
「誰がこの仕事をしているのか」を把握できているか
業務委託契約を締結した後、実際の作業が別の会社や個人に回されていた——そういう場面に遭遇したことがある担当者は少なくないだろう。IT開発・コールセンター・設計業務・調査業務など、現代のビジネスでは再委託(下請け・外注)は珍しくない。問題は、その「再委託」が契約上どのように規律されているか、あるいはまったく規律されていないか、である。
発注者側からすれば、誰が作業しているかを把握できなければ、情報漏えいリスク・品質管理・責任の帰趨を管理できない。一方、受託者側からすれば、現実の業務遂行では専門業者への外注は不可欠であり、案件のたびに発注者の承諾を取りつけるプロセスが重荷になることもある。
この記事では、再委託条項の設計バリエーションと実務上の留意点を、発注者・受託者の双方の視点から体系的に整理する。条文サンプルも示すので、契約レビューや交渉の場でそのまま活用してほしい。
再委託条項の基本——民法との関係と契約設計の必要性
民法上の原則
民法上、請負契約(民法632条以下)では、特約がなければ受注者が第三者に再委託すること自体は禁じられていない。ただし、委任契約・準委任契約(民法643条・656条)では、受任者は原則として自ら事務を処理しなければならない。2017年改正で新設された民法644条の2第1項は、受任者が復受任者を選任するにはやむを得ない事由があるときを除き委任者の許諾を要する旨を定めており、準委任にも同条が準用される(同法656条)。許諾なく選任した復受任者の行為についても、受任者は委任者に対して責任を免れない(同条2項)。
実務上の業務委託契約は、その内容によって請負・委任のいずれか(あるいは混合)として性質決定されるが、多くの場合、契約書の中で再委託に関する明示的な条項を置き、民法上の原則を修正または補完している。この「再委託条項」の設計次第で、発注者・受託者双方のリスクプロファイルが大きく変わる。
再委託条項を設けない場合、請負型か委任型かで再委託の可否の解釈が変わる。実務では「再委託には書面による事前承諾を要する」旨の明示条項を置くことで、解釈の揺れを防ぐのが基本である。
再委託条項が争点になりやすい場面
再委託に関する紛争や問題が生じやすいのは、次のような局面である。まず、再委託先の従業員が情報を漏えいさせた場合に、発注者が「そもそも再委託を認識していなかった」として責任の所在を争う場面。次に、再委託先が業務品質を満たさず納品物に瑕疵が生じた場合。さらに、再委託先が個人情報の取り扱いに関する基準を満たしておらず、規制当局の指摘を受けた場合などである。いずれも、事前に再委託条項を適切に設計しておくことで、リスクを大幅に低減できる。
承諾制のバリエーション比較——4つの設計パターン
再委託に関する承諾の仕組みは、大きく4つのパターンに整理できる。それぞれの特徴・メリット・デメリット・適した場面を以下の比較表で確認する。
| 設計パターン | 概要 | 発注者にとって | 受託者にとって | 適する場面 |
|---|---|---|---|---|
| ① 無制限再委託高リスク | 再委託に関する制限なし(または禁止・承諾条項の記載なし) | 誰が作業しているか把握不能。情報管理・品質管理が機能しない | 外注自由度が高い。ただしトラブル時の責任は全て受託者に帰属 | ほぼ採用すべきでない。契約の空白として残るのも危険 |
| ② 全面事前承諾制管理重視 | 再委託の都度、書面による事前承諾が必要 | 再委託先を完全に把握・統制できる | 手続き負担が大きい。緊急時・増員時の対応が困難 | 秘密情報が多い案件、個人情報処理を含む案件、高付加価値プロジェクト |
| ③ 包括承諾制バランス型 | 契約時に再委託先のリストを添付・合意し、以後の変更時のみ通知または承諾を要求 | 初期リストで把握が可能。運用中の変更も追跡できる | 一度合意すれば通常業務はスムーズ。変更時の手続きで足りる | 継続的な業務委託、長期システム開発・保守、安定した外注先がある場合 |
| ④ 重要業務のみ承諾制折衷型 | 「重要業務」「コア業務」についてのみ事前承諾を要求し、補助的業務は通知のみ | 核心業務の管理を維持しつつ、実務上の柔軟性を確保できる | 外注を現実的に運用できる。コア業務の外注時は手続きが発生 | 業務範囲が広い委託契約、IT運用・コールセンター・マーケティング業務など |
| ⑤ 事前通知+異議申立権型スピード型 | 受託者が事前通知を行い、発注者が一定期間内(例:7営業日)に合理的理由をもって異議を唱えない限り承諾とみなす | 異議申立権は維持。ただし期間内に対応しないと自動承諾となるため運用管理が必要 | 発注者の無応答による業務停滞リスクを回避できる。スピードが求められる案件に有効 | アジャイル型開発、短期集中型プロジェクト、外注先の入れ替えが頻繁な業務 |
「承諾を不合理に拒絶しない」旨の規定(合理的理由なき拒絶禁止条項)を受託者側が求めることがある。発注者としては、承諾拒絶の判断基準を明確にしておかないと、交渉上の論点になりやすい。承諾の合理的な判断基準(情報管理体制、品質水準、業務継続性等)を条項内または別紙で明確化しておくことが望ましい。
「重要業務」の定義問題
④の重要業務のみ承諾制を採用する場合、「重要業務」の範囲をいかに定義するかが実務上の最大の論点になる。契約書に「主要な業務」「核心的な業務」と曖昧に記載するだけでは、のちに「その外注は承諾が必要だったか否か」をめぐって争いが生じる。
実務的には、業務仕様書(SOW)または別紙に「承諾を要する業務の一覧」を列挙し、それ以外は通知で足りるとする構造が明確で運用しやすい。また、個人情報の処理を伴う業務や秘密情報にアクセスできる業務は、類型として事前承諾の対象とする旨を明記する方法も有効である。
発注者側・受託者側それぞれの交渉視点
再委託条項の設計では、発注者と受託者の利害が正面から対立する。それぞれの立場から何を求め、何をリスクと考えているかを整理しておくことが、交渉の出発点になる。
- 誰が業務に関与しているかを常に把握したい
- 機密情報・個人情報が無断で第三者に渡るリスクを排除したい
- 再委託先の品質・体制を確認する機会を確保したい
- トラブル時の責任の帰趨を受託者に集中させたい
- 再委託先が変更された場合に速やかに知りたい
- 業務遂行上、外注先を自由に活用できる余地を確保したい
- 承諾プロセスが重くなりすぎると業務効率を損なう
- 既存の協力会社との継続的な取引を維持したい
- 急な増員・応援要員への対応のため柔軟性が必要
- 承諾が合理的な理由なく拒絶される事態を避けたい
現実的な落としどころ
実務上、多くの業務委託契約では「包括承諾制+変更時通知(または事前承諾)」の組み合わせが採用されることが多い。すなわち、契約締結時に現時点での再委託先リストを別紙として添付し、発注者が確認・合意したうえで、それ以降の変更時には事前通知または事前承諾を義務付けるという設計である。この構造であれば、受託者は既存の外注体制を維持しつつ業務を開始でき、発注者は変更時のコントロールを維持できる。
さらに、個人情報処理や機密性の高い業務(コア設計・セキュリティ関連作業など)については、別途「この業務類型については変更の都度書面による事前承諾を要する」と特則を設けることで、重要業務に絞ったコントロールと運用の柔軟性を両立できる。
再委託先への義務の「連鎖」——秘密保持・個人情報・品質管理
再委託条項において、承諾の仕組みと同等以上に重要なのが「義務の下方連鎖(flow-down)」の設計である。受託者が発注者に対して負っている義務を、再委託先にも同等以上の水準で課す仕組みが機能していなければ、承諾を得ても実質的なリスク管理は成立しない。
① 秘密保持義務の連鎖
受託者は、再委託先に対して本契約と同等の秘密保持義務を課す義務を負う旨を明示することが基本である。この際、単に「秘密保持義務を課すこと」とだけ書くのではなく、「本契約で定める秘密保持条件と同等以上の条件で、書面による秘密保持契約を締結すること」と明記することが望ましい。また、再委託先が秘密保持義務に違反した場合の責任が受託者に帰属する旨(後述の使用者責任・連帯責任的な構成)も併せて規定しておく。
② 個人情報管理の連鎖
再委託先が個人情報を取り扱う場合、個人情報の保護に関する法律(個人情報保護法)上の問題が生じる。個人情報保護法22条(委託先の監督義務)は、個人情報取扱事業者が個人データの取り扱いを第三者に委託する場合、委託先が個人データを安全に管理するために必要かつ適切な監督を行わなければならないと定める。さらに再委託の場合(いわゆる再々委託)でも、元の委託者は再委託先への監督義務を負うと解されており(個人情報保護委員会ガイドライン・通則編参照)、再委託先を選定・承認する際には、その個人情報管理体制の確認が不可欠である。
契約条項としては、「受託者は、再委託先が本契約に定める個人情報の管理基準と同等以上の管理体制を有することを確認のうえ再委託先を選定し、再委託先との間で個人データの適切な取り扱いを義務付ける書面を取り交わすこと」という形で明記するのが実務上の標準的な設計である。
再委託先が個人データを海外で処理する場合、個人情報保護法24条(外国にある第三者への提供の制限)との関係が問題になる場合がある。単なる「委託」であっても、再委託先の所在国・処理態様によっては第三者提供の同意取得やその他の措置が必要となる可能性があり、特に海外再委託については慎重な検討が必要である(詳細は後述)。
③ 品質管理・業務水準の連鎖
再委託を認める場合、再委託先が提供する業務の品質が本契約で求められる水準を下回るリスクがある。このため、「受託者は、再委託先に対して本契約で定める品質基準・業務水準を遵守させ、再委託先の業務の品質について発注者に対し引き続き責任を負う」という構成を明示しておく必要がある。
実務的には、受託者が再委託先を選定する際の基準(ISO認証の有無、資本金・実績要件など)を別紙や附属書で定めるケースもある。また、発注者が再委託先への立入検査や監査権を留保する条項を盛り込むかどうかも、業務の性質・リスクレベルによって検討の余地がある。
④ 受託者の責任の連鎖(使用者類似責任)
再委託先が業務上の違法行為・契約違反を行った場合、民法上は原則として再委託先自身が責任を負うが、契約実務では「受託者が再委託先の行為について発注者に対し直接責任を負う」旨の条項を明記することが一般的である。これにより、発注者は再委託先との直接の法律関係を意識することなく、受託者に対して損害賠償を請求できる。
この「受託者の連帯的責任」規定は、発注者にとっては必須ともいえる条項である。一方、受託者側からすれば、再委託先の行為リスクをすべて自社で引き受けることになるため、再委託先の選定・管理に十分な注意を払うとともに、再委託先との間の契約に求償・損害賠償条項を適切に設けておくことが重要である。
条項例——悪い例・改善例で確認する
実際の契約書でよく見かける問題のある条項例と、それを改善した条項例を対比させて確認する。
【パターン①】再委託に関する規定が存在しない(最も危険)
<再委託に関する条項なし>
→ 再委託の可否、範囲、管理義務について何も定められていない。
この状態では、請負型か委任型かによって再委託の可否の解釈が分かれるうえ、情報管理義務・品質管理義務の連鎖がまったく保証されない。発注者・受託者のどちらにとっても、のちにトラブルの温床となる。
【パターン②】漠然とした事前承諾条項
第◯条(再委託)
受託者は、発注者の承諾を得た場合に限り、本業務の一部を第三者に再委託することができる。
この条項には重大な欠落がある。「承諾なく再委託した場合の効果・違反の帰結」が不明、「再委託先に対する義務の連鎖」がない、「承諾の方式(書面か否か)」が不明確、「承諾を不合理に拒絶した場合の処理」も規定されていない。実務上のトラブルに対応する条項としては不十分である。
【パターン③】改善例(包括承諾制+義務連鎖型)
第◯条(再委託)
1 受託者は、本業務の全部または一部を第三者(再々委託先以降の者を含む。以下「再委託先」という)に委託する場合(以下「再委託」という)、あらかじめ本契約別紙【再委託先リスト】に定める者を除き、発注者の書面による事前承諾を要する。
2 発注者は、前項の承諾について、合理的な理由なく拒絶してはならない。
3 受託者は、再委託先に対し、本契約に基づき受託者が発注者に対して負担する義務(秘密保持義務、個人情報の管理義務、反社会的勢力の排除義務を含むがこれらに限られない)と同等以上の義務を課すものとし、これを内容とする書面による契約を再委託先との間で締結しなければならない。なお、再委託先がさらに第三者に再委託する場合(再々委託)も本条と同様の手続きおよび義務を要するものとする。
4 受託者は、再委託先(再々委託先以降の者を含む)の行為を自らの行為とみなして発注者に対して一切の責任を負うものとし、当該行為により発注者が損害を被った場合は、受託者が当該損害を賠償しなければならない。
5 受託者は、再委託先を変更し、または新たに再委託先を追加する場合、当該変更または追加の◯日前までに発注者に書面で通知し、発注者の書面による事前承諾を得なければならない。
6 受託者が第1項または第5項に違反して無断で再委託を行った場合、発注者は書面による通知をもって本契約を解除することができる。
この改善例では、包括承諾制(別紙リスト方式)により運用の利便性を確保しつつ、義務の連鎖(第3項)・連帯的責任(第4項)・変更時の手続き(第5項)・違反の効果(第6項)を一体として規定している。第2項の「合理的な理由なき拒絶禁止」は受託者側の要求を取り込んだもので、双方のバランスを取る設計になっている。
【パターン④】重要業務のみ承諾制の条項例
第◯条(再委託)
1 受託者は、本業務のうち別紙【承諾対象業務一覧】に定める業務(以下「重要業務」という)を第三者に再委託する場合は、あらかじめ発注者の書面による事前承諾を得なければならない。
2 受託者は、重要業務以外の業務を第三者に再委託する場合は、再委託先の名称および業務内容を発注者に書面で通知するものとする。
3 (以下、義務連鎖・責任条項は前記と同様)
再委託先の変更通知義務——設計と運用の実際
再委託先は固定ではなく、契約期間中に変更・追加・削除が生じるのが通常である。この「変更」をどのように管理するかが、実務上の運用の質を左右する。
海外再委託・クラウドサービス利用との関係
海外再委託の特有リスク
再委託先が日本国外に所在する場合(または再委託先が国外のサーバーでデータを処理する場合)、追加的なリスクと規制上の検討が必要になる。個人情報保護法の観点では、個人データが外国にある第三者に提供される場合、個人情報保護法28条に基づく本人同意の取得や、適切な体制を整備した国・事業者への提供として整理できるかの検討が必要となる。なお、個人情報保護委員会の規則等で定める体制整備(十分な個人情報保護水準の確認・契約による担保等)を満たす場合は同条の「外国にある第三者への提供」の例外として扱われる余地があるが、実務上は慎重な確認が必要である。
また、外国為替及び外国貿易法(外為法)の輸出管理規制との関係にも注意が必要な場合がある。技術情報や設計情報が規制対象の「技術」に該当し、それを外国法人の再委託先に提供することが「技術の輸出」(役務取引)に該当するケースがありうる。とくに2022年以降の外為法改正強化により、「居住者であっても外国の強い影響下にある者」への技術提供が規制の対象に加わっている点は、エネルギー・インフラ・防衛関連案件では見落とせない論点である。
再委託先がフリーランス・中小企業の場合——下請法・フリーランス保護法との交差
本記事の主軸は民法・個人情報保護法・秘密保持・契約責任であるが、受託者が個人事業主(フリーランス)や小規模事業者に再委託する場合には別の法規制が交差する。受託者が「親事業者」として下請法の適用を受ける場合、再委託先への発注方法・代金支払等に制約が生じる。また2024年施行の「フリーランス・事業者間取引適正化等に関する法律」(フリーランス保護法)は、特定受託事業者(フリーランス)への業務委託に関して書面交付義務・報酬支払期日・禁止行為等を定める。発注者側の視点としては、「再委託先がこれらの法令を遵守しているか」自体も、コンプライアンスリスクの連鎖として認識しておく必要がある。
(1)個人データの処理が生じるか、生じる場合は個人情報保護法28条との整合性 (2)外為法上の輸出規制(技術の提供)の対象となる情報が含まれないか (3)再委託先の所在国で自国の法令が優先適用される場面(政府のデータアクセス権限等)がないか (4)秘密保持の執行可能性(外国企業相手の訴訟・仲裁のコスト・実効性)
クラウドサービス利用と再委託条項の交差
ここで前提として押さえておきたいのは、「再委託」と「ツール・インフラの利用」は概念的に異なる、という点である。再委託とは、本来受託者が自ら行うべき業務そのものを第三者に委ねることを指す。一方、業務を遂行するための手段としてクラウドサービス(IaaS・PaaS・SaaS等)を利用することは、業務の委託そのものではなく、受託者の業務遂行の補助的手段の活用にすぎない。この区分を条項に明示しておかないと、通常のSaaS利用のたびに発注者の承諾が必要かどうかをめぐって不毛な解釈論が生じる。
受託者が業務遂行上、AWS・Google Cloud・Microsoft Azureなどのクラウドサービスを利用する場合、「クラウドサービス利用は再委託にあたるか」という解釈問題が生じることがある。個人情報保護委員会ガイドライン(通則編)では、クラウドサービス事業者が「個人データを取り扱わないこととなっている場合」(アクセス不可能な暗号化等の措置がある場合など)は、第三者提供にも委託にも該当しないと整理されている。一方、クラウド事業者が個人データにアクセス可能な状態で処理する場合は委託に該当し、監督義務が生じる。さらに2026年の実務では、OS・ミドルウェア層の管理責任がどちらにあるか(責任共有モデル)を意識した取り決めも求められる傾向にある。
契約実務上は、「本条における再委託には、業務の補助的手段として利用するクラウドサービス(IaaS・PaaS・SaaSを含む)の利用は含まない。ただし、受託者は当該クラウドサービスにおける個人情報の管理について個人情報保護法に従い適切に対処する」などの除外・注釈条項を設けることで、通常のSaaS利用が逐一承諾対象にならないよう整理しておくことが現実的である。
再委託条項のレビューチェックリスト
以下のチェックリストを、契約レビューの際に活用してほしい。発注者・受託者いずれの立場でも共通して確認すべき事項を網羅している。
- 再委託に関する条項が存在するか(存在しない場合は追加交渉が必要)
- 再々委託(再委託先のさらなる外注)についても同様の義務・手続きを要する旨が明記されているか
- 再委託の承諾方式が明確か(全面事前承諾制・包括承諾制・重要業務のみ承諾制のいずれか)
- 承諾の方式(書面)が明確に規定されているか
- 再委託先に対する秘密保持義務の連鎖が明記されているか
- 個人データを処理する場合、個人情報保護法上の監督義務と連動した条項があるか
- 品質管理・業務水準の連鎖が明記されているか
- 再委託先の行為について受託者が発注者に対し直接責任を負う旨が明記されているか
- 再委託先の変更・追加時の通知または承諾義務が規定されているか
- 再委託先リスト(別紙)の整備と定期更新のルールがあるか
- 無断再委託の効果(解除権・損害賠償)が明確に定められているか
- 海外再委託の可否と、海外再委託時の追加的規制対応義務が規定されているか
- クラウドサービス等の補助的ツール利用が再委託の定義から除外されているか(または処理方針が明確か)
- 発注者の承諾が合理的な理由なく拒絶された場合の処理が規定されているか(受託者側視点)
発注者・受託者別の追加確認事項
- 再委託先への立入調査権・監査権を留保しているか
- 再委託先との秘密保持契約の写しを提出させる権利があるか
- 再委託先の倒産・廃業等の場合の業務継続措置が規定されているか
- 再委託禁止の絶対的範囲(全部再委託の禁止など)が明確か
- 承諾の応答期間が定められているか(無応答は承諾とみなされるか)
- 緊急時の事後通知が認められているか
- 既存の再委託先が別紙に列記されているか
- 再委託先に対する求償権が適切に確保されているか
実務で動く——交渉時の具体的アクション
発注者として対応する場合
発注者として再委託条項を設計または修正する際のポイントは、まず「この業務にとって再委託が現実的に発生するか」を見極めることである。IT開発・コールセンター・翻訳・調査業務などは再委託が常態的に発生しうる。これらの業務では包括承諾制+定期更新の仕組みを採用したうえで、個人情報処理・機密業務については別途事前承諾を求める二段構えが実用的である。
相手方から「承諾の合理的理由なき拒絶禁止」条項を求められた場合、これは必ずしも不当ではない。ただし、「合理的理由の例示」(情報管理体制の不備、過去のインシデント、競合関係等)を明記することで、発注者側の判断権限を実質的に確保しておくことができる。
受託者として対応する場合
受託者として交渉に臨む場合、現時点の外注先リストを契約締結前に整備し、初回から包括承諾を得る形を提案するのが実務上のベストプラクティスである。「全件事前承諾制」を求められた場合は、運用コストと遅延リスクを具体的に示しながら、業務内容に応じた分類(重要業務のみ承諾・それ以外は通知)を対案として提示する。
また、受託者は自社の再委託先との間の契約においても、本契約の義務連鎖を適切に反映させることを忘れがちである。再委託先から同等の秘密保持・品質保証・賠償責任の担保を取り付けておかなければ、発注者から損害賠償を受けた際の求償が困難になる。
📦 契約書レビューAIプロンプト集10STEP
再委託条項・秘密保持・損害賠償・知財帰属まで、業務委託契約の主要論点を網羅した実務プロンプト集。
優先順位の判断・修正案の生成・交渉文案の作成まで、レビュー全工程をAIで一気通貫に進められます。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
一次整理/マスキング/論点チェック/運用引継ぎ/稟議一枚化まで、
個別課題から少しずつ軽くしていく入口です。
