データの前処理を外部ベンダーに任せる、クラウドのAIサービスで分析する — AI活用では、個人データを自社の外で処理してもらう場面が頻繁にあります。このとき登場するのが個人情報保護法の「委託」です。第三者提供との違いと、委託元に残る監督責任がポイントです。
📖 ひと言でいうと
委託とは、個人データの取扱いの全部または一部を、外部の事業者に任せることです。利用目的の達成に必要な範囲内での委託であれば、委託先への個人データの提供は「第三者提供」に当たらず、本人の同意は不要とされています。その代わり、委託元には委託先を監督する責任が課されます。
例えるなら、大切な荷物の配送を運送会社に頼むようなものです。荷物を「あげた」わけではないので受取人の了解は要りませんが、頼んだ側にはきちんとした業者を選び、扱いを見届ける責任が残ります。
🖼 1枚でわかる委託
📘 公式テキストの説明
企業がAIサービスを利用する際、個人情報を含むデータを外部のAIサービス提供者に預けることが多い。この場合、データの取り扱いを外部に任せる行為は「委託」に該当する。個人情報保護法では、委託元の企業は委託先に対し、適切な監督を行う責任を負う。具体的には、委託先が個人情報を適切に管理し、法令を遵守しているかを確認する必要がある。また、委託先がさらに再委託を行う場合、その再委託先も含めて適切な管理体制が求められる。AIの活用が進む中で、データの取り扱いに関する透明性と信頼性を確保するため、委託に関する規定の理解と適切な運用が求められる。
短い説明ですが、「委託元は委託先に対し適切な監督を行う責任を負う」「再委託先も含めた管理体制」という2つの義務が核心です。データを預けたら終わりではなく、預けた側の責任が続く点を押さえましょう。
🔍 しっかり理解する
なぜ委託は本人同意なしで許されるのか
委託先は、委託元の利用目的を達成するための「手足」として、委託元の指示の範囲でデータを取り扱うにすぎません。データの使い道を自分で決める立場ではないため、法律上は「第三者」として扱わず、本人の同意なしに個人データを渡せる、という整理になっています。裏を返せば、委託先が預かったデータを自社の目的(例えば自社AIの学習)に使い始めたら、それはもはや委託の範囲を超え、第三者提供の問題になり得ます。
- 委託元の利用目的の達成に必要な範囲内
- 委託先は指示された処理のためだけにデータを扱う
- 本人の同意は不要/委託元に監督責任
- 提供先が自らの目的のためにデータを利用する
- 例: 提供先が自社モデルの学習データに使う
- 原則として本人の同意が必要
委託元の「適切な監督」とは
監督責任の内容は、一般に次の3点セットで説明されます。
- 適切な委託先の選定 — 安全管理の体制が十分な事業者を選ぶこと。
- 委託契約の締結 — 安全管理措置や再委託の条件、事故時の報告義務などを契約で定めること。
- 取扱状況の把握 — 委託後も報告を受けるなどして、委託先の取扱いを定期的に確認すること。
委託先で漏えいなどが起きた場合でも、監督を怠っていれば委託元の責任が問われ得ます。「任せた=責任も移った」とはならない点が重要です。この監督は、個人データについて事業者に求められる安全管理措置の一環として位置づけられており、社内の従業者に対する監督と並ぶ柱になっています。つまり、データを自分で扱うときも人に任せるときも、守るべき水準は変わらないという発想です。
再委託の連鎖にどう備えるか
AI開発の現場では、委託先がさらにアノテーション作業を別会社に出すなど、再委託が珍しくありません。個人情報保護法の考え方では、再委託先の取扱いについても、委託元は委託先を通じて適切な管理が及ぶようにすることが求められます。実務では、再委託には委託元の事前承認を必要とする条項を契約に入れるなどの方法が取られています。
💡 具体例で考える
小売企業が、顧客の購買履歴から需要予測AIを構築するため、データ分析会社にモデル開発を委託する場面を考えます。購買履歴(個人データ)を分析会社へ渡すことは、利用目的の達成に必要な範囲内の委託であれば本人同意なしに可能です。ただし小売企業側は、分析会社のセキュリティ体制を確認して選定し、データの利用範囲・返却/消去・再委託の条件を契約で定め、開発中も取扱状況を確認する、という監督を続ける必要があります。
もう一つの典型例はクラウド型AIサービスです。個人データを含む文書をサービスに入力して処理させる場合、公式テキストのとおり「データの取扱いを外部に任せる行為」として委託の枠組みで整理されることが多い一方、サービス提供者が入力データを自らのモデル学習に使う場合には第三者提供の論点に切り替わり得ます。契約や利用規約でデータの扱いを確認することが、両者を分ける実務上のカギになります。
⚠️ よくある誤解・紛らわしい用語
- 「委託には本人の同意が必要」は誤り — 利用目的の達成に必要な範囲内の委託は第三者提供に当たらず、同意は不要です。そのかわり監督責任が伴います。
- 「委託したら責任は委託先に移る」も誤り — 委託元には選定・契約・状況把握という監督義務が残り、怠れば委託元の責任が問われ得ます。
- 委託と第三者提供の分かれ目 — 目安は「誰の目的のためにデータを扱うか」です。委託先が自分の目的で使い始めたら委託の枠を超えます。
- 業務委託契約という契約類型との混同 — ここでの「委託」は個人データの取扱いを任せることに着目した個人情報保護法上の概念で、契約書の題名が何かで決まるものではありません。
📝 試験でのポイント
- 「利用目的の達成に必要な範囲内での委託は第三者提供に該当しない(同意不要)」という整理は、第三者提供とセットで問われやすい最重要ポイントです。
- 「委託元は委託先に対する適切な監督責任を負う」という文言の正誤判定が想定されます。「委託すれば責任を負わない」とする選択肢は誤りです。
- 再委託先も含めた管理体制が求められる点も、選択肢の細部で問われる可能性があります。
- AIサービスへのデータ入力が委託か第三者提供かは、提供者側のデータ利用のしかたに着目する、という判断軸を押さえておきましょう。
📚 まとめ
- 委託は、個人データの取扱いを外部に任せることで、利用目的の範囲内なら本人同意は不要です。
- そのかわり委託元には、選定・契約・状況把握という委託先への監督責任が課されます。
- 再委託が行われる場合は、再委託先まで含めた管理体制が求められます。
- 委託先が自らの目的でデータを使えば、第三者提供の問題に切り替わり得ます。
- AI開発・クラウドAI利用の場面で最も登場頻度の高い法律概念のひとつです。
