業務委託したのだから「委託先が全部責任を負いなさい」というのは，一見合理的なようです。ですが，独占禁止法上の優越的地位の濫用や下請法違反の問題が生じかねず，問題のある責任の明確化だと考えます。また，仮に契約上は委託先が全責任を負うとしていても，実際には委託先が全責任を負うことはあり得ません。例えば，個人情報の漏えい対策では，法的には委託者にも監督責任があります。従って，監督を行うという部分で，委託者の責任は免れません。
また，委託業務だからといって，委託先が当然のように責任を負うべきか，微妙な問題もあります。例えば，消費者向けの通販サイトの運営を外部委託していたとします。この場合，SQLインジェクションのようなセキュリティ・ホールの把握と改修は，委託者と委託先のどちらの責任と費用で実施すべきかが問題になります。これについては基本的には，委託業務の内容に「セキュリティ・ホールの把握と改修」が含まれているかどうかによって判断すべきであり，委託先で当然対応すべき問題であるとは言い切れないでしょう。パッチをあてるだけで対応可能なセキュリティ・ホールであれば大きな問題ではありません。ですが，それなりの費用が必要となるSQLインジェクション等への対応は，どちらの責任・費用で情報収集や対応を行うのか，契約によるルール決めが必要となってきます。

「再委託に関する事項」を契約書に盛り込むことは当然です。ここで指摘したいのは，安易な「再委託禁止」条項です。
一般的な契約書には，再委託原則禁止，例外的に委託者の事前同意で許可という条項が多いでしょう。確かに，委託先への監督責任が委託者に課せられている以上，フリーハンドで再委託を認めることはできません。
しかし，情報処理の業界では再委託が不可避であるという場合も少なくありません。こうした状況で，委託者が再委託先の企業の実態を把握できるとは限りませんし，事前同意も形式的なものになりがちではないでしょうか。そうであれば，委託者が自ら定めた委託先選定基準と，委託者と委託先との間で定めた前述の「個人データの安全管理に関する事項」を，委託先と再委託先との契約に適用するよう求める内容を委託契約に盛り込む対応の方が，合理性ありと言えるのではないでしょうか（注1）。この場合，委託先は再委託先について，所定のフォームで委託者に報告することになります。
要は，事前同意の形式よりも，実質的なリスク・コントロール方法として，自社に何が適切かよく考えて頂きたいのです。
報告，確認・監査，事故時の連絡等については，形式的になりがちですが，これも具体的な手順を定めることが重要です。この点についても，委託情報のリスクに応じて簡易化できるところは簡易化し，リスクが高いものについては監査を行う等，メリハリが必要ではないかと思います。また，確認・監査の実効性を確保するためにも，委託先においてどのような資料（ログ，データの授受履歴等）を記録，保存するかという観点も重要です。