書いてあること
- 主な読者:業務委託先からの情報漏洩リスクに備えたい経営者
- 課題:委託先の選定基準がなく、具体的な管理方法も分からない
- 解決策:委託先に自社と同等の情報セキュリティ対策を求め、業務委託契約書に盛り込む。また、少なくとも年1回のチェックで緊張感を保つ
1 その委託先は信じて大丈夫な相手か?
業務委託の活用は日常的に行われていることですが、ついて回るのが情報セキュリティの問題です。業務委託先が情報漏洩をしてしまった場合、「委託先に任せきりで、知りませんでした」では通用しません。そこで、
IPA(情報処理推進機構)「委託先情報セキュリティ対策状況確認リスト(サンプル)」を使って審査し、実際に契約を交わす際は自社と同等の情報セキュリティ対策を求める
ようにしましょう。
また、情報セキュリティについては「ISMS適合性評価制度」、個人情報保護については「プライバシーマーク制度」という第三者機関による認証制度があります。機密情報や個人情報を取り扱う業務を委託する際は、これらの認証取得を条件としてもよいでしょう。
2 委託契約書に盛り込むべき事項
委託契約を交わす前に、委託先に情報セキュリティに関する要求を伝えて合意を得ます。また、委託契約書には次のような事項を盛り込む必要があります。 クラウドサービスを利用する場合、サービス提供会社と業務委託契約を交わさないことも多いです。こうしたときも、サービス約款や利用規約などで下記の事項を確認しましょう。
- 委託業務に係る情報等の秘密保持義務
- 再委託についての事項(原則として禁止が好ましい)
- 情報漏洩などが発生した場合の責任分担についての事項
- 委託契約終了後の情報等の返却または廃棄、消去についての事項
- 情報セキュリティ対策の実施状況に関する監査の方法とその権限
- 契約内容が遵守されない場合の措置
- 事故発生時の報告方法
また、委託業務の中で、機密情報や個人情報等を取り扱う場合は、次の事項も委託契約書に盛り込むことが望ましいです。
- 委託先において委託業務に係る情報等を取り扱う従業員の明確化
- 委託元が委託先に対して立ち入り監査を行うことができる旨
3 少なくとも年1回のチェックで緊張感を保つ
委託契約を交わす際は、確認リストへの回答を求めたり、ヒアリングをしたりするなどして、委託先が自社の要求レベルを満たしているかチェックします。しかし、その有効性がいつまでも続くわけではありません。時間の経過や環境の変化によって、
委託先が自社の要求レベルを満たさなくなってしまったり、本来実施すべきことが行われなくなってしまったりする
ことは珍しくありません。
そこで、少なくとも年に1回はアンケートやヒアリングを行い、委託業務で情報漏洩などが発生していないか、情報セキュリティ対策上で変わった点がないかなどをチェックしましょう。
4 サイバー保険で備えるのも一策
サイバー保険は、サイバー事故により企業に生じた第三者に対する「損害賠償責任」の他、事故時に必要となる「費用」や自社の「喪失利益」を包括的に補償する保険です。日本損害保険協会では、サイバー保険の特設サイトを開設し、さまざまな情報を発信しています。
委託先での情報漏洩などにより、加入者(委託元)が被った経済的損害に対して保険金が支払われるものもあるので、加入を検討してみるのもよいでしょう。
■日本損害保険協会「サイバー保険」■
https://www.sonpo.or.jp/cyber-hoken/
以上(2022年4月)
pj60121
画像:Pixabay