TMI総合法律事務所では、「令和8年改正個人情報保護法研究」と題し、改正法に関するブログ記事を連載しています。本連載の記事一覧については、下記のページをご覧ください。

令和8年改正個人情報保護法研究
https://www.tmi.gr.jp/eyes/blog/2026/18287.html

《第8回》委託に関する規律の見直し

今回は、改正の四つの柱のうち、「リスクに適切に対応した規律」に含まれる委託に関する規律の新設を解説します。改正法案全体の概要については、「《第1回》改正法案の概要と実務上の着眼点 」をご覧ください。

第1．改正の背景と意義

現行法においては、個人データの取扱いを委託する場合には、委託元による委託先の監督を通じて、個人データの適正な取扱いを確保することを基本的な考え方としています。もっとも、近年では、デジタル技術の進展等に伴い、個人データの取扱いについて実質的に第三者へ依存する場面が拡大するとともに、委託元による監督が十分に機能せず、委託先が委託された業務の範囲を超えて個人データを独自に利用する事案も生じている旨の指摘がなされていました。

このような状況を踏まえ、改正法は、委託先による独自利用を防止する観点から、委託先自身に一定の義務を直接課す一方、取扱いの方法を決定しない受託者については、一定の要件の下で個人情報取扱事業者としての義務を原則として免除することとしました。

第2．法律案の概要・検討

1. 受託者である個人情報取扱事業者の義務の明記

(1)　概要

改正法案は、他の個人情報取扱事業者又は行政機関等から個人情報の取扱いの全部又は一部の委託を受けた個人情報取扱事業者に対し、法令に基づく場合等を除き、その取扱いを委託された個人情報（当該個人情報取扱事業者において個人関連情報となるものを除きます。）を、当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨を明記しました（改正法案30条の3）。 

(2)　検討

ア　現行法における委託の考え方
現行法では、個人データの取扱いを委託する場合には、「利用目的の達成に必要な範囲内」における委託であることを前提として、委託に伴う個人データの提供は第三者提供に当たらないものとされています。

これは、委託先は本人との関係では委託元と一体のものとして取り扱われることに合理性があるためであり、その前提として、委託先は委託された業務以外に個人データを利用することはできないと解されています。

個人情報保護委員会の通則編ガイドラインも、「委託先は、委託された業務以外に個人データを取り扱うことはできない」としており、委託先による取扱いは委託業務の範囲内に限られることを前提としています。

したがって、委託先が受託した個人データを自己のために利用することは、現行法上も許容されないものと解されていました。

イ　本改正の意義
もっとも、委託先における取扱いの範囲は、委託元に対する規制から導かれる解釈であり、委託先自身に対する直接の義務として条文上明記されていたものではありませんでした。

そのため、委託先が委託業務の範囲を超えて個人情報を利用した場合には、委託元による監督義務違反及び委託の範囲外での提供への該当性が問題となる一方で、委託先自身に対する直接の義務違反としてどのような規律が適用されるかは必ずしも明確ではありませんでした。

今回の改正は、この点を踏まえ、従前の解釈を基本的に維持しつつ、委託先に対し、委託業務の遂行に必要な範囲を超えた取扱いを禁止する義務を直接課した点に意義があります。すなわち、委託先による独自利用を、委託元を介した間接的な規律ではなく、委託先自身の法的義務として位置付け直したものと評価することができます。

ウ　「委託を受けた業務の遂行に必要な範囲」 について
本条は、他の個人情報取扱事業者等から個人情報の取扱いの全部又は一部の委託を受けた事業者は、法令に基づく場合等を除くほか、その取扱いを委託された個人情報（当該事業者において個人関連情報となるものを除きます。）を、当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の規律となります。

このうち、「委託を受けた業務の遂行に必要な範囲」に具体的にどのような行為が含まれるかについては、今後実務上問題となるものと考えられます。

すなわち、現行法の委託規制に関連して積み上げられてきた様々な議論（いわゆる「混ぜるな危険」問題やクラウド例外など）が本条を解釈する際にも妥当するのか、妥当するとしてその解釈が完全に一致するのかという点が問題になり得ます。基本的には、改正法においても従前の解釈は妥当するものと考えられますが、その解釈が完全に一致するのかは必ずしも明らかではない場面も存在するように思われます。具体的には、委託の範囲外となる場合でも本人の同意によってその違法性が治癒されるかという点は必ずしも明らかではないと思われます（例えば、いわゆる「混ぜるな危険」問題への対応として、外部事業者に対する委託と整理した上で、委託先である当該外部事業者において本人の同意を取得する方法を採用している場合（個情委Q&A7-41）、従前の解釈を踏襲すれば、本人の同意を取得することで違法性は生じないことになると考えられる一方、法文上は「委託を受けた業務の遂行に必要な範囲」を超えてしまうようにも思われます。）。
そのため、「委託を受けた業務の遂行に必要な範囲」の具体的な解釈については、今後公表される個人情報保護委員会規則やガイドライン等による具体化が期待されます。

2. 委託先自らは取扱いの方法を決定しない場合の委託先の個人情報取扱事業者等としての義務の免除

(1)　概要

現行法では、個人データの委託先についても、個人情報取扱事業者として、個人情報保護法第四章第二節に規定されている個人情報取扱事業者等の義務（現行法17条～40条）、仮名加工情報取扱事業者等の義務（現行法41条及び42条）及び匿名加工情報取扱事業者等の義務（現行法43条～46条）を負っています。もっとも、改正案58条の2においては、委託契約において下記①～③の事項について定めており、かつ、個人情報等の取扱いが委託を受けた業務の遂行に必要な範囲内において下記の①の範囲内で行われている場合は、当該委託先に対しては、法第4章の各義務規定の多くの適用を免除することとされています。

①    受託個人情報等の取扱いの方法として個人情報保護委員会規則で定める事項
②    受託個人情報取扱事業者等が、受託個人情報等について個人情報保護法26条1項に規定する事態が生じ、又は受託個人情報等が当該委託を受けた業務の遂行に必要な範囲を超え、若しくは上記①に掲げる事項に係る契約の定めに違反して取り扱われたことを知ったときは、速やかに、委託者に対してその旨を報告すること。
③    その他個人情報保護委員会規則で定める事項

改正案58条の2によって適用除外となる規定については以下のとおりです。安全管理措置を講じる義務や漏えい等の報告義務（現行法23条～26条）及び委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない旨の義務（改正案30条の3）については改正案58条2による適用除外の対象となっていないため、委託先においても引き続きこれらの義務規定が適用されることになります。

(2)　検討

ア　対象となる委託業務
「個人情報保護法等の一部を改正する法律案について（令和8年4月）」12頁においては、委託先の個人情報取扱事業者としての義務が免除されるのは、「委託先自らは取扱いの方法を決定しないケース」とされており、具体例としては「委託先が委託元から指示された方法で機械的に個人データ等を取り扱うのみの場合（委託先がデータ入力作業を委託され、委託元の指示に従って機械的に入力作業を行う場合等）。」が挙げられていました。もっとも、改正案58条の2においては、対象となる委託提供の場面を限定するような規定はありません。改正案58条の2第1号は「受託個人情報等の取扱いの方法として個人情報保護委員会規則で定める事項」としているため、個人情報保護委員会規則による明確化が期待されますが、どのような場合が改正案58条の2の対象となるかは、今後注視していく必要があります。

イ　改正案58条の2が適用されない場合の委託先の義務
委託元と委託先との間で改正案58条の2に規定する適切な条項が組み込まれた委託契約を締結していない場合や、当該委託契約に定められた条項に違反している場合には、改正案58条の2は適用されず、委託先において法第4章の定める義務は免除されないことになります。この場合、従前委託先において独自に遵守することはかならずしも必要ないと理解されていたについて、委託先も適用を受けることになるかどうかは、現時点で明確ではありません。例えば、利用目的の通知・公表義務（現行法21条）は、委託元において遵守していれば、委託先において別途実施する必要はないと理解されてきました。今後、改正法58条の2の適用を受けない場合には、委託先において独自に遵守する必要があるのかについて、ガイドライン等によって明確化されることが期待されます。

ウ　第三者提供に関する規定の免除
改正案58条の2が適用される場合、委託先において法第4章の多くの義務が免除されますが、前述の表のとおり、免除される義務の中には、個人データの第三者提供（現行法27条）及び個人データの外国第三者提供（現行法28条）の規定も含まれています。
この点、例えば以下のような個情委Q&A12-16の事例について、現行法上の整理であれば委託先Bが法28条3項の義務を課されることになっています。

もっとも、改正案58条の2が適用される場合には、委託先Bから法28条3項の義務も免除されることになります。この場合、法28条3項の義務は実質的に委託元Aが遵守すべき委託先の監督義務を通じて間接的に遵守されることになるのか、又は、委託先Bが無断で国外の再委託先Cに提供を行う場合には、委託先Bの何らかの義務違反（例えば、委託を受けた業務の遂行に必要な範囲外として改正法30条の3違反）となるのか、現状は明らかではありません。

今後、規則、ガイドライン及び個情委Q＆Aによって解釈が明確化されることと思われますが、このように委託先に課される義務が免除されることに伴って生じる問題がないか、整理が必要であると考えます。

第3.　実務への影響と残された課題

1. 受託者である個人情報取扱事業者の義務の新設

本改正は、委託先に新たな義務を創設するものではあるものの、その内容は従前の委託に関する解釈を大きく変更するものではなく、これまで解釈により導かれていたルールを委託先自身の義務として明文化した側面が強いものと考えられます。

もっとも、今後は委託先自身が法令上の義務主体となることから、受託した個人情報の利用目的や利用範囲について、従来以上に契約内容や社内ルールを明確化することが重要となります。

2. 委託先自らは取扱いの方法を決定しない場合の委託先の個人情報取扱事業者等としての義務の免除

前述のとおり、委託先は改正案58条の2の要件を満たすことによって法第4章の多くの義務が免除されることになります。委託先としては、契約で改正案が要求する取決めを行い、それを遵守した場合には法令上の義務が一部免除されることになるため、契約雛形や利用規約に各種取決めをあらかじめ入れておくことが考えられます。

委託元においては、第58条の2によって委託先の一部義務が免除された場合であっても、従来どおり委託先監督義務を負うため、委託先を選定し、契約を締結し、取扱状況を把握する実務負担がなくなるわけではなく、従来どおり、適切な委託先監督プロセスを運用する必要があります。