再委託

能力と信頼性を審査して選んだはずの受注者が、業務をそっくり別の業者に回してしまえば、何のために業者を選定したのかが分からなくなる。再委託をめぐる契約上の統制は、この「選んだ相手に履行させる」という委託契約の前提を守るためにある。自治体の委託契約では再委託を原則禁止とし、行う場合は相手方・範囲・理由を示して発注者の書面による事前承諾を得ることを条件とするのが通例である。承諾を得たとしても受注者の責任は消えず、再委託先の履行についても発注者に対して責任を負い続ける。個人情報や機密情報を扱う業務では、再委託先にも同等の安全管理措置を課し、事故時の報告義務まで契約に書き込む。クラウドサービスのように再委託先の利用が構造的に避けられない契約では、どの事業者がどこで情報を扱うかを把握できるよう、再委託先まで含めた監督体制を契約上明記する。

原則禁止と事前承諾

自治体の委託契約では、再委託を契約書で原則禁止とし、行うには発注者の書面による事前承諾を要するのが通例である。業者の能力・信頼性を審査して選定した相手が、無断で別の業者に業務を丸投げすれば、選定の前提が崩れ、契約の履行責任や情報管理の所在が曖昧になるためである。承諾を求める際は、再委託の相手方・範囲・理由を明らかにし、発注者は再委託先の適格性や、個人情報・機密情報を扱う業務であれば安全管理措置の引継ぎを確認したうえで諾否を判断する。承諾を得ても、受注者は再委託先の履行についても発注者に対して責任を負い続ける点が重要であり、再委託先のさらなる委託（再々委託）まで含めて監督義務が及ぶ。

個人情報・機密を扱う業務での統制

住民情報システムの運用やデータ入力など、個人情報や機密情報を扱う業務の再委託では、統制がいっそう厳格になる。委託契約に安全管理措置・守秘義務・再委託の制限と事前承認・事故時の報告義務を盛り込み、再委託先にも同等の措置を課すことを条件とするのが一般的である。クラウドサービスのように再委託先（データセンター事業者等）の利用が構造的に避けられない場合は、再委託先まで含めた監督体制を契約上明記し、どの事業者がどこで情報を取り扱うかを把握できるようにする。プライバシーマークやISMSの認証を受けた事業者であっても、契約上の再委託制限や委託先管理の取り決めを省いてよいことにはならない。