API連携契約と謎の第三者

――山崎行政書士事務所事件簿

山崎行政書士事務所では、知らない名前が書類に出てくると、空気が変わる。

相続なら、知らない相続人。古物なら、知らない売主。クラウド契約なら、知らないサービス名。

その日の相談は、三つ目だった。

「契約書の中に、知らない会社がいるんです」

相談者の佐伯美緒は、静岡市内のアパレル会社「ミナト織物」の情報システム担当だった。

机の上には、SaaS導入契約書、利用規約、DPAらしき英文資料、API仕様書、セキュリティチェックシート、そして大量の付箋。

りなは付箋の量を見て言った。

「書類が悲鳴を上げていますね」

蓮斗はノートPCを開いた。

「契約書の中の知らない会社は、たいていAPIか再委託です」

陽翔は首をかしげた。

「APIって、友達紹介みたいなものですか？」

山崎所長は湯飲みを置いた。

「友達紹介？」

陽翔は真剣だった。

「AさんがBさんに“この人とつながると便利だよ”って紹介する感じで、SaaSが別サービスにデータを渡すんですよね？」

蓮斗は少し考えた。

「雑ですが、意外と近いです。ただし、紹介した友達が勝手に住所録をコピーしたら問題です」

りなが笑った。

「今日のテーマは、“友達紹介の同意書を読んだら、知らない親友がいた”ですね」

美緒は、笑いたいのに笑えない顔をした。

「導入予定のSaaSは、受注管理サービスです。ECサイト、在庫管理、配送システムと連携します。そこまでは理解しています。でも、API仕様書の最後に“North Bridge Sync”というサービスが出てくるんです。社内の誰も聞いていません」

しょうこなら赤ペンを握っただろう。悠真なら契約条項を時系列にしただろう。今日は、りなと蓮斗と陽翔の出番だった。

りなは契約書を開いた。

「まず、データフローを描きます。誰から、誰へ、何が、いつ、どの目的で流れるか」

蓮斗はAPI仕様書を見た。

「私は接続先IP、認証方式、トークンの権限、ログ、通信先ドメインを確認します」

陽翔はホワイトボードに大きく書いた。

API友達紹介図

りなが微笑んだ。

「その題名は最終版では使いません」

１　契約書の小さな影

導入予定のSaaSは「OrderNest」。

受注、返品、顧客対応、在庫引当、配送指示を一元管理できるサービスだった。

ミナト織物にとっては、大きな投資である。ECの注文が増え、紙とExcelでは限界になっていた。

契約書の表紙は、きれいだった。

利用者、ミナト織物。提供者、OrderNest株式会社。利用サービス、OrderNest Pro。保存データ、注文情報、顧客情報、配送情報、在庫情報。

だが、別紙三に小さくこうあった。

美緒はその一行を指した。

「“場合がある”って何ですか。うちは利用するんですか、しないんですか」

りなは静かに言った。

「そこを確認します。“場合がある”は、契約書の中で一番人を迷子にします」

別紙四には、さらに不穏な記載があった。

陽翔が言った。

「指定する第三者。知らない親友がもう一人いました」

山崎が頷いた。

「友達紹介が合コンになってきたね」

りなはホワイトボードに整理した。

OrderNest本体ECサイト在庫管理システム配送会社APINorth Bridge Sync障害対応ベンダー

「まず、North Bridge Syncが再委託なのか、第三者提供先なのか、単なる処理基盤なのか、あるいは個人データを取り扱わない技術的中継なのかを分けます」

美緒は不安そうに言った。

「そんなに違うんですか？」

「違います。契約条項も、本人への説明も、監督の考え方も、データ保護の責任分担も変わります」

蓮斗がAPI仕様書を見ながら言った。

「技術的にも違います。単なる通信中継ならデータを保存しないかもしれない。でも、変換処理やリトライキューを持っているなら、注文者名、住所、電話番号、メールアドレスが一時保存される可能性があります」

山崎が言った。

「郵便配達員なのか、預かり所なのか、名簿屋なのかを分けるわけだ」

りなは頷いた。

「はい。かなり近いです」

その時、事務所の複合機が突然動き出した。

排紙トレイから一枚の紙が出た。

美緒が青ざめた。

「えっ、何ですかこれ」

蓮斗が確認した。

「山崎先生の昨日のメモです。印刷予約が残っていました」

山崎は咳払いした。

「なかなか今日に合っているね」

りなは紙を手に取った。

「でも、本当にそうです。契約書で紹介されていない第三者は、事故が起きるまで沈黙します」

２　接続先IPは嘘をつかない

蓮斗は、OrderNest側から渡された接続設定資料を確認した。

APIエンドポイントは三つ。

api.ordernest.examplesync.northbridge.examplehooks.delivery-gate.example

接続先IPは、三つの範囲に分かれていた。

一つはOrderNest本体。一つはNorth Bridge Sync。もう一つは、配送会社APIのゲートウェイ。

認証方式は、OAuth 2.0。ただし、North Bridge Syncへの接続には、長期間有効なAPIキーも併用されていた。

蓮斗の顔が険しくなる。

「APIキーの有効期限が書かれていません」

美緒が聞いた。

「危ないんですか？」

「少なくとも、管理ルールが必要です。誰が発行するか、どこに保管するか、いつローテーションするか、漏えい時にどう無効化するか。OAuthのスコープも広すぎます」

陽翔が言った。

「スコープって、友達に見せていい範囲ですか？」

蓮斗は頷いた。

「そうです。“住所だけ見ていい友達”に、“通帳も日記も鍵も見ていい”権限を渡している状態です」

山崎が眉をひそめた。

「それは友達ではなく親戚でも怖いね」

ログを見ると、テスト環境で既にNorth Bridge Syncへ接続が行われていた。

送信された項目は、注文ID、氏名、住所、電話番号、配送希望日、購入商品、会員ID。

りなが低い声で言った。

「個人データが含まれます」

美緒の表情が固まった。

「本番前なのに？」

「テストデータですか？」

美緒は少し黙った。

「一部、本番に近いデータです。社内では“マスク済み”と聞いていました」

蓮斗はログを拡大した。

「電話番号の末尾四桁が残っています。住所も市区町村まで残っています。完全な匿名データとは言いにくいです」

りなはすぐにメモした。

テストデータの扱い確認。マスク範囲不十分。DPA上の対象データに含める。

陽翔が言った。

「友達紹介の練習に、本物の住所録を使ったんですね」

美緒は頭を抱えた。

「言い方は軽いのに、内容が重いです」

３　謎の第三者、会議に現れる

りなは、OrderNestの営業担当とオンライン会議を設定した。

画面に映ったのは、営業の黒川と、技術担当の芹沢だった。

りなは、まず穏やかに聞いた。

「North Bridge Syncは、貴社の社内機能ですか。それとも外部事業者のサービスですか」

黒川は一瞬だけ視線を泳がせた。

「外部の連携基盤です。ただ、当社サービスの一部として提供しています」

「会社名、所在地、役割、取り扱うデータ項目、保存期間を教えてください」

芹沢が答えた。

「North Bridge株式会社です。配送会社APIとの形式変換を行います。一時的にデータをキューに保持します。通常は二十四時間以内に削除されます」

美緒が驚いた。

「保存しているんですか？」

黒川は慌てた。

「一時的です。障害時の再送制御のためで、恒久保存ではありません」

りなは表情を変えなかった。

「それは重要な情報です。契約書には“通じて提供される場合がある”としか書かれていません。再委託なのか、第三者提供なのか、利用者側が判断できません」

芹沢は小さく言った。

「DPAの付属書に書いてあります」

りなはDPAを開いた。

付属書二、処理者一覧。

そこには、North Bridge株式会社の名前があった。

ただし、欄外に小さく。

陽翔が言った。

「オプション友達」

山崎が吹き出しそうになった。

りなは淡々と続けた。

「ミナト織物では、そのオプションを使いますか？」

芹沢は答えた。

「配送会社API連携を使う場合は、必ず使います」

会議室が静かになった。

美緒が低い声で言った。

「では、オプションではありません」

黒川は口を閉じた。

りなは、ホワイトボードに書いた。

optionalではなくmandatory

山崎が首をかしげる。

「必須友達？」

蓮斗が言った。

「それは友達ではなく、関係者です」

りなは続けた。

「障害時通知はどうなっていますか。North Bridge側で障害が起きた場合、ミナト織物へ何分以内に通知されますか」

芹沢は資料をめくった。

「OrderNestからの一次通知は、重大障害で二時間以内です。ただ、North Bridgeから当社への通知は四時間以内です」

陽翔が言った。

「下流から上流へ四時間、上流から利用者へ二時間。合計六時間？」

蓮斗は首を振った。

「最悪、そう見えます。しかも配送APIが止まると、出荷指示が遅れます」

りなが言った。

「SLAには、North Bridge障害時の扱いがありません」

黒川は言った。

「SaaS全体の稼働率には含まれます」

「配送API連携が落ちても、管理画面が開けば稼働扱いですか？」

黒川は黙った。

美緒は、初めてはっきり言った。

「それでは困ります。うちは管理画面を見るためではなく、受注を出荷につなぐために契約します」

その言葉で、会議の空気が変わった。

謎の第三者は、ようやく正面に現れた。

４　DPAの小さな空白

りなはDPAを読み込んだ。

DPA、Data Processing Agreement。データ処理契約。

そこには、処理目的、処理期間、データ項目、情報主体、処理者、再処理者、削除・返却、監査、事故通知が並んでいた。

ただし、肝心のところが薄かった。

North Bridgeの保存期間は「必要期間」。再委託先の変更通知は「合理的期間前」。事故通知は「不当な遅滞なく」。データ削除証跡は「要請があれば可能な範囲で」。APIキー管理は記載なし。障害時通知と個人データ事故通知の区別もない。

山崎がDPAを見て言った。

「文章は立派なのに、肝心なところでふわっとしていますね」

りなは頷いた。

「DPAは飾りではありません。誰が、何を、どこまで、どの期間、どう守るかを書くものです」

蓮斗は接続構成図を出した。

「技術側では、こう直したいです」

一、接続先IPとドメインを一覧化する。二、APIキーを長期固定にせず、有効期限とローテーションを設定する。三、OAuthスコープを最小化する。四、North Bridgeに送る項目を、配送に必要な範囲に絞る。五、テストデータは本番データを使わず、マスク基準を明確にする。六、ログに個人データを出しすぎない。七、障害時にどのAPIが止まったかを分けて通知する。八、接続停止手順を作る。

陽翔は、さらにホワイトボードへ書いた。

友達紹介ルール

りなが見た。

「その題名は、まだ残っていたんですね」

陽翔は読み上げた。

「紹介する前に名前を言う。住所録を渡す前に範囲を決める。困った時の連絡先を決める。勝手に別の友達へ紹介しない。秘密を漏らしたらすぐ知らせる」

山崎は拍手した。

「わかりやすい」

蓮斗も頷いた。

「API連携の説明として、かなり使えます」

美緒は、少し笑った。

「社内説明にそのまま使いたいです」

りなは微笑んだ。

「表題だけ変えましょう」

５　第三者は悪者ではなかった

翌日、OrderNest、North Bridge、ミナト織物、山崎事務所の四者会議が開かれた。

North Bridgeの担当者、赤堀は、最初から深く頭を下げた。

「当社が隠れていたわけではありません。ただ、OrderNest様のサービス内の基盤として説明されることが多く、利用者様への説明が十分でなかったことは認識しています」

美緒は言った。

「御社が悪者だと決めつけたいわけではありません。でも、データが流れるなら、名前を知りたいんです」

赤堀は頷いた。

「当然です」

蓮斗は接続ログを示した。

「御社に送られるデータ項目を、配送指示に必要な項目へ絞れますか」

赤堀は答えた。

「可能です。購入商品名は不要です。商品カテゴリと配送サイズだけで足ります。電話番号は配送会社要件により必要ですが、ログには残さない設定にできます」

りなはDPA付属書を修正した。

処理者、OrderNest。再処理者、North Bridge。利用目的、配送会社APIとのデータ形式変換および再送制御。データ項目、氏名、配送先住所、電話番号、配送希望日、注文ID、配送サイズ。保存期間、通常二十四時間以内、障害時最大七十二時間。削除証跡、月次レポートで提示。再委託先変更、三十日前通知。事故通知、個人データ漏えい等のおそれがある場合は速やかに一次通知。障害通知、配送API連携停止時は三十分以内に一次通知。SLA、管理画面稼働率と配送API連携稼働率を分けて表示。APIキー、有効期限、ローテーション、漏えい時無効化手順を定義。

陽翔が小声で言った。

「友達紹介状が、急に正式な戸籍みたいになりましたね」

山崎が言った。

「紹介から親戚づきあいへ進んだわけだ」

りなが首を振った。

「契約関係です」

美緒は、修正後の図を見た。

「これなら、社内にも説明できます。どこへ何が流れるのか、初めて見えました」

赤堀も言った。

「当社としても、こう書いていただける方が助かります。障害時に“誰が知らせるか”が曖昧だと、現場が迷いますので」

黒川は苦い顔で言った。

「営業資料では、シンプルに見せたかったんです」

りなは静かに答えた。

「シンプルにすることと、見えなくすることは違います」

会議室が、少しだけ静かになった。

それは責められた沈黙ではなく、全員が同じ問題を見た沈黙だった。

６　謎の第三者の正体

契約修正は、三日かかった。

その間、蓮斗はテスト環境の接続先を確認した。

不要なAPIは停止。North BridgeへのAPIキーは再発行。スコープは配送連携だけに限定。接続元IP制限を設定。ログの個人データ出力を削減。テストデータはダミーデータへ差し替え。障害時通知のWebhookは、ミナト織物の運用チャネルへ直接届くようになった。

ある日の夕方、Webhookテストが行われた。

画面に通知が出た。

美緒は、通知を見て大きく息を吐いた。

「怖くない通知って、あるんですね」

蓮斗は頷いた。

「何が起きて、何が起きていないかが分かる通知は、怖さを減らします」

りなは言った。

「契約も同じです。第三者の名前があるだけで怖いわけではありません。名前がないままデータが流れるのが怖いんです」

陽翔はホワイトボードに、最後の図を書いた。

ミナト織物。OrderNest。North Bridge。配送会社API。障害通知。DPA。SLA。データ削除証跡。

そして、その真ん中に小さくこう書いた。

紹介済みの第三者

山崎が笑った。

「謎の第三者が、紹介済みの第三者になりましたね」

美緒は初めて、安心したように笑った。

「はい。もう謎ではありません」

その時、事務所の複合機がまた動いた。

排紙された紙には、陽翔が作った社内説明用のタイトルが印刷されていた。

りなはそれを見て、少しだけ笑った。

「採用しましょう」

蓮斗が言った。

「ただし、技術資料の表紙ではなく、研修資料の表紙で」

陽翔は胸を張った。

「友達紹介理論、勝ちました」

山崎は湯飲みを持ち上げた。

「今日も、比喩が会社を救いましたね」

りなは首を振りながらも、笑っていた。

７　導入の日

一か月後、ミナト織物はOrderNestを正式導入した。

最初の注文が入った。

顧客情報はOrderNestへ。配送に必要な範囲だけがNorth Bridgeへ。配送会社APIへ指示。ログには必要最小限の識別子。障害通知はテスト済み。DPAとSLAは契約に添付済み。再委託先変更時の通知先も登録済み。

美緒から山崎事務所へ、短いメールが届いた。

山崎は読み上げて笑った。

「礼儀正しい友達。いい表現です」

蓮斗は真顔で言った。

「棚卸しは年一回では足りない場合があります」

りなも言った。

「API追加時、再委託先変更時、障害時、契約更新時にも確認ですね」

陽翔が言った。

「友達が増えたら、紹介名簿を更新」

山崎は頷いた。

「それなら、私にもわかる」

りなは、完成したチェックリストをファイルに綴じた。

API連携確認表

接続先名。会社名。所在地。役割。データ項目。保存期間。第三者提供か委託か再委託か。DPAの有無。SLA対象か。障害時通知。事故時通知。認証方式。IP制限。APIキー管理。ログ保存。契約終了時の削除。再委託先変更通知。

山崎はそれを見て、しみじみと言った。

「契約書に名前を書くというのは、怖がるためではなく、安心して付き合うためなんだね」

りなは頷いた。

「はい。見えない第三者を、見える関係者にする。それが今回の仕事でした」

蓮斗がノートPCを閉じた。

「APIは黙ってつながります。だから、人間が先に説明しておく必要があります」

陽翔は最後に、ホワイトボードへ一行を書いた。

知らない友達には、住所録を渡さない。

りなは赤ペンで下に書き足した。

渡すなら、目的・範囲・責任・連絡先を書く。

山崎行政書士事務所に、穏やかな笑い声が広がった。

謎の第三者は、悪者ではなかった。

悪かったのは、紹介されていなかったこと。データフローに名前がなかったこと。DPAに役割が薄く書かれていたこと。SLAが管理画面だけを見ていたこと。障害時通知が、誰から誰へ届くのか決まっていなかったこと。

API連携は便利だ。

でも、便利な橋ほど、どこへ渡る橋なのかを見なければならない。

その橋の向こうにいる第三者の名前を知ること。渡す荷物を決めること。落とした時の連絡先を決めること。そして、橋を使わなくなった時に閉じること。

それが、山崎行政書士事務所が見つけた、謎の第三者の本当の正体だった。

実務背景・確認日

確認日：2026年5月13日。

個人情報保護委員会FAQは、クラウドサービス利用が本人同意を要する第三者提供か、委託に当たるかについて、保存データに個人データが含まれるかではなく、クラウドサービス提供事業者が個人データを取り扱うこととなっているかを判断基準としています。契約条項で事業者が個人データを取り扱わず、適切にアクセス制御している場合には、個人データを提供したことにはならないとの考え方も示されています。作中でりなが「第三者提供か、委託か、単なる処理基盤か」を分けた背景です。

個人情報保護委員会FAQは、個人関連情報の提供について、提供先が個人データとして取得することが想定されるかどうかを判断する必要がある場面を説明しています。WebタグやAPI連携のように、相手が何を取得し、どう利用するかが問題になる場合、データフローと取得主体を確認することが重要です。作中の「APIで誰が何を取得するか」を確認する場面は、この実務背景を物語化したものです。

IPAの「中小企業のためのクラウドサービス安全利用の手引き」説明資料は、クラウドサービス選定・運用では「何に使うか、どんな情報を扱うか」「誰が使うのか、どう管理するか」「誰が責任を持つか」「データ保存先は何処の地域か」などを確認する観点を示しています。作中のデータフロー、責任分担、障害通知、ログ管理の洗い出しは、この観点をAPI連携契約に応用したものです。

経済産業省の「SaaS向けSLAガイドライン」は、SaaS型取引の紛争を未然に防ぐため、利用者と提供者が事前に合意すべき事項や望ましいサービスレベルの指針を示す目的で作成されています。作中で「管理画面の稼働率」と「配送API連携の稼働率」を分けて考えたのは、SaaS契約でサービスレベルを具体的な業務影響に合わせて定める必要があるためです。