御社の立場を前提とした場合、結論としては、一部個人情報保護法が適用されることになります。
分析すると、まず、御社が個人情報保護法の適用対象たる個人情報取扱事業者に該当するか否かが問題となりますが、御社の業務内容であれば、５０００件以上の個人情報データベースをお持ちのことと思われますので、該当することとなるでしょう。
次に委託元から情報を預かる際には、個人情報保護法の１５条から１８条までが適用されることになります。これらの規定については受託業務だからといって除外されるような例外はもうけられていません。すると預かった個人情報についてその利用目的を特定の上公表し、その利用目的の範囲内のでのみ利用するという義務が課せられます。
最後に委託元に情報を返却する際には、同法２３条の第三者提供の規制が適用されるかどうかが問題となります。御社が保有している情報は、委託元から御社に提供される際には同条４項１号（情報処理の委託）の規定を適用して、個々の本人からは同意を得ずに御社に提供されたもののはずです。するとここで言うところの委託元はそもそも「第三者」に該当せず、同条は適用されない、つまり、個々の本人から提供についての同意を得る必要はないということになります。御社の場合、返却の際には新たな情報が付加されていますが、これらの情報は独立して個人情報となりうるものではありませんので、やはり同条は適用されないでしょう

個人情報保護法第２２条では委託先の監督が要求されています。これは単に契約上で守秘義務を定めるのみならず、業務を委託して行わせるに際して、具体的に管理・監督することが求められています。委託業務を取り扱わせる前に、情報管理にかかる社内体制を整備させたり、委託開始後も定期的に報告を求めたりすることが必要になります。
御社の状況を前提とすれば、まずは委託先企業に対して、「個人情報保護法上委託先の監督が要求されている」旨を説明して理解を求めるべきでしょう。こういった場合は委託先も個人情報取扱事業者に該当する場合がほとんどですから、個人情報保護法のことを知ってしかるべきです。
それでも監督に応じないのであれば業者の変更も検討すべきです。これまでにも個人情報漏洩事件が多発していますが、委託先からの情報漏洩が原因となっている事件が多くあります。委託先での事故だからと言って委託元が責任を免れることができるわけではありません。リスク管理のための重要項目と認識して下さい。

個人情報の利用目的の達成のために、業務の委託に伴って個人情報を第三者に提供するときには、本人からの同意の取得は不要です（個人情報保護法２３条４項１号）。もっとも同法２２条により委託元には委託先の監督義務が課されています。経済産業省ガイドラインでは一定の事項を記載した契約書の締結と実際の監督を要求していますので、少なくとも機密保持契約書の締結は必須でしょう。なお契約書については当サイトのテンプレートをご参考にしていただければと思います。