【クラウド法務】SIEM運用委託の「目的外利用（学習利用）禁止条項」でトラブルになりやすい3つのポイント— Sentinel / SIEM に集約したログを「委託先のAI学習に使われない」状態にするための契約・責任範囲 —

導入：監視は回っている。でも「そのログ、学習に使われてない？」が説明できない

SIEM（Microsoft Sentinel 等）の運用をMSSP／MSPに委託すると、24/365監視や一次切り分けが現実的になります。技術的には、ログ転送・検知ルール・インシデント管理が回り始めれば「動いている」ように見えます。ただ、全国の情シス・セキュリティ担当の方から相談を受けていると、次の不安が必ず出てきます。

「委託先の約款に“サービス改善・機械学習”と書いてあるが、どこまで許容していい？」「ログに個人データや機密が混ざる。目的外利用（学習利用）があると監査・取引先説明が怖い」「委託先変更・解約時に、学習利用されたか／データが残っていないか確認できない」

本記事では、**「SIEM運用委託 目的外利用（学習利用） 禁止条項」**という視点から、現場で起きがちな落とし穴と、実務で使える整理の型をご紹介します。

1. SIEM運用委託で現場が実際に組んでいる構成（技術の“事実整理”）

まず「技術として何が起きているか」を揃えます。目的外利用（学習利用）の論点は、法律以前に “どのデータが、どこに集まり、誰が触れるか” が曖昧だと整理できません。

1-1. 典型構成（テキスト簡易アーキテクチャ）

• ログ発生源

  • Entra ID：Sign-in / Audit / PIM昇格・ロール変更

  • Azure：Activity Log / 診断ログ（Key Vault / Storage / SQL / NSG / WAF 等）

  • M365：監査ログ（Purview）、メール・ファイル操作・共有の痕跡

  • EDR/NW：Defenderアラート、FW/WAF/Proxy/DNSログ

• 集約先

  • 自社テナントの Sentinel / Log Analytics に集約（委託先は運用者としてアクセス）

  • または 委託先のSIEM基盤へ転送（委託先側で保管・分析）

• 委託先がやること

  • アラート監視、一次判定、封じ込め提案、チケット運用

  • 検知ルール調整（相関ルール、アラート閾値）

  • インシデント報告書作成（タイムライン、原因推定、再発防止提案）

1-2. 「学習利用」が現場で起こり得るパターン（ここが盲点）

“学習利用”は、委託先が悪意を持っているという話ではなく、サービス提供側の標準運用として紛れ込みます。

• 検知精度向上のため、顧客ログを使って ルール・モデルを改善

• SOC品質向上のため、過去インシデントを教材にして 運用手順・ナレッジを蓄積

• さらに進むと、レポート作成やトリアージ支援で 生成AI（LLM） を使い、

  • その学習・評価・再学習に顧客データが混ざる余地が出る

ここまでは技術の話。

2. 全国の案件で見えてきた「目的外利用（学習利用）禁止条項」の落とし穴3選

① 約款に「サービス改善／機械学習」が入っていて、範囲が無限に広い

• 技術的にはOK：監視も分析も回り、委託先は「品質向上のため」と説明する

• 法務・監査的にはNGになりうる点

  • “サービス改善”が、運用改善なのか、統計なのか、モデル学習なのか曖昧

  • 「匿名化すればOK」とされていても、ログは再識別リスクが出やすい

  • 取引先・親会社から「学習利用していない根拠」を求められて説明不能になる

② 「生ログは顧客のもの」でも、派生データ・ナレッジ・学習済み成果物が委託先に残る

• 技術的にはOK：レポートは納品されるし、問い合わせにも答えてくれる

• 実務的にはNGになりうる点

  • 委託先側のケース管理（インシデントノート、相関結果、判断メモ）が“委託先の資産”扱い

  • 結果として、学習利用の有無の検証ができない／解約時に「残るもの」が曖昧

  • 「うちの事例が委託先の教材・テンプレ化に使われている」疑義が消えない

③ 再委託・海外SOC・ツール提供者に広がり、学習利用の統制が破綻する

• 技術的にはOK：24/365や多言語対応のため海外SOCや再委託が混ざる

• 契約・統制的にはNGになりうる点

  • 再委託先・海外拠点・利用ツール（チケット/生成AI/分析基盤）まで含めて禁止が及んでいない

  • 「委託先は禁止しているが、再委託先は例外」になってしまう

  • ログが個人データ・機密を含む場合、説明責任が一気に重くなる

3. SIEM運用委託の「目的外利用（学習利用）禁止条項」を作る整理フレーム3つ

技術構成を変える前に、最低限これを紙に落とすと、条項設計がブレません。

① “ログ”を分解して定義する（何を禁じるかを明確化）

禁止条項は「ログの目的外利用を禁止」と書くだけだと弱いです。最低限、次のように分解します。

• 顧客データ（生ログ）：認証ログ、監査ログ、操作ログ、アラート原文 等

• 派生データ：相関結果、スコアリング、タイムライン、ケース管理情報 等

• 運用成果物：月次レポート、インシデント報告書、対応記録、チケット履歴 等

• 学習利用の定義：例）機械学習・統計モデル・生成AI等の学習、再学習、微調整（fine-tuning）、評価データへの投入、ベンチマーク、類似事例集の構築 など

「何を禁じているのか」を定義できていると、委託先とも揉めにくいです。

② 目的限定＋禁止のセットで書く（“監視のための利用”だけ許す）

現実解はだいたい次の形になります。

• 許容：監視・分析・インシデント対応（契約業務の範囲）

• 禁止：目的外利用（学習利用、サービス改善目的の再利用、マーケティング、第三者提供）

• 例外：発注者の書面同意がある場合のみ（匿名化・再識別禁止など条件付き）

ポイントは、「監視の品質向上」という言葉で“学習利用”が入ってこないように、禁止対象を具体列挙することです。

③ 禁止条項を“実効化”する運用条項もセットで入れる

禁止だけ書いても、実務では検証できません。セットで入れると強いのは以下です。

• 再委託先にも同等の禁止義務（同等義務＋監督責任）

• 利用ツール（生成AI、外部分析基盤等）の扱い（持ち込み禁止／事前承認制）

• ログ提出義務・監査協力（学習利用していないことの説明可能性）

• 契約終了時の返却・削除・削除証明（“残っていない”を証明できる）

3.5 すぐ使える「目的外利用（学習利用）禁止条項」たたき台

※以下は一般的なたたき台です（実案件では、委託範囲、ログの所在、自社の規程、取引先要件に合わせて調整が必要です）。

条項案1：目的限定（業務目的以外の利用禁止）

• 文例

  • 「受託者は、発注者のログ等を、本業務の遂行（監視、分析、インシデント対応、報告）目的に限り利用するものとし、発注者の事前の書面同意なく、その他の目的で利用してはならない。」

条項案2：学習利用の禁止（定義を置く）

• 文例

  • 「受託者は、発注者のログ等を、機械学習、統計モデル、生成AI等の学習・再学習・微調整（fine-tuning）・評価データへの投入、ベンチマーク、類似事例集の作成その他これらに類する目的（以下『学習利用』）に使用してはならない。」

条項案3：派生データ・運用成果物の扱い（提出・移管・二次利用禁止）

• 文例

  • 「受託者がログ等を基に生成した派生データおよび運用成果物は、本業務の遂行および発注者への提出のためにのみ利用するものとし、受託者は、発注者の事前の書面同意なく、これらを学習利用その他の目的外利用に供してはならない。」

条項案4：匿名化しても目的外利用しない（“匿名化万能”を封じる）

• 文例

  • 「受託者は、ログ等を匿名化、仮名化、集計その他の加工をした場合であっても、発注者の書面同意なく、学習利用その他の目的外利用を行ってはならない。」

条項案5：再委託・海外SOC・ツール提供者への波及（同等義務）

• 文例

  • 「受託者は、発注者の事前承諾なく、ログ等を第三者に提供し、または再委託してはならない。承諾された再委託先についても、本条と同等の目的限定・学習利用禁止義務を負わせ、受託者はその履行を保証する。」

条項案6：生成AI等の利用制御（“使うなら事前合意”）

• 文例

  • 「受託者が本業務に生成AIその他の外部サービスを利用する場合、対象サービス、入力データ範囲、保管・学習の有無、再委託の有無を事前に明示し、発注者の書面承諾を得るものとする。」

条項案7：監査・説明可能性（提出義務＋協力義務）

• 文例

  • 「受託者は、発注者からの要請があった場合、学習利用その他の目的外利用を行っていないことを合理的に説明し得る資料（ログ提出記録、アクセス記録、設定情報等）を提出し、発注者の監査・照会に協力する。」

条項案8：契約終了時の削除・削除証明（“残っていない”を担保）

• 文例

  • 「契約終了時、受託者は、発注者の指示に従いログ等（派生データ、運用成果物を含む）を返却または消去し、消去完了を証明する資料を提出する。」

4. ケーススタディ：SaaS企業A社（売上120億、上場企業顧客多数）の場合

実際に当事務所でご相談を受けた事例の一つをご紹介します（業種等は匿名化しています）。

• 業種：BtoB SaaS

• 規模：売上約120億円、取引先に上場企業多数

• テーマ：Sentinel運用をMSSPに委託する際の「学習利用禁止条項」整備

課題の整理

• MSSPの標準約款に「サービス改善、分析、機械学習に利用する場合がある」と記載

• ログには個人識別子・端末情報・顧客データの操作痕跡が含まれ、取引先説明が不安

• 将来の委託先変更も見据え、派生データやインシデント記録が委託先側に残ることを問題視

当事務所の支援内容（抜粋）

• データフロー棚卸し（何がどこに溜まり、誰が触れるか）

• 「ログ／派生データ／運用成果物／学習利用」の定義を作成

• 目的限定＋学習利用禁止＋生成AI利用制御＋再委託同等義務＋削除証明を、委託契約条項に落とし込み

• 監査・取引先向けに「学習利用しない統制」の説明資料を整備

結果として

• 監査・取引先への説明が「委託先の約款次第」から脱却し、契約根拠で一貫した回答が可能に

• 将来の委託先変更時も、ログ・派生データの扱いが明確になり、ロックイン不安が低減

• 情シス・法務・営業の説明が揃い、「どこまで許していないか」を社内で共通言語化できた

5. 今すぐ確認できるチェックリスト（目的外利用・学習利用の統制）

• □ 委託契約に「目的限定（監視・分析・対応の範囲）」が明記されている

• □ 「学習利用」の定義があり、学習・再学習・微調整・評価利用まで含めて禁止できている

• □ 匿名化・集計しても目的外利用しない（または、例外条件が明確）

• □ 派生データ（相関結果・インシデントノート）と運用成果物の二次利用が禁止されている

• □ 生成AIや外部サービスの利用は「事前承諾制」になっている

• □ 再委託先・海外SOCにも同等の禁止義務が及ぶ（同等義務＋監督責任）

• □ 学習利用していないことを説明できるよう、提出義務・監査協力が条文化されている

• □ 契約終了時の返却・削除・削除証明（“残っていない”担保）がある

「すべて自信を持ってYESと言える企業」は、全国的に見てもまだ多くありません。

6. 全国からのご相談について

山崎行政書士事務所では、**Azure / Entra ID / M365 / SIEM（Sentinel等）の技術構成と、委託契約（目的外利用・学習利用禁止、ログ提出、越境、再委託、削除証明）をセットで整理する「クラウド法務支援」**を行っています。

• SIEM運用を外注したいが、標準約款の“サービス改善・機械学習”が不安

• 取引先・親会社・監査から「学習利用していない根拠」を求められて困っている

• 再委託・海外SOC・生成AI利用まで含めて、揉めない条項セットにしたい

といったお悩みがあれば、**オンライン（全国対応）**にて初回のご相談を承っております。

👉 ご相談フォームはこちら

👉 お問い合わせの際に、「SIEM運用委託 目的外利用（学習利用）禁止条項の記事を見た」 と書いていただけるとスムーズです。