## この記事でわかること - 制作会社がクライアントのドメイン管理を引き受ける際に NDA で抑えるべき 5 条項 - 認証情報の取り扱いで実務的に守るべきルール - 解約時のアカウント引き継ぎを揉めずに進める準備 ## なぜドメイン管理は NDA を結ぶべきか クライアント案件で制作会社がドメイン関連を扱う場合、扱う情報は通常の制作物より **機密性が高い**ものです。具体的には: - レジストラのアカウント ID / パスワード - DNS 管理画面のログイン情報 - メール送信設定(SPF / DKIM の鍵) - WHOIS 連絡先(個人情報を含む場合あり) - クライアントのメール送信実態(BCC 経由でビジネス情報が漏れる可能性) これらが漏れた場合、サイト改ざん、なりすましメール送信、メール内容の傍受といった重大事故につながります。**通常の Web 制作 NDA だけでは射程が不足する**ことが多いので、ドメイン管理向けの上乗せ条項が必要です。 ![ドメイン管理で扱う機密情報の範囲](/blog/agency-nda-domain/info-scope.svg) ## NDA に盛り込むべき 5 条項 ### 1. アクセス情報の取り扱いと保管方法 「レジストラ・DNS 管理画面・メール基盤の認証情報を、業務上必要な範囲で取得し、業務終了後は速やかに変更・削除する」ことを明記。 具体的な保管方法も契約書か運用ルール文書に書き、 - パスワードマネージャー(1Password / Bitwarden 等)で管理 - 平文メール送信は禁止 - 共有時はワンタイム URL 経由 を必須にします。 ### 2. 第三者開示の制限 下請けや外部協力者に情報を渡す場合、**事前にクライアントの書面同意を取る**条項。これがないと、制作会社が下請けに丸投げしたときの漏洩リスクが残ります。 下請け活用時の責任分界は[ディレクターの下請け活用](/blog/director-infra-outsource)で詳しく扱っています。 ### 3. データ保管期間と廃棄 業務終了後、預かった認証情報や DNS 設定スクリーンショット等を **30 日以内に削除**するルールを明記。 WHOIS 情報の控えなど、個人情報保護法上の取り扱いも意識した運用にします。 ### 4. 漏洩発生時の通知義務 万一の漏洩発生時に、 - 24 時間以内にクライアントへ通知 - 影響範囲の特定と是正措置 - 当局への通知が必要な場合の協力義務 を明記。これは個人情報保護法・GDPR 等の法定通知義務とも整合性を取ります。 ### 5. 解約時のアカウント引き継ぎ 最も重要な条項。**解約時に、すべての認証情報をクライアントに移譲する**ことを明文化。 - レジストラアカウントの所有権移転(または新規 ID 作成支援) - DNS 管理画面からの旧担当者の削除 - 引き継ぎ書のフォーマットと納品期限 ここを曖昧にしておくと、解約時に「過去の制作会社と連絡が取れずドメインがロックされた」事故が起きます。 ## 認証情報の取り扱いルール NDA とセットで、社内向けの運用ルールも整備します。 ![認証情報の取り扱いルール](/blog/agency-nda-domain/credential-flow.svg) ### 受領時 - クライアントから直接受け取る(過去業者経由は避ける) - 必ずパスワードマネージャー登録、平文残置禁止 - 関係者リストを定義し、メンバー以外はアクセス不可 ### 保管時 - 端末紛失時の遠隔削除設定 - パスワードの定期ローテーション(年 1 回) - アクセスログの保存(誰がいつ見たか) ### 業務終了後 - パスワード変更を **クライアント立会いで**実施 - 自社側の保存を全件削除 - 削除完了報告書をクライアントに送付 ## 解約時のアカウント引き継ぎを揉めずに進める 引き継ぎでよくあるトラブルは、 - レジストラのアカウントが「制作会社所有」のまま、解約時に移譲手続きがない - WHOIS 情報が制作会社の住所・メアドのまま - DNS 管理画面の「請求先メアド」が制作会社のまま を放置することから起きます。詳しくは[制作会社のドメイン引き継ぎ実務](/blog/agency-domain-handover)も参考になります。 防ぐには、**契約開始時から「クライアント名義のアカウント」で運用する**のが最も確実です。レジストラの「権限委譲」機能を使い、クライアント所有のアカウントに制作会社メンバーをサブユーザーとして招待する形で運用しましょう。 ## まとめ - ドメイン管理は機密性が高く、通常の制作 NDA に **アクセス情報・第三者開示制限・廃棄・通知義務・解約時引き継ぎ**の 5 条項を上乗せする - 認証情報の保管・受領・廃棄を運用ルールで明文化 - 契約開始時からクライアント名義で運用し、解約時の揉めごとを未然に防ぐ ## 専門家に切り出す選択肢 制作会社で NDA 雛形や運用ルール整備を独自に進めるのは負荷が大きい場合は、ドメイン管理を専門業者に下請けに出す形で、専門業者側の NDA 雛形を流用する選択肢もあります。詳しくは[制作会社さま向けサービス](/for-agencies)をご覧ください。 クライアント案件の現状を把握したい場合は、無料の[ドメイン診断](/diagnose)で SPF / DKIM / DMARC / SSL を確認できます。