委託先管理の基本。情報セキュリティ事故を防ぐために

昨今、事業拡大や生産性向上を目的として自社業務を外部へ委託することが増えています。しかし一方で、委託先における情報漏洩事故も頻発しています。外部委託において業務自体は第三者(委託先)が行いますが、委託元は委託先の情報セキュリティ対策について管理を行う必要があることは周知の事実です。本記事では、これから委託先管理に取り組むという企業に向けて、委託先管理の重要性やそのポイントについて解説します。

委託とは何か?

委託とは、社内で処理できない業務や委託したほうが効率や効果が期待できる業務を外部に任せることを言います。

業務を任せるということは自社の情報資産に対して第三者がアクセス・閲覧・加工等の取り扱いが可能になるため、セキュリティリスクを把握し管理することが重要です。情報漏洩のリスクを考慮して委託しなければなりません。モノやデータのみならず、業務におけるノウハウなども情報資産に当たります。

委託先管理の課題、重要性

委託業務の内容は企業によって様々ですが、昨今では個人情報を含む重要情報を取り扱うケースがよく見受けられます。業務効率化のため外部委託を選択することは賢明な判断ではありますが、安易な委託は情報漏洩のリスクを高めます。個人情報に対する法制度や世間の目が厳しくなっている昨今、小さな情報セキュリティ事故でも企業の経営を揺るがすほどの大きな社会的損失につながりかねません。そうならないためにも事故対策を徹底し事故を発生させないことが企業を守る最善策です。委託先管理は今、企業の喫緊の課題となっています。

委託先の漏洩事故事例

実際に委託先で発生している事故には以下のような事例があります。

■株式会社道新サービスセンターー委託先で個人情報管理ミスによる個人情報誤表示事案の未報告

業務基幹システムの構築業務において委託先の従業員が作業中にミスを起こし、委託元が保有する取引先情報(個人情報含む)が一時外部閲覧可能な状態にあった。また発生時の報告がなく、事後の発覚となった。

■厚生労働省ー委託先が外部アクセス可能な名簿データURLを関係者以外へ誤送信

厚生労働省管轄の研修事業において、受託企業の従業員が組織内向けの電子メールを研修申込者に誤送信した。メールには1,106名の受講生らの情報を記録した外部アクセス可能なクラウドサーバーのURLが記載されており、閲覧可能な状態にあったが、そもそも同省では委託時の仕様書にて、アクセス可能なクラウドサーバーでの情報管理を認めていなかった。

■神奈川県ー内部データが流出、HDD処分業者の従業員が不正転売

神奈川県庁ではサーバー更新の時期に合わせてハードディスクの入れ替えを行っており、ハードディスクに内部データが残ったままネットオークションで転売されてしまった。転売時にデータの消去が不十分だったため、情報が流出したという。また、ハードディスクの処分業務を受託していたブロードリンク社の従業員による持ち出しが流出の原因である。質・量ともに当時において国内で史上最悪の流出規模だったと言われている。

いずれの事例も委託先で情報管理が適切に行われていなかったことが要因となっています。また、事故発生時の対応も整備や徹底の面において、二次災害の可能性があったことも課題です。いずれにしても、委託先企業が引き起こす漏洩事故によって委託元は多大な影響・損失を被ることになるため、委託先選定や管理・運用・評価を徹底する必要があるのです。

委託先選定基準

委託先を選定する基準は各社の条件に基づくため、自社の基準を定めておく必要があります。具体的には以下のような基準が考えられます。

(例)

  • ・データの取扱いに係る規律が整備されているか
  • ・委託する内容に適した安全管理措置が実施されているか
  • ・プライバシーマークなどの第三者認証を取得しているか
  • ・受託実績が豊富か
  • ・事故が発生した時の連絡体制が整備されているか
  • ・取引先からの紹介

いずれも信頼して情報を預けられる委託先であるかがポイントとなります。

委託先管理のポイント

ここでは、委託前・委託中・委託後の3つのステップに分けてポイントを解説していきます。

1.委託前ー対策基準の整備と委託先評価

セキュリティ対策の基準については、専門部署が十分にリスク評価を行ったうえで、全社統一の基準を整備しておくことが望ましいでしょう。基準を統一することで、委託先によって基準が異なるといった課題が解消されます。さらに、基準を提示することは従業員が視覚的にリスクを認識できるため、リスク回避につながります。ここでのポイントは評価項目をより具体的にすることです。どのような対策がリスク回避につながるかを明確にし、チェック項目を設けましょう。

たとえば、委託先選定の際の評価項目を従業員が理解していると、高い基準や運用レベルを有する委託先を選定することにもつながることや再選定のロスが少なくなることがメリットと言えます。ただ、部署によって業務はさまざまであり、個人情報や重要情報の取り扱いの有無が存在するため、基準を柔軟に適用させなければなりません。

そして、決定した基準をもとに委託先として評価を実施しましょう。その手法には「委託先に訪問しての実地監査」、「評価アンケートの送付」、「自社評価基準による評価」などが挙げられます。評価により問題ないと判断された委託先に業務を任せることになります。

2.委託中ー確認とフォローアップ体制

委託中は委託先に完全に委ねるのではなく、報告の機会を設けたり委託先へ出向いたりするなどの定期的な状況把握が求められます。

一方で、運用が大変で、定期的な確認が行えないという企業への解決策として「確認の効率化」が挙げられます。
具体的には、全社単位で回答が同じだと想定される項目については全社組織が確認を行い、現場部門固有の項目については、現場部門が個別に確認をするというように、冗長な部分を省略することで、“現場部門だけでなく、委託先企業の負荷も下げる”ことができます。

3.委託後

委託終了後は、振り返り作業(評価)が必須です。確認がただの作業にならないよう、改善が必要な部分は随時基準を更新・追加を要請していく必要があるでしょう。委託先からの意見も取り入れ、作業を効率化していきます。

委託先との契約書の締結

委託先の選定・評価の結果、委託を行って問題ないと判断された企業に対しては、委託を行うための「委託契約」と「NDA(秘密保持契約書)」などを締結します。

契約書には、自社が求めるセキュリティ上の要求事項を考慮した内容を含めましょう。

なお、なかには個別の委託契約の書面による締結を拒否されるケースがあります。(クラウドサービスを提供している大規模事業者に多い例です。)そのようなケースでは、サービス提供元のWebサイトに掲げられた利用規約や約款などを担保とする、といった手法で代替をすることも検討可能です。

効率かつ適切に委託先管理を行うために

今回ご紹介した委託先における情報漏洩事故のように、情報セキュリティのリスクは日々潜んでいます。こうした事故から企業を法的に守るため、最近では外部コンサルタントを起用するといったケースがよく見られます。

数あるサービスの中から、今回は日本パープルのコンサルティングサービスCoach Mamoru(コーチマモル)をご紹介します。

Coach Mamoruは、企業の課題の把握から運用、定着までを柔軟にサポートしており、これまでに多数の実績を持つ、信頼できるコンサルティングサービスです。委託先管理において、運用基準や評価方法まで構築や見直しをしたい企業は一度検討してみてはいかがでしょうか。

委託先管理は選定から運用まで一貫した対応が必要

情報社会の進化とともに多発している、委託先における情報セキュリティ事故。発生を未然に防ぐために、企業は徹底した委託先管理を行うことが求められています。信頼できる委託先の選定から基準の制定・運用まで、全社をあげて取り組む必要があると言えるでしょう。