SaaSにおける再委託とクラウド利用をどう整理するか

SaaSを提供する以上、クラウドインフラ、監視ツール、サポートツール、外部APIなど、外部事業者の利用はほぼ避けられません。もっとも、顧客データ、とりわけ個人情報を扱うSaaSでは、「どこまでが単なるインフラ利用で、どこからが再委託なのか」を曖昧なままにしておくと、契約・説明・営業のすべてで問題が起きやすくなります。日本法でも、外部事業者が実際に個人データを取り扱うかどうかによって、第三者提供、委託、安全管理措置、外国第三者提供の整理が変わります。[注1][注2]

本記事では、SaaS事業者の視点から、再委託とクラウド利用をどのように整理すべきかを実務的に解説します。

結論｜再委託は避けられないが、「隠す」のではなく「管理して説明する」べき

SaaSにおいて外部事業者の利用自体は珍しいことではありません。問題になるのは、外部事業者を使うことそのものではなく、誰が顧客データを実際に取り扱うのか、その範囲と条件が契約・説明上整理されているかです。

とりわけ個人データについては、

• 外部事業者が実際に個人データを取り扱うのか
• 委託として整理できるのか
• 海外事業者の利用があるのか
• 再委託先をどこまで管理・開示するのか

が重要になります。再委託を避けること自体よりも、実態に即して契約と説明を整えることが重要です。[注1][注2]

そもそも再委託とは何か

SaaS実務でいう再委託とは、ベンダーが自ら引き受けたサービス提供の一部を、さらに外部事業者に担わせることです。

典型例としては、次のようなものがあります。

• クラウドインフラ
• 外部API
• 障害監視ツール
• カスタマーサポート委託
• データ分析基盤
• 保守・運用委託先

もっとも、実務上は「外部事業者を使っている＝必ず再委託」と単純には言えません。重要なのは、その外部事業者が実際に顧客データを見たり、処理したりできるかです。[注1]

SaaSでよくある外部利用をどう見るか

クラウドインフラ

まず押さえるべきなのは、クラウド利用は一律に「再委託」ではないということです。PPCは、クラウド事業者が契約上・設計上、保存された個人データを取り扱わないこととなっている場合には、本人同意が必要な第三者提供にも、法25条の委託先監督義務が問題となる委託にも当たらないと整理しています。これは、いわゆる「クラウド例外」として実務上重要な整理です。[注1]

ここでいう「適切なアクセス制御」は、単に契約上「見ません」と書いてあるだけでは足りず、クラウド事業者側が当該データに通常アクセスしない設計や権限管理になっていることが重要です。さらに、クラウド例外に当たる場合でも、利用事業者には自らの安全管理措置の一環として適切な措置を講じる必要があります。[注1][注2]

外部API

外部APIは、クラウドインフラよりも再委託性が強く見られやすい領域です。入力データがAPI先で解析・生成・変換されるのであれば、単なる保管ではなく、外部事業者による処理が行われているからです。

特に、生成AIや解析APIを使う場合には、少なくとも次の点を整理しておく必要があります。

• どのデータが送信され得るのか
• API先で保存されるのか
• 学習利用があるのか
• 再委託があるのか
• 海外移転があるのか

ここが曖昧だと、契約上は「委託」のつもりでも、実態としては顧客から見て不透明な処理になりやすく、導入審査で止まりやすくなります。[注1][注4]

監視・保守・サポートツール

監視ツールやサポート委託先も、顧客データへのアクセス権限があるかどうかで整理が変わります。アクセスできない設計であればインフラ利用に近いですが、障害解析やサポート対応のために実データへアクセスできるなら、実務上は再委託先として扱う方が安全です。ここでも大事なのは、ツールの名称ではなく、その外部事業者が実際に個人データを取り扱える状態かどうかです。[注1]

顧客の承諾をどう考えるか

日本法上、個人データの取扱いの委託に伴う提供は、法27条5項1号により、法27条1項の第三者提供には該当しません。したがって、委託として整理できる限り、本人同意が必要な第三者提供の問題には直ちになりません。[注3]

ただし、ここが実務上の最大の争点です。「委託」と整理されるためには、委託元の利用目的の範囲内でのみ取り扱われることが必要であり、委託先が自己の目的で利用するなら、もはや単なる委託とは言いにくくなります。PPCも、委託先が委託元から受けた個人データを、自社のために統計情報に加工して利用することは、委託された業務の範囲外であればできないとしています。[注4]

つまり、法27条5項1号は「委託なら何でもよい」というルールではありません。顧客のための処理にとどまるのか、ベンダー自身のための利用に踏み込んでいるのかが、委託と第三者提供・目的外利用を分ける重要な線引きになります。[注4][注5]

再委託先をどう開示・管理するか

再委託を適切に管理するためには、少なくとも次の三点を整理しておくと実務が安定します。

1．再委託先の一覧を把握する

顧客データに触れ得る外部事業者を、社内で一覧化しておくことが必要です。インフラ、API、監視、保守、サポートなどを機能ごとに整理すると、後の説明や契約対応がしやすくなります。

2．追加・変更時のルールを決める

再委託先が追加・変更された場合に、

• 顧客へ通知するのか
• 事前承諾が必要なのか
• 一定期間内の異議申立てを認めるのか

といったルールを決めておくべきです。

3．再委託先に同等義務を課す

再委託先にも、少なくとも

• 守秘義務
• 安全管理措置
• 返却・削除
• 事故発生時の通知協力

など、元の契約と同等水準の義務を課す必要があります。

日本法でも、委託元は委託先に対し、契約に安全管理措置や取扱状況把握の方法を盛り込み、定期的な監査等により実施状況を把握することが重要とされています。再委託がある場合も同様です。[注6]

海外ベンダー・海外サーバー利用で何が問題になるか

ここは日本企業向けSaaSで特に重要です。日本法では、外国にある第三者への個人データの提供には法28条の規律がかかります。

ただし、実務で混乱しやすいのは、「クラウド例外」と法28条の関係です。PPCは、外国にある事業者が運営するサーバにデータを保存する場合でも、その事業者が契約上・設計上、当該個人データを取り扱わないこととなっているなら、そもそも外国にある第三者への提供には当たりません。この場合、法28条の問題も直ちには生じません。[注7]

他方で、外部クラウド事業者やAPI先が実際に個人データを処理するなら、もはや単なるクラウド例外では済まず、委託・再委託や、場合によっては法28条の整理が必要になります。

要するに、「海外サーバーだから直ちに法28条」ではなく、「外部事業者が実際に個人データを取り扱うかどうか」が先に問われるということです。[注1][注7]

利用規約・個別契約・DPAのどこに何を書くべきか

なお、本記事でいうDPAとは、データ処理契約、すなわち個人データの取扱いに特化した契約を指します。

役割分担としては、次の整理が分かりやすいです。

利用規約

全顧客共通の基本ルールとして、

• 外部事業者利用があり得ること
• 一般的なデータ取扱い方針
• 顧客の禁止行為

などを書く。

個別契約

顧客ごとの条件調整として、

• 通知期限
• 監査対応
• 特定ベンダーの利用可否
• 保存場所
• 優先順位条項

など、個別に交渉される事項を書く。

DPA（データ処理契約）

個人データ処理の専用ルールとして、

• 処理目的
• 再委託
• 守秘
• 安全管理措置
• 返却・削除
• 侵害時対応

などを書く。実務上は、利用規約だけで済ませるのではなく、個人データに関してはDPAやそれに準じる条項で詳細を定める方が安全です。[注6]

実務でありがちな誤解

誤解１：クラウドを使っているだけなら説明不要

誤りです。クラウドが必ず再委託とは限らなくても、顧客から見れば、どの外部事業者がどこまで関与するのかは重要です。説明しなくてよい、とはなりません。[注1]

誤解２：再委託先が多いとそれだけで違法

これも誤りです。問題は数ではなく、管理・契約・説明ができているかです。法27条5項1号で委託として整理できても、委託元の監督義務は残ります。[注3][注6]

誤解３：顧客の承諾さえあれば自由に使える

これも危険です。承諾があっても、委託先が自己の目的で利用すれば、そもそも委託の範囲を外れます。また、再委託先に同等義務を課していない、越境移転の整理がない、といった場合も運用としては脆弱です。[注4][注5]

まとめ｜再委託は「隠す」のではなく「管理して説明する」

SaaSにおける再委託やクラウド利用は、避けるよりも整理することが重要です。とくに個人データを扱うSaaSでは、

• 誰がデータを実際に取り扱うのか
• その外部事業者はどこにいるのか
• 契約上どうコントロールしているのか

を明確にしておくことが、法務・営業の両面で効いてきます。

一言でいえば、再委託は問題そのものではなく、管理されていない再委託が問題です。

特に、顧客から再委託先一覧の開示を求められた、生成AI APIの組み込みを検討している、海外クラウドの利用範囲を改めて整理したい、といった局面では、サービス構造と契約・運用の両面から整理することをおすすめします。

外部APIや海外クラウドを含めた再委託の整理、利用規約・DPA（データ処理契約）・プライバシーポリシーの見直しが必要な場合は、お気軽にご相談ください。

---

脚注

[注1] 個人情報保護委員会 Q&A Q7-53
「個人情報取扱事業者が、個人データを含む電子データを取り扱う情報システムに関して、クラウドサービス契約のように外部の事業者を活用している場合…」
クラウド利用が第三者提供・委託に当たるかどうかの基本整理。

[注2] 個人情報保護委員会 Q&A Q7-54
「クラウドサービスの利用が、法第27条の『提供』に該当しない場合…」
クラウド例外でも利用事業者には安全管理措置が必要であることの整理。

[注3] 個人情報保護法27条5項1号／個人情報保護委員会 Q&A
委託に伴う提供は、法27条1項の第三者提供に該当しないという整理。

[注4] 個人情報保護委員会 Q&A Q7-38
「委託先が自社のために統計情報に加工した上で利用することはできますか」
委託先が委託業務の範囲外で自社利用することはできないという整理。

[注5] 個人情報保護委員会 Q&A Q7-42
「新たな項目を付加して又は内容を修正して委託元に戻すことはできますか」
委託先が独自データを付加・修正する場合の追加対応の整理。

[注6] 個人情報保護委員会
「委託先管理に関する着眼点」
委託先管理における契約、監査、取扱状況把握等の実務上の着眼点。

[注7] 個人情報保護委員会 Q&A Q10-25、Q12-3
外国クラウド利用時の外的環境の把握、および外国サーバ保存と法28条の関係に関する整理。