【クラウド法務】再委託・海外SOCが絡むときに、契約で必ず決めておくべきことSIEM運用委託／越境（海外SOC）／ログ提出義務――「見てもらっている」だけでは説明責任は成立しない

※本記事は一般的な情報提供であり、個別案件の法的助言ではありません。実際の要件は、データ種別・業界要件・委託範囲・国/地域により変わります。

────────────────────────────

はじめに

────────────────────────────

SOCやSIEM運用を委託すると、24/7監視や一次切り分けが回り始めて、現場の負担は確実に軽くなります。ところが「再委託（下請け）」や「海外SOC（国外アナリスト）」が関与する形になると、監査や取引先から聞かれる質問が急に変わります。

「誰がログにアクセスできるのか」「国外にログが出ていないか」「事故時に何営業日で証跡を提出できるのか」「目的外利用（学習利用）はないか」――。ここで契約が“ふわっと”していると、技術は動いているのに説明が通らなくなり、事故対応の初動も遅れます。

本記事では、再委託・海外SOCが絡むときに、契約で必ず決めておくべきポイントを実務目線で整理します。

────────────────────────────

技術構成の“事実整理”：海外SOCが絡むと、何が増えるのか

────────────────────────────

まず「何が増えるのか」を、技術の言葉で整理します。再委託・海外SOCが入ると、増えるのは“人手”だけではありません。

典型的な全体像（テキスト図）

【ログ発生源（Azure / M365 / Endpoint / NW機器）】

・Entra ID サインイン／監査

・M365 監査ログ

・Azure Activity Log／リソースログ

・FW/WAF/NSG などのログ

・端末EDRログ

　↓（転送）

【ログ基盤（SIEM / データレイク）】

・保管場所（クラウド／オンプレ／混在）

・検索／検知ルール（ユースケース）

　↓（運用）

【SOC（一次請け）】

・24/7監視、トリアージ、エスカレーション

　↓（再委託・海外SOCが入る場合）

【下請けSOC / 海外アナリスト / 海外拠点】

・分析、調査、レポート作成

・場合によりチューニング作業

　↓

【自社（情シス／CSIRT／法務／広報／経営）】

・封じ込め（アカウント停止、通信遮断 等）

・復旧（戻し、再設定、再発防止）

・対外説明（取引先、監査、親会社）

ここで増えるのは次の3点です。

アクセス主体（誰がログに触れるか）が増える

データの所在（どこに保管・複製されるか）が増える

責任の主語（誰が期限内に何を出すか）が増える

（ここまでは技術の話。ここからが契約・説明責任の話です。）

再委託・海外SOCが絡むと、監査や取引先は「設定」より先に、委託管理（体制）と証跡提出能力を見に来ます。

だからこそ、契約で“必ず決めておくべきこと”が増えます。

────────────────────────────

2. よくある“契約の地雷”3選（再委託・海外SOCで燃えるポイント）

────────────────────────────

再委託・海外SOCが絡む案件で、特に燃えやすい地雷を3つに絞ります。

────────────────────────────

地雷①：再委託の実態が見えず「誰がアクセスできるか」説明できない

────────────────────────────

技術的には、SOCが監視してくれている。

しかし契約上、

・再委託の範囲（どの業務を、誰に、どこで）

・国外関与の有無（どの国/地域か）

・アクセスできる人物の統制（個人特定、権限、ログ）

が曖昧だと、取引先・親会社の質問に詰まります。

「海外SOCは使っていません（たぶん）」

「再委託はあると思います（詳細は確認中）」

この時点で、統制として弱く見えます。

────────────────────────────

地雷②：ログ提出・保全が“協力する”止まりで、事故時に材料が揃わない

────────────────────────────

契約本文に「協力」「必要な情報提供」と書いてあっても、実務は動きません。

事故や照会で必要なのは、

・提出期限（何営業日以内）

・提出形式（どの項目・どの時刻基準・マスキング要否）

・保全（削除停止・隔離・抽出者記録）

・費用（別料金にならない条件）

です。ここが決まっていないと「出せない」「遅い」「有償」で説明が崩れます。

────────────────────────────

地雷③：目的外利用（学習利用）・ログの所有権・削除が曖昧で“説明できない”

────────────────────────────

ログは証跡である一方、データです。

目的外利用（例：分析改善・学習利用の扱い）、第三者提供、契約終了後の保持・削除が曖昧だと、取引先からの信頼を落とします。

「ログはSOCが持っている」「詳細は委託先次第」になった瞬間、説明責任は軽くなりません。

────────────────────────────

3. 再委託・海外SOCが絡むとき、契約で必ず決めておくべき「12項目」

────────────────────────────

ここからが本題です。

「入れておくと良い」ではなく、入れていないと説明が破綻しやすい項目を、契約（本文＋別紙SOW）で決める観点で整理します。

※どれを本文に入れるか／別紙に入れるかは案件次第ですが、実務ではSOW（作業範囲・品質の定義）に落とすほど強いです。

────────────────────────────

（1）再委託の定義と範囲

────────────────────────────

決めるべきこと

・再委託に該当する行為（分析、保管、運用、開発、チューニング等）

・対象業務の範囲（監視のみ／調査まで／ルール調整まで等）

・再委託先の類型（下請け、海外拠点、グループ会社等）

ポイント

「再委託は認める」だけだと弱いです。何が再委託に当たるかを明文化します。

────────────────────────────

（2）再委託の手続：事前承認か、事前通知＋異議権か

────────────────────────────

決めるべきこと

・再委託を行う前の手続（原則事前書面承認／一定要件は事前通知＋異議申立）

・変更時の通知期限（例：〇日前）

・異議を出した場合の代替（再委託先変更／国内限定／解除権など）

ポイント

「リストはあります」ではなく、更新時に必ず知らせる仕組みにします。

────────────────────────────

（3）監督責任：一次請けが“最終責任”を負うこと

────────────────────────────

決めるべきこと

・再委託先の行為について一次請けが責任を負う（監督責任・履行担保）

・再委託しても義務が減らない（提出・保全・通知・守秘など）

実務で効く一文（趣旨）

「受託者は再委託先の行為について自己の行為と同等の責任を負う」

これがないと、事故時に「下請けが…」で話が止まります。

────────────────────────────

（4）再委託先にも同等義務を“貫通”させる

────────────────────────────

決めるべきこと

・守秘、目的外利用禁止、第三者提供禁止

・ログ提出・保全協力、監査対応協力

・特権アクセス統制（個人特定、期限、操作ログ）

・契約終了時の削除・返還

ポイント

一次請けだけの約束では足りません。下流（再委託先）まで同等義務が及ぶ条項が必要です。

────────────────────────────

（5）データの範囲：ログに何が含まれるか（個人情報・機密情報の切り分け）

────────────────────────────

決めるべきこと

・対象データ（認証ログ、管理操作ログ、メール/ファイル監査ログ、端末ログ等）

・含みうる機密（ユーザーID、IP、端末名、メール件名、URL、ファイル名等）

・データ最小化（必要最小限の収集・マスキング方針）

ポイント

「ログ」と一言で括ると危険です。説明責任は“ログの中身”に引っ張られます。

────────────────────────────

（6）越境・国外関与：保管場所／処理場所／アクセス場所を明示する

────────────────────────────

決めるべきこと

・保管（保存）される国・地域

・処理（分析）される国・地域

・アクセス（リモート分析）される国・地域

・変更時の通知と承認

ポイント

「データは国内に保管」でも、海外からアクセスされるなら実質は“国外関与あり”として説明が必要になります。ここを契約で見える化します。

────────────────────────────

（7）アクセス統制：海外SOCが触るなら“個人特定＋最小権限＋証跡”を必須化

────────────────────────────

決めるべきこと

・共有アカウント禁止（原則個人アカウント）

・多要素認証、期限付き権限（常設を避ける）

・操作ログ（誰が、いつ、何をしたか）

・退職・異動時の即時剥奪、剥奪証明

・特権操作の承認フロー（PIM相当の考え方）

ポイント

「海外SOCが入る＝危険」ではありません。統制が設計されていない海外SOCが危険です。

────────────────────────────

（8）目的外利用（学習利用を含む）禁止：ログは“証跡”であり“素材”ではない

────────────────────────────

決めるべきこと

・目的の限定（監視・分析・報告に必要な範囲）

・目的外利用の禁止（研究、モデル学習、マーケ用途、他社事例への転用等）

・統計化・匿名化して使う場合の条件（使うなら明確に）

ポイント

「改善のために使う」などの曖昧表現は、取引先の審査で刺さりやすいです。やる・やらないを決めるのが契約です。

────────────────────────────

（9）ログの所有・管理権、提出権限：誰が“出せる”のかを固定する

────────────────────────────

決めるべきこと

・ログの管理主体（顧客が主体、委託先は取り扱い者 等の整理）

・取引先/監査へ提出する際の手続（承認、マスキング、提出窓口）

・委託先が第三者へ直接提出しない（勝手に出さない）

・提出に必要な情報（メタデータ、検知根拠、相関分析結果 等）の扱い

ポイント

事故時に「SOCに聞かないと出ない」状態だと、説明責任の速度が落ちます。

────────────────────────────

（10）ログ保持期間・削除・返還・契約終了時の出口

────────────────────────────

決めるべきこと

・保持期間（標準、延長、規制・契約要件に合わせる）

・契約終了時の返還範囲（ログ、検知ルール、レポート、チケット履歴）

・削除のタイミングと削除証明（証明の形式）

・引継ぎ期間（移行サポート、並行稼働）

ポイント

「終了したら消します」だけでは弱いです。何を返し、何を消し、どう証明するかまで決めます。

────────────────────────────

（11）保全（リーガルホールド相当）：削除停止と証跡保全の義務

────────────────────────────

決めるべきこと

・保全要求が来た際の削除停止義務

・保全対象（期間、ログ種別、関連チケット等）

・抽出者記録（いつ誰が取得したか）

・保全中のアクセス制限（閲覧者を絞る）

ポイント

監査や紛争対応では「ちゃんと保全されているか」が問われます。SOCがいても、保全設計がなければ説明はできません。

────────────────────────────

（12）インシデント対応：通知・提出・協力を“期限付き義務”として固定する

────────────────────────────

決めるべきこと

・インシデントの定義（何を重大とするか）

・一次通知の期限（検知から何分以内）と通知内容（最低項目）

・エスカレーション基準（Severity）

・ログ提出期限（何営業日以内）

・原因分析レポート（いつまでに、どの粒度）

・調査協力（必要な情報提供、会議参加）

・費用（標準範囲と追加費用の境界）

ポイント

「協力します」ではなく「期限内に、これを、これだけ、出す」を決めることで、事故時の説明責任が成立します。

────────────────────────────

4. すぐ使える“条項の書き方”例（短いサンプル）

────────────────────────────

※このままコピペして使う前提ではなく、社内・委託範囲に合わせて調整するための“型”です。

（A）再委託の手続（趣旨例）

「受託者は、委託業務の全部または一部を再委託しようとするときは、事前に再委託先、再委託の範囲、実施場所（国・地域を含む）を通知し、委託者の書面承認を得るものとする。」

（B）監督責任（趣旨例）

「受託者は、再委託先の行為について自己の行為と同等の責任を負い、本契約に定める義務が再委託により減免されないことを保証する。」

（C）目的外利用（学習利用を含む）禁止（趣旨例）

「受託者および再委託先は、委託データ（ログ等）を、本契約に定めるサービス提供の目的以外に利用してはならない。統計化・匿名化を含む目的外利用を行う場合は、事前に委託者の書面承認を得るものとする。」

（D）ログ提出義務（趣旨例）

「委託者から合理的な範囲でログ提出の要請があった場合、受託者は、要請受領後〇営業日以内に、合意した形式で当該ログおよび関連情報を提出する。」

（E）保全（リーガルホールド相当）（趣旨例）

「委託者から保全要請があった場合、受託者は当該データの削除・上書きを停止し、保全範囲・期間に従い保全を実施する。保全の実施状況および抽出者記録等の証跡を委託者に提供する。」

────────────────────────────

5. ケーススタディ（匿名化）：海外SOCが“後から発覚”して説明が止まった例

────────────────────────────

（実務で起きがちな構図を匿名化して紹介します）

背景

・Azure/M365のログをSIEMへ集約し、SOCへ24/7監視を委託

・契約レビューは終わっており「監視体制あり」として運用開始

起きたこと

・取引先審査で「海外からログにアクセスしますか？」と質問

・社内は「保管は国内です」と回答しようとしたが、SOCの運用体制に海外拠点・再委託が含まれることが判明

・再委託先の範囲、アクセス統制、目的外利用、ログ提出期限が契約上あいまいで、回答が遅延

・結果として「体制が説明できない」と評価されそうになった

立て直しでやったこと（方向性）

・再委託の範囲と国外関与（保管／処理／アクセス）を契約で明文化

・一次請けの監督責任と同等義務の貫通を固定

・ログ提出期限・形式・保全協力をSOWに落とした

・目的外利用（学習利用）禁止を明確化

・特権アクセス統制（個人特定、期限、操作ログ）を必須化

結果

・「海外が絡む＝NG」ではなく、「海外が絡んでも統制が説明できる」状態へ寄せられ、審査回答が安定した

という流れです。

────────────────────────────

6. 自社で確認するときのチェックリスト（再委託・海外SOC対応）

────────────────────────────

□ 再委託の範囲（何が再委託か）が定義されている

□ 再委託の手続（事前承認／通知＋異議権）が契約で固定されている

□ 再委託先一覧（国・地域含む）を最新化して提供する義務がある

□ 一次請けが再委託先の行為について最終責任を負う条項がある

□ 再委託先にも守秘・目的外利用禁止・提出/保全協力が貫通している

□ ログの保管／処理／アクセスの国・地域が説明できる

□ アクセスは個人特定され、最小権限・期限付き・操作ログが取れる

□ 目的外利用（学習利用）禁止が明確（やるなら条件が明確）

□ ログ提出義務（期限・形式・範囲・費用）がSOWで決まっている

□ 事故時の保全（削除停止・隔離・抽出者記録）が義務化されている

□ 契約終了時の出口（返還・削除・削除証明・引継ぎ）が決まっている

□ 取引先照会に対して「誰が何営業日以内に何を出すか」社内で一貫して言える

────────────────────────────

7. 全国からのご相談について

────────────────────────────

山崎行政書士事務所では、Azure/M365等のクラウド運用において、

SOC／SIEM運用委託を含む「再委託・海外SOC（越境）を前提とした契約・規程・監査対応」の整理支援を行っています。

・再委託（国外）を含む体制を、取引先・監査に説明できる形にしたい

・SOW（別紙）に、一次通知・ログ提出義務・保全協力・特権アクセス統制を落としたい

・目的外利用（学習利用）禁止やログの取扱い（所有・削除・出口）を明確にしたい

・“レイヤー”ではなく“タスク別RACI”で責任分界を1枚にしたい

といったお悩みがあれば、オンライン（全国対応）でご相談を承っております。

お問い合わせの際に「再委託・海外SOCの記事を見た」と書いていただけるとスムーズです。