BPO契約とは|業務委託の進め方・主要条文・委託先監督まで実務ガイド
Check!
- BPO契約は「契約締結プロセス→主要5条文→個人情報の委託→リスク管理→継続見直し」の5領域で体系化できる
- 2026年1月施行の取適法(旧下請法)で書面交付・支払期日のルールが変わった。発注側の遵守義務を確認
- 個人情報の委託では「監督義務」が委託元に残る。契約書だけでなく運用フェーズのモニタリング設計が必要
BPO(業務プロセスアウトソーシング)を発注するときに最初の壁になるのが「契約」です。業務範囲や成果物の定義、個人情報の取り扱い、再委託の可否、解除条件など、書き漏らすと後から取り返しがつきにくくなる項目が多数あります。さらに2026年1月には下請法が「中小受託取引適正化法(取適法)」に改正され、書面交付や支払期日のルールも変わりました。本記事では、BPOを発注する企業の実務担当者向けに、契約締結の標準プロセス/主要条文/個人情報の委託に関する条文/外部委託のリスク管理/契約期間と継続的な見直しの5領域を、個人情報保護委員会・厚生労働省・公正取引委員会・経済産業省のTier1出典に基づいて体系化します。BPOの全体像から確認したい方は、まずBPOとは何かの全体像を先に参照してください。
おすすめ記事
目次
開く
閉じる
開く
閉じる
BPO契約締結の標準的プロセス(RFI→RFP→契約交渉→締結)
BPO契約は、いきなり契約書を交わすのではなく、要件の整理から段階を踏むのが標準です。経済産業省と独立行政法人IPA(情報処理推進機構)が公表する「情報システム・モデル取引・契約書」では、サービス利用契約の標準的な流れとして、情報収集から要件定義、提案依頼、契約締結までの段階が示されています。BPOも同様の流れをたどることで、後工程でのトラブルを大きく減らせます。発注者の規模を問わず、最低限「①RFI(情報提供依頼)/②RFP(提案依頼)/③契約交渉/④契約締結・キックオフ」の4段階を意識することをおすすめします。
RFI(情報提供依頼書)の役割
RFI(Request for Information)は、候補となるBPOベンダーに対してサービス概要・実績・体制などの情報提供を依頼する段階です。発注側が「自社の課題を委託で解決できるか」を判断する材料を集める段階で、ベンダーごとの強みや得意領域を把握できます。個人事業主や小規模事業者はRFIを省略して直接見積を依頼するケースもありますが、複数候補がいるならRFIで足切りをすると以降の手間が減ります。
RFP(提案依頼書)と要件定義
RFP(Request for Proposal)は、自社の要件をまとめた文書をベンダーに提示し、具体的な提案と見積を求める段階です。BPO契約では、ここで定義する要件が後の契約条文に直結します。要件定義書には少なくとも「①対象業務の範囲(何を委託し、何は自社に残すか)/②求める成果物(月次レポート、処理件数など)/③品質基準(処理時間・エラー率・対応時間帯)/④個人情報や機密情報の取扱い/⑤契約期間と更新条件」を含めます。中堅大企業では、複数ベンダーから提案を取り寄せる相見積もり方式が一般的です。
契約交渉と意向確認書(LOI/MOU)
有力なベンダーが絞れたら契約交渉に入ります。長期・大型のBPO契約では、本契約締結前に意向確認書(LOI:Letter of Intent)や覚書(MOU:Memorandum of Understanding)を交わし、主要条件のすり合わせと並行して移行準備を進めることもあります。中小企業や個人事業主の場合は、いきなり業務委託基本契約を交わし、個別の業務内容は別紙で更新する方式が現実的です。なお交渉段階で「業務指示は誰が出すのか」「労務管理は誰が行うのか」をあいまいにしたまま進めると、後述する偽装請負のリスクが残ります。
契約締結とキックオフ
契約締結時は、書面(または電磁的方法)の交付が義務付けられる取引区分があります。後述する取適法(旧下請法)の対象取引に該当する場合は、給付内容・代金額・支払期日・支払方法などを直ちに明示する必要があります。締結後はキックオフミーティングで運用体制・連絡窓口・エスカレーションルートを共有し、移行計画に沿って段階的に業務を引き継ぎます。導入の効果やつまずきやすいポイントは、BPO導入の効果と課題もあわせて参照してください。
BPO契約の主要条文(業務範囲/成果物/SLA/知的財産/契約解除)
BPO契約書で必ず確認したい条文は、業務範囲・成果物の定義/SLA(サービス品質保証)/報酬・支払条件/知的財産権の帰属/契約解除と中途解約の5領域に整理できます。特に2026年1月に施行された取適法(中小受託取引適正化法、旧下請法)の対象取引では、書面交付や支払期日のルールが従来より厳格化されました。個人事業主からの発注も含めて発注側の遵守事項になる場合があり、契約書のひな型を見直す必要があります。
業務範囲と成果物の定義
「業務範囲」と「成果物」は、BPO契約の中で最もトラブルが起こりやすい条文です。あいまいな表現を残すと、追加発注時に「これは契約範囲内か」で揉めます。業務範囲は委託する業務と自社に残す業務を表で明示し、成果物は「月次の処理件数レポート」「日次の処理結果ファイル」のように具体的な物・件数・提出頻度で定義します。経理BPOなら「月次の仕訳件数」「決算スケジュールに対応した試算表の提出」、コールセンターBPOなら「応答率」「平均処理時間(AHT)」が成果物の指標になります。
SLA(サービス品質保証)の設計
SLA(Service Level Agreement)は、サービス品質の客観的な基準と、未達時の対応を定める条文です。BPOの場合は、業務領域ごとに指標が異なるため、自社にとって重要なKPIを選んで合意します。よく使われる指標には次のものがあります。
| 業務領域 | 主なSLA指標 | 測定方法の例 |
|---|---|---|
| コールセンターBPO | 応答率/平均処理時間/一次解決率 | 月次の通話ログ集計 |
| 経理BPO | 仕訳エラー率/月次決算の納期遵守率 | 月次レポート |
| バックオフィスBPO | 処理件数/処理時間/差し戻し率 | 業務管理システムのログ |
| 営業BPO | 架電件数/アポ獲得率/商談化率 | SFA・CRMの記録 |
未達時のペナルティ(報酬減額・改善計画の提出・契約解除権の発生など)も同時に定めます。ただし重すぎるペナルティは、ベンダーが受託を拒んだり、報酬に上乗せされたりするため、業務の重要度に応じてバランスを取ります。
報酬・支払条件(取適法の影響)
報酬の支払条件は、2026年1月に施行された取適法(中小受託取引適正化法、旧下請法)の影響を受けます。公正取引委員会・中小企業庁の解説によれば、対象取引では、給付内容・代金額・支払期日・支払方法などの事項を、書面または電磁的方法で直ちに明示する義務があります。また、支払期日までに代金満額相当の現金を得ることが困難な支払手段(手形等)の利用も制限されます。発注者側の規模要件(資本金や従業員数)にも改正が入っており、自社が取適法の「委託事業者」に該当するかを必ず確認してください。BPO契約は役務提供委託に該当することが多く、規模要件を満たすと取適法の適用対象になります。
知的財産権の帰属
BPOの過程で発生する成果物(業務マニュアル、業務改善提案書、独自のシステム設定など)の知的財産権の帰属は、契約書で明確にします。一般的なパターンは「①発注者に帰属」「②ベンダーに帰属し発注者は利用許諾を得る」「③個別合意」の3つです。例えば、ベンダーが独自に開発した汎用的な業務管理システムはベンダー帰属、発注者の業務に固有なマニュアルは発注者帰属、という整理がよく取られます。曖昧にしておくと、契約終了時に「自社で作ったマニュアルが手元に残らない」といったトラブルにつながります。
契約解除と中途解約
契約解除条項は、どんな状況で契約を終了できるかを定めます。一般的には「重大な契約違反」「SLA連続未達」「個人情報の重大な漏えい」「破産・民事再生」などが解除事由となります。中途解約については、「90日前までの書面通知」など事前通知期間を設けるのが標準的です。BPOは業務を引き継ぐのに時間がかかるため、契約解除と同時に業務が止まると発注者側が困ります。解除条項とセットで「引き継ぎ協力義務(移行支援サービス)」を明記すると、終了時のトラブルを減らせます。なお、業務委託・受託・請負の用語整理は、本セットで別途解説する予定です。
個人情報の委託に関する条文の要点
BPOで個人データ(顧客情報・従業員情報など)を扱う場合、個人情報保護法上の「委託」に該当します。委託元は委託先に対して「必要かつ適切な監督」を行う義務があり、これは契約書でも具体化する必要があります。個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」では、委託先の監督を構成する3つの要素(適切な委託先の選定/委託契約の締結/委託先における取扱状況の把握)が示されています。
委託元の「監督義務」とは
個人情報保護法第25条では、個人情報取扱事業者が個人データの取扱いを委託する場合、委託先に対して「必要かつ適切な監督」を行う義務を課しています。これは委託先に丸投げできないという意味で、委託元の責任が消滅するわけではありません。情報漏えい等の事故が発生したとき、委託先の落ち度であっても、委託元の監督義務違反が問われる可能性があります。BPO発注で個人データを扱う以上、契約書には「監督」を具体化する条項を必ず入れます。
委託先の選定基準
適切な委託先を選定するためには、個情委ガイドラインで例示される4つの安全管理措置(組織的・人的・物理的・技術的)が委託先に整備されているかを確認します。プライバシーマーク(Pマーク)やISMS(ISO/IEC 27001)の認証取得は、第三者認証として参考になりますが、認証があれば十分というわけではなく、自社が委託する具体的な業務内容に照らして適切かを確認することが重要です。
契約条文に盛り込むべき項目
個情委ガイドラインを参考に、個人データを扱うBPO契約に盛り込む項目を整理します。
| 項目 | 具体的な内容 |
|---|---|
| 取扱可能な個人データの範囲 | 項目(氏名・住所等)・件数・利用目的 |
| 安全管理措置の内容 | 組織的・人的・物理的・技術的の4区分で具体化 |
| 再委託の取扱い | 事前承諾の要否・再委託先への監督義務の引き継ぎ |
| 取扱状況の報告 | 定期報告の頻度・報告事項(アクセスログ等) |
| 監査・立入調査 | 委託元による監査の権利・立入りの条件 |
| 漏えい等の発生時の対応 | 発見後の通知期限・初動対応・原因分析・是正措置 |
| 契約終了時の返却・廃棄 | 個人データの返却または廃棄の方法・証明書の発行 |
再委託の取り扱い
BPOベンダーが業務の一部を別の事業者に再委託することはよくあります。個情委ガイドラインでは、再委託する場合も委託元の監督義務は引き継がれると整理されており、再委託先の選定・監督に関する委託先の責任を契約書で明確にすることが推奨されます。実務上は「再委託には委託元の事前承諾を要する」あるいは「再委託先のリストを書面で提出する」という条項を入れるのが一般的です。クラウドや業務システムを介してBPOを行う場合、クラウド時代の情報管理の観点も併せて確認してください。
外部委託のリスク管理(再委託のコントロール/監督義務の履行)
BPOを発注した後の運用フェーズでは、「契約書に書いたことが実際に守られているか」を継続的に確認するリスク管理が必要です。書面で監督義務を負ったまま実態が伴わないと、事故発生時に説明責任を果たせません。ここでは、偽装請負の回避/再委託のコントロール/モニタリング・監査/情報漏えい時の対応の4観点を整理します。
偽装請負を回避する契約上の論点
BPO(業務委託)と労働者派遣の最大の違いは「指揮命令系統」です。厚生労働省「労働者派遣・請負を適正に行うためのガイド」と「労働者派遣事業と請負により行われる事業との区分に関する基準(37号告示)」によれば、請負(業務委託)契約と称していても、発注者が受託者の労働者に直接指揮命令を行えば、実態は労働者派遣と判断されます。これが偽装請負で、労働者派遣法違反となります。契約書では、業務指示・労務管理・勤怠管理・教育訓練など、すべて受託者側が行うことを明示します。さらに運用上も、発注者の社員が直接ベンダー社員に作業指示を出さない運営体制を整えます。BPO・BPR・派遣の法的な区分の整理は、BPO・BPR・派遣の法的区分もあわせて確認してください。
| 項目 | 労働者派遣 | 業務委託(BPO・請負) |
|---|---|---|
| 指揮命令 | 派遣先(発注者)が行う | 受託者が行う |
| 労務管理 | 派遣元と派遣先が分担 | 受託者のみ |
| 業務完成責任 | 原則として労働力の提供のみ | 受託者が業務完成責任を負う |
| 根拠法令 | 労働者派遣法 | 民法(請負・準委任) |
再委託・再々委託のコントロール
個人データを扱うBPOでは、再委託先がさらに別事業者に再々委託するケースもあります。再々委託先が把握されていないと、漏えい時の調査が難航します。契約書では「再委託・再々委託のすべての段階で委託元の事前承諾を要する」あるいは「再委託先・再々委託先のリストを四半期ごとに更新・提出する」など、トレース可能な仕組みを定めます。海外への再委託(オフショアBPO)が含まれる場合は、外国にある第三者への提供に関する規制も別途確認します。
モニタリング・監査の設計
監督義務を「契約書に書いて終わり」にしないため、運用フェーズではモニタリングと監査の仕組みを動かします。一般的な設計は次のとおりです。
- 定期報告(月次・四半期):業務量・SLA達成状況・インシデント発生状況・改善計画の提出
- 定期監査(年1回程度):実地監査または書面監査で、安全管理措置の運用状況を確認
- 特別監査:インシデント発生時・重大な契約変更時の臨時監査
- 第三者監査の活用:ISMAP・SOC2・ISMSなどの外部監査結果の共有
情報漏えい時の通知・対応フロー
個人情報保護法では、個人データの漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が原則として義務付けられています(一定の要件に該当する場合)。BPO発注先で漏えいが発生したとき、委託元・委託先のどちらが通知主体になるか、調査の主体・費用負担・対外公表の方針を契約書で事前に定めておきます。連絡フローと初動対応の責任分担を明文化することで、有事の対応スピードが大きく変わります。
契約期間と継続的な見直し(PDCAの組み込み)
BPO契約は1〜3年の期間で締結することが多く、自動更新条項を設けるのが一般的です。ただし、業務環境やコスト構造は時間とともに変化するため、定期的な見直しの仕組みを契約に組み込んでおくことが重要です。中小企業庁「中小企業白書」では、外部委託を継続的に活用する企業ほど、定期的な見直しサイクルを回しているとされています。
契約期間と自動更新の設計
契約期間は短すぎるとベンダー側の投資意欲が下がり、長すぎると見直しの機会を失います。1〜2年契約で自動更新(90日前までに解約通知がなければ更新)が標準的な設計です。自動更新の通知期限は、業務の引き継ぎに必要な期間(コールセンターBPOで3〜6か月、経理BPOで2〜4か月)から逆算します。
定期レビュー(QBR)の設計
QBR(Quarterly Business Review)は、四半期ごとにベンダーと発注者が業務状況をレビューする会議です。SLA達成状況・インシデント・改善提案・次期の業務量見通しなどを議題にします。中堅大企業では、年1回の経営層レベルのレビュー(ESR:Executive Sponsor Review)と合わせて運営することもあります。中小企業や個人事業主の場合は、月次の運用会議の中で四半期に1回はレビュー項目を増やす形で運用するのが現実的です。
業務範囲の追加・変更プロセス
運用中に業務範囲を追加・変更する場合は、変更管理プロセスを契約書で定めておきます。一般的には「変更要求書(CR:Change Request)→影響評価→見積→合意→覚書の締結」という流れです。あいまいなまま「ついでにこれもお願い」と追加すると、契約範囲を逸脱し、料金や責任の所在で揉めます。
契約終了時の引き継ぎ計画
契約終了は、満了による終了・解除による終了・更新拒絶による終了の3パターンがあります。いずれの場合も、業務マニュアル・データ・履歴情報を発注者または次の委託先に引き継ぐ計画を、契約書で約束しておきます。「契約終了の90日前から引き継ぎ協力を行う」「引き継ぎ用のドキュメントを所定の形式で提出する」など、具体的な義務を明記します。BPO継続活用のメリット・デメリットの整理は、BPO継続活用のポイントも参考になります。
よくある質問(FAQ)
Q1. BPO契約に決まったひな型はありますか?
A. BPO契約の汎用ひな型は経産省などから公開されていません。ただし経済産業省と独立行政法人IPAが公開する「情報システム・モデル取引・契約書」は、サービス利用契約の基本構造を理解するうえで参考になります。BPOは業務領域や個人データの取扱い度合いによって必要な条文が大きく変わるため、ベンダーのひな型をベースに、自社の業務内容と規制要件に合わせて修正する運用が現実的です。
Q2. 業務委託契約と請負契約はどう違いますか?
A. 業務委託契約は法律上の用語ではなく、民法の「請負」と「準委任」を含む実務上の総称です。請負は「仕事の完成」を目的とし、完成義務を負います。準委任は「事務の処理」を目的とし、善管注意義務(善良な管理者としての注意義務)を負います。BPOは業務領域によって請負型と準委任型が混在します。コールセンター運用は準委任、システム開発は請負、というように案件単位で判断します。
Q3. 個人事業主でも取適法(旧下請法)の対象になりますか?
A. 取適法は、委託事業者と中小受託事業者の資本金や従業員数の関係で適用が決まります。2026年1月の改正では従業員数による規模要件が追加されました。個人事業主が受託する側であれば取適法の保護を受けられる可能性がありますし、発注者として規模要件を満たせば取適法の遵守義務が課されます。自社の取引が対象に該当するかは、公正取引委員会・中小企業庁の最新資料で確認してください。
Q4. 個人情報を扱わないBPOでも秘密保持契約は必要ですか?
A. 個人情報を扱わなくても、自社の業務情報・顧客情報・取引条件などの営業秘密がベンダー側に渡ります。秘密保持契約(NDA)は業務委託基本契約の中に秘密保持条項として組み込むか、別途のNDAとして締結します。契約終了後も一定期間(3〜5年)秘密保持義務が継続する形が標準です。
Q5. SLA未達のとき、報酬を減額できますか?
A. 契約書で「SLA未達時のペナルティとして報酬の◯%を減額する」と明記していれば、契約に基づき減額できます。明記がなければ、債務不履行に基づく損害賠償請求として別途立証が必要になり、ハードルが高くなります。SLAを設定する以上、未達時の対応もセットで契約書に書きます。
Q6. 契約交渉でベンダー側のひな型をそのまま受け入れて大丈夫ですか?
A. ベンダー側のひな型は、ベンダーに有利な条文(責任制限の幅広い適用、解除事由の限定、知財のベンダー帰属など)が含まれていることがあります。少なくとも「責任制限条項」「個人情報の取扱い」「知的財産権の帰属」「契約解除」「再委託」の5箇所は、自社の立場から見直す価値があります。中小企業や個人事業主で社内法務がいない場合は、契約書チェックを行政書士・弁護士に依頼することもひとつの選択肢です。
まとめ|今日からできる3つのこと
- 自社のBPO発注を「役務提供委託」と「個人データの委託」の2軸でリストアップする:取適法(旧下請法)と個人情報保護法のどちらが該当するかが整理できると、契約書のチェックポイントが明確になります。
- 既存のBPO契約書を「主要5条文」で点検する:業務範囲・SLA・報酬/支払条件・知的財産・契約解除の5領域に絞って、本記事のチェックポイントと照らし合わせ、不足や曖昧さがないかを確認します。
- 個人情報の委託先監督のサイクルを設計する:定期報告・年次監査・漏えい時の通知フローの3点を、契約書だけでなく運用ルールとして実際に動かせる形にします。
関連記事
- BPOとは|業務プロセスアウトソーシングの基礎
- BPOとアウトソーシングの違い・BPR・派遣との比較
- BPO導入のメリットと課題
- バックオフィスBPOの活用ガイド
- 経理BPOの活用ガイド
- DXとは|デジタルトランスフォーメーションの基礎
- SaaSとは|クラウドサービスの基礎
参考文献
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(令和4年9月一部改正)/https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ /2026-05-31取得
- 厚生労働省「労働者派遣・請負を適正に行うためのガイド」/https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/koyou_roudou/koyou/seizouukeoiyuryotekisei.html /2026-05-31取得
- 公正取引委員会・中小企業庁「『下請法』は『取適法』へ〜知っておきたい制度改正のポイント〜」(2025年)/https://www.jftc.go.jp/houdou/panfu_files/pointkaisetsu.pdf /2026-05-31取得
- 経済産業省・独立行政法人IPA「情報システム・モデル取引・契約書」/https://www.ipa.go.jp/digital/model/index.html /2026-05-31取得
- 中小企業庁「中小企業白書(最新版)」/https://www.chusho.meti.go.jp/pamflet/hakusyo/ /2026-05-31取得
この記事に興味を持った方におすすめ
