【新着】組織内での共有・無制限視聴OK!「情報セキュリティ研修」動画パッケージ販売中 >

委託先の情報漏えいで損害賠償は請求できる?企業が知っておくべき契約と責任

インシデント・事例

「業務を委託していた外部の業者が、自社の顧客データを流出させてしまった」

「委託先のセキュリティ不備による情報漏洩の損害は、相手方に全額請求できるのだろうか」

このように、外注先やパートナー企業といった「委託先」を起点とするインシデントに直面し、法的な責任や今後の対応に苦慮する経営者、総務・法務・情報システム担当者の方は少なくありません。

業務効率化のためにデータ入出力やシステム運用、マーケティング支援などを外部へ委託することは一般的ですが、同時にセキュリティリスクも連鎖(サプライチェーンリスク)します。

万が一、委託先がサイバー攻撃を受けたり、委託先の従業員がヒューマンエラーを起こしたりして自社の情報が漏洩した場合、発注元(自社)としての責任は免れるのでしょうか。

また、被った実害を委託先にどこまで補償させることができるのでしょうか。

本記事では、委託先で情報漏洩が発生した際に想定される法的な責任関係と、損害賠償請求を検討する上で鍵となる契約書のポイントについて解説します。

1. 委託先が漏洩を起こしても、発注元(自社)に責任が及ぶ理由

「実務を行っていたのは委託先なのだから、自社は被害者であり責任はない」

と考えたくなるかもしれませんが、法律上、そうとは言い切れない背景があります。

  • 個人情報保護法上の「委託先の監督義務」: 個人情報保護法第25条において、個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合、その個人データの安全管理が図られるよう、委託を受けた者に対する「必要かつ適切な監督」を行わなければならないと定められています。 そのため、委託先が漏洩を起こした場合、発注元企業が「適切な監督を怠っていた(監督不届き)」とみなされ、行政指導や社会的批判の対象が自社にも及ぶリスクが想定されます。
  • 顧客や消費者に対する「直接の契約責任」: 顧客から直接個人情報を預かっているのは自社であるため、委託先のミスであっても、顧客に対する安全管理の義務(債務不履行責任や不法行為責任など)の追及は、まず窓口である自社に対して向けられるケースが実務上多く見られます。

2. 委託先への損害賠償請求を検討する上で重要となる「契約書のポイント」

委託先に対して、発生したインシデントの費用(調査費、顧客へのお見舞金、弁護士費用など)を損害賠償として請求できるかどうか、またどこまで請求できるかは、両者間で事前に締結した「業務委託契約書」や「秘密保持契約(NDA)」の条項に大きく左右される傾向があります。

以下の項目がどのように規定されているかが焦点となります。

① 損害賠償の「制限(上限)条項」の有無

多くの業務委託契約書には、「損害賠償の額は、過去〇ヶ月分の委託料を上限とする」といった賠償額の制限条項が盛り込まれています。

この上限が設定されている場合、実際の漏洩被害額(数千万円規模)が委託料金(数十万円)を遥かに上回っていたとしても、契約上の制限によって実損額の全額を回収することが難しくなる恐れがあります。

ただし、委託先に「故意または重大な過失(重過失)」がある場合は、この上限設定を適用外とする特約が記載されているかどうかが重要な分かれ目となる場合があります。

② 損害の「範囲」の定義

何をもって「損害」とするかの定義です。

直接生じた損害(復旧費用など)だけでなく、顧客へ配布した「お見舞金(クオカード等)」や、事後調査のための「フォレンジック調査費用」、対応に追われた社内スタッフの人件費などが、賠償の対象に含まれるか(合理的な範囲内と認められるか)が実務上の争点となりがちです。

③ インシデント発生時の「通知・協力義務」

事故が起きた際、委託先が最速で自社に報告し、ログの開示や原因究明に協力することを義務付ける条項です。

この初動の協力が契約で義務付けられていないと、調査が難航し、被害が拡大する原因になり得ます。

3. 万が一の際に自社の財政破綻を防ぐ「実務的な防衛策」

委託先に対して法的な請求が通るとしても、相手側に賠償金を支払う十分な原資(財力)がなければ、最終的な損失は自社が被る形(共倒れ)になってしまいます。

そのため、事前の実務的な防衛が不可欠です。

  • 契約前の「セキュリティチェック(棚卸し)」の実施: 契約書を交わす前に、委託先がどのような安全管理措置を講じているか、プライバシーマークの有無や社内規則の整備状況をチェックシート等で定期的に監査する運用の仕組み化が必要です。
  • 自社での「サイバー保険」の備え: 委託先からの賠償回収が難航するリスクや、自社が一次対応で立替払いしなければならない巨額の初期費用に備え、自社側でも「サイバー保険」に加入しておくアプローチが極めて現実的です。多くのサイバー保険では、委託先起因の漏洩トラブルであっても、自社が負担した事故対応費用(調査費や謝罪費用など)が補償対象となるケースが見られます。

4. 委託先を含めたリスクを低減する「教育の重要性」

委託先の管理体制を厳しく縛るだけでなく、発注元である自社の従業員が「どのようなデータを、どのような経路で外部に渡しているのか」を正しく把握するリテラシーも同様に重要です。

  • 「サプライチェーンリスク」を学ぶ短時間研修動画の活用: 従業員に対して「外注先へのデータ受け渡しは慎重に」と通達するだけでは、重要性が浸透しにくい場合があります。 「委託先のセキュリティが破られた結果、自社がどのような連鎖被害を受け、法的・社会的な責任を追及されることになるのか」を具体的事例やアニメーションで分かりやすく解説した、短い動画教材を導入します。 定期的な研修を通じて従業員一人ひとりにリスク意識を持たせ、安全な委託運用の基準を社内に定着させておくことが、組織を守る上での強固な土台となります。

よくある質問(FAQ)

Q. 委託先がさらに別の業者へ業務を「再委託」していた先で漏洩が起きました。この場合の請求相手はどこになりますか?

A. 原則として、自社が直接契約を結んでいる「一次委託先」に対して、契約上の責任(管理・監督責任の不履行など)を追及していくケースが一般的と考えられます。

直接の契約関係がない再委託先(二次委託先など)に対して直接賠償を求めるのは、法的な構成が難しくなる場合があります。

トラブルを防ぐためにも、契約書において「再委託の際は事前に発注元の承諾を要する」という条項を明記しておく運用の徹底が強く推奨されます。

まとめ

委託先の情報漏えいにおける損害賠償の本質は、事後に相手を責めることではなく、契約と日頃の監督によって「自社のリスクをあらかじめコントロールしておくこと」にあります。

  • 委託先の漏洩であっても、発注元として監督責任や顧客への直接責任を問われるリスクがある
  • 賠償請求の可否や範囲は、契約書内の「賠償上限」や「重過失時の特約」の有無に大きく左右される可能性がある
  • 相手方の支払い能力リスクに備え、自社側でもサイバー保険等の防衛ラインを敷いておく

※具体的な契約書の文言チェックや、実際に発生したインシデントに関する損害賠償請求、法的な可否の判断については、自社だけで判断せず、必ず弁護士などの専門家へご相談ください。

情報セキュリティ研修をご検討中の方へ

当サイトでは、企業・自治体向けに以下のサービスをご提供しています。

  • 研修動画パッケージ(買い切り型)
  • 講師派遣による対面・オンライン研修
  • 社内啓発に活用できる無料「情報セキュリティ10箇条」ポスター

動画研修には、スライド一式・理解度確認テスト・研修実施報告書テンプレート・社内掲示用ポスターも付属しており、研修担当者の負担軽減にも役立ちます。

料金やカリキュラムの詳細は、[情報セキュリティ研修サービス一覧] をご覧ください。

タイトルとURLをコピーしました