お問い合わせ
0120-855-995
LINEで相談外部との契約に必須のセキュリティ条項:機密保持・業務委託・システム開発リスクを最小化するルール設定
2025年12月03日
情報セキュリティのリスクは、自社内部だけでなく、業務委託先、システム開発パートナー、クラウドサービスプロバイダーなど、外部の協力会社から生じることも少なくありません。
自社で一定のセキュリティ体制を構築していても、委託先で情報漏えいが起きれば、その影響や責任が自社に及ぶ可能性があります。
こうしたリスクを管理し、自社の情報セキュリティポリシーに基づいたセキュリティ要件を外部にも守ってもらうために必要なのが、各種契約におけるセキュリティ条項です。
本コラムでは、
- 機密保持契約(NDA)
- 業務委託契約
- システム開発契約
という3つの主要な契約タイプについて、具体的な必須セキュリティ条項と、その設定のポイントを解説します。
外部セキュリティ管理の基本原則:ポリシーに基づく義務化
外部との契約でセキュリティを確保するための基本は、自社の情報セキュリティポリシーで定めた「対策基準」を、契約を通じて相手方にも守ってもらうことです。
委託先のセキュリティレベルを「統一」する
すべての委託先に対して、最低限守るべきセキュリティレベルを求めます。具体的には、次のような事項が含まれます。
- アクセス権限の制限
- 情報の取扱担当者の特定
- 物理的な管理(書類の施錠、入退室管理 など)
- 技術的な管理(ウイルス対策、不正アクセス防止 など)
契約書と「覚書・別紙」の使い分け
セキュリティ要件は、契約書本文にすべて盛り込むのではなく、詳細な内容を 「情報セキュリティに関する覚書」や「別紙」として添付する方法が一般的です。
これにより、契約書本体を過度に複雑にせずに、技術的・専門的な要件を網羅的に定めることができます。
契約タイプ別:必須セキュリティ条項のポイント
機密保持契約(NDA)におけるセキュリティ
機密保持契約におけるセキュリティ条項は、秘密情報の受領者に対し、情報を適切に管理することを義務付けるものです。
必須条項のポイント
利用目的の限定
提供された情報を、契約書に定めた目的以外には利用しないことを明記します。
複製の制限
秘密情報を複製する場合の条件や、複製物の管理方法を定め、適切な管理を義務付けます。
アクセス制限
情報へのアクセスを、その情報が必要な最小限の役員・従業員に限定することを求めます。
返却・廃棄義務
契約終了時や情報が不要になった際には、情報(原本・複製物を含む)を速やかに返却、または復元できない形で廃棄することを義務付けます。
業務委託契約におけるセキュリティ条項
顧客情報や個人情報など、重要な情報資産の処理を外部に委託する場合、業務委託契約におけるセキュリティ条項は非常に重要です。
必須条項のポイント
セキュリティ管理体制
委託先に情報セキュリティ責任者の選任を求め、自社と同等以上の管理体制を構築することを義務付けます。
再委託の制限・許可
原則として再委託を禁止するか、再委託を認める場合でも、自社の事前承諾と、自社と同等のセキュリティ義務を再委託先にも課すことを求めます。
ログの取得と報告
委託先のシステムにおけるアクセスログや操作ログを取得・保管させ、必要に応じて報告を求める条項を設けます。
情報漏えい時の対応義務
インシデント発生時の報告義務(例:発生から24時間以内)、調査への協力義務、損害賠償の範囲などを明確に定めます。
システム開発契約におけるセキュリティ条項
システム開発を外部に委託する場合は、開発工程全体を通じてセキュリティを確保するための条項が重要になります。
必須条項のポイント
開発規約の遵守
自社が指定するセキュリティ要件(セキュアコーディングガイドライン、開発環境のアクセス管理等)を遵守することを義務付けます。
納品物の脆弱性排除
納品されるシステムに脆弱性が含まれていないこと(開発過程でのセキュリティテストの実施など)を保証させます。
納品後に脆弱性が発見された場合の無償修正義務についても明記します。
開発環境の管理
開発で利用するPC・サーバー、テストデータ等に適切なアクセス制御や暗号化などの対策を講じることを義務付けます。
知的財産権と情報漏えいへの配慮
開発過程で知り得た技術情報やノウハウ等について、守秘義務を強化する条項を設けます。
実効性を高めるための運用上のポイント
セキュリティ条項を契約書に盛り込むだけでなく、実際に運用されているかを確認するプロセスも重要です。
セキュリティチェックリストの活用と監査
契約締結後も、委託先が約束通りのセキュリティ対策を行っているか確認します。
事前チェック
契約締結前に、企業向けのセキュリティチェックリストなどを用いて、委託先の現状のセキュリティレベルを評価します。
定期的監査権の明記
契約書に、自社または自社が指定する監査人が、委託先のセキュリティ体制や関連ログを監査できる権利を定めます。
これにより、委託先が継続的に対策を講じるインセンティブにもなります。
報告と記録の義務付け
委託先に対し、セキュリティに関する活動状況を定期的に報告することを求めます。
月次レポート
アクセス状況、セキュリティパッチの適用状況などを定期的に報告させます。
例外報告
不正アクセスやインシデントの未遂などが発生した場合、速やかに報告する手順と期限(例:「重大な事象は発生後○時間以内に報告」)を明記します。
よくある質問(FAQ)
Q:委託先から「そこまで厳しい条項は受け入れられない」と言われた場合は?
A:あらかじめ、譲れない必須項目と、交渉の余地がある推奨項目を分けておくことが大切です。
特に、インシデント発生時の「報告義務」と「責任範囲」は必須項目として位置付けるべきです。
必須項目が受け入れられない場合は、その業務委託自体を見直すか、委託先の保険加入状況などを確認し、自社のリスク許容範囲内かどうか慎重に判断する必要があります。
Q:契約書に「善良なる管理者の注意義務(善管注意義務)」と書いておけば十分ですか?
A:それだけでは不十分な場合があります。
「善管注意義務」は抽象的な概念のため、情報漏えいが発生した際に、具体的な対策の不備を立証しづらいことがあります。
そのため、契約には、「パスワードは12文字以上とする」「特定の暗号化技術を使用する」など、具体的な技術的・組織的な要件も併せて明記しておくことが望ましいです。
Q:業務委託先が個人情報を取り扱う場合、追加で必要なことは?
A:個人情報を取り扱う場合は、日本の個人情報保護法や、GDPR(EU一般データ保護規則)などの関連法令を踏まえ、次の点を契約に反映する必要があります。
安全管理措置
法令で求められる安全管理措置を講じることを明記する。
目的外利用の禁止
個人情報を契約目的以外に利用しないことを明確にする。
監督責任
委託先が個人情報の安全管理について、自社の監督を受けることを契約上明示する。
まとめ
機密保持契約におけるセキュリティ条項、業務委託契約のセキュリティ条項、システム開発契約のセキュリティ条項は、企業のセキュリティ体制を外部パートナーにまで広げるための重要な仕組みです。
自社のポリシーに基づき、外部に対してもセキュリティ要件を契約で義務付けることで、外部要因による情報漏えいリスクを大きく抑えることができます。
契約締結時の条項設計だけでなく、その後の継続的なチェックや監査もあわせて行い、外部連携におけるセキュリティの実効性を高めていきましょう。
※内容によってはご相談をお受けできない場合がありますので、ご了承ください。
