委託先での過失やサイバー攻撃被害などが原因で発生した個人情報漏洩などの情報セキュリティ事故が、近年度々報告されています。本記事では、こうした事故を防ぐための委託先管理の重要性や委託先に関わるセキュリティリスク、そして適切な委託先管理の実施方法などについて、わかりやすく解説します。
1, 委託先管理とは?
- 情報セキュリティにおいて委託先管理が重要な理由
- 再々委託先の作業員による不正行為
- 委託先へのランサムウェア攻撃
- 委託先での過失が原因で発生した個人情報漏洩
- プライバシーマークにおける委託先管理
- 委託先の選定
- 委託先との契約
- 委託先の管理、評価
- IPA「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」
- 委託先管理に関する規程のサンプル(IPA「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」の付録5)
- 独占禁止法上の優越的地位の濫用や下請法上問題
最後に
- 委託先管理に使えるツール
1, 委託先管理とは?
まず、そもそも「委託」とは、簡単に言うと他者に業務を行ってもらうことを指す言葉で、ほかにも外部委託、外注、委任、アウトソーシングなどと呼ばれることがあります。そして委託先管理とは、自社が業務を委託している先の企業をリストアップし、業務実態を把握した上で各委託先に関するリスクの特定等を行い、必要な対策を講じるなどして各委託先を管理することです。なお、広義にはクラウドサービスも「委託先」に含まれます。
情報セキュリティにおいて委託先管理が重要な理由
業務を委託するにあたって、委託先には自社の重要な情報や個人情報などが渡される場合があります。この際、委託先でのセキュリティ対策が不十分だと情報の漏洩や改ざんといった自社の統制が及ばない範囲におけるセキュリティリスクが顕在化するのに加え、委託先がサイバー攻撃被害に遭うなどして業務がストップした場合には、自社の事業運営にまで影響が及ぶ可能性があります。また、そうした事故の発生原因が委託先の過失や不備にあったとしても、自社が委託元としての管理責任を問われることは免れません。こうした背景から、情報セキュリティにおいては自社内の体制を整えるだけでなく、委託先に起因するリスクも考慮する必要が出てきます。
<情報セキュリティにおいて委託先管理が重要な理由>
- 委託先や再委託先などに起因するセキュリティインシデントがここ数年で特に増加しているため。
- 委託先に提供した情報が漏洩したり改ざんされるなどした場合、その原因が委託先の不備にあったとしても、委託元としての管理責任を問われることになるため。
- 法律の定めがあるため(特に個人情報を委託先に渡している場合)。
※後述するように、個人情報保護法第22条では、一部またはすべての個人情報を委託先に預ける場合、委託先で安全管理が図られているか適切な監督を行うことが義務付けられています。
- ISMSやプライバシーマーク(Pマーク)など、情報セキュリティ関連の認証取得や維持で求められるため。
2, 委託先に関わるセキュリティリスク
委託先に自社の重要な情報や個人情報などを預けている場合、委託先で以下のようなインシデントが発生すると、自社の情報が漏洩したり改ざんされたりするリスクが生じます。
- 委託先へのサイバー攻撃
- 委託先の従業員による機密情報の持ち出しなどの内部不正
- 委託先の不注意や過失による意図せぬ情報漏洩
また、委託先がサイバー攻撃を受けた場合はシステムに障害が生じたり、応急措置としてシステムがシャットダウンされたりすることがあるため、ITサービスが一時停止するなどして自社の業務運用までもが滞ることも考えられます。
さらに、「委託先を踏み台として委託元を狙う」というサイバー攻撃のリスクもあります。これについて詳しくは、こちらの記事をご覧ください:「サプライチェーン攻撃とは?事例を踏まえて原因や対策をわかりやすく解説」
※なお、上記のような委託先にまつわるさまざまなリスクは、「サプライチェーンリスク」や「サードパーティリスク」と呼ばれることもあります。詳しくはこちらの記事もご覧ください:サプライチェーンリスクとは 直近の国内事例から考える
3, 委託先が原因でセキュリティインシデントが発生した事例
実際に、委託先が原因で以下のようなインシデントが発生しています。なお、いずれも2024年に入ってから公表された事例です。
再々委託先の作業員による不正行為
大手空調機メーカーA社の再々委託先B社の作業者が、個人情報約2.2万件を含む仕入れ先情報を不正にダウンロードした。当該作業者から第三者への漏洩の痕跡は確認されず、公表時点において二次被害は確認されていない。(A社による公表日:2024年2月16日)
委託先へのランサムウェア攻撃
徳島県が印刷業務を委託している企業C社でランサムウェア被害が発生。C社が被害の調査を進めた結果、県が保有する約14万5千名分の個人情報(約20万件)の漏洩が確認された。なお、同県以外にも、C社へ業務を委託していた複数の自治体や民間企業で同様の被害が確認されている。(C社による公表日:2024年5月29日、徳島県による漏洩公表日:2024年7月3日)
委託先での過失が原因で発生した個人情報漏洩
ある人材派遣企業D社が個人情報の取扱いを委託していた事業者E社の運営するクラウドサービスから、当該個人情報(26,829人分)が漏洩していた事実が判明。漏洩の原因は、E社がサーバーのアクセス権限を誤って設定していたために、このサーバー内の情報が外部から閲覧可能な状態となっていたことだった。(D社による公表日:2024年4月22日)
4, 個人情報保護法と委託先管理
個人情報保護法の第25条では、一部またはすべての個人情報を委託先に預ける場合、委託先で安全管理が図られているかについて適切な監督を行うことが義務付けられています。そもそも個人情報取扱事業者は、第23条の定めにより、個人情報を安全に管理するために適切な措置を講じねばなりません。これと同等の措置が委託先でも講じられるよう、委託先を監督することが求められるのです。
プライバシーマークにおける委託先管理
冒頭で触れた通り、プライバシーマークを取得・維持するためには委託先管理の適切な実施が欠かせません。プライバシーマークは個人情報保護に特化した認証であり、JIS規格「JIS Q 15001:2023 個人情報保護マネジメントシステム-要求事項」に基づいて適切に個人情報を扱っていることが認証取得の条件となります。
このJIS Q 15001に規定される要求事項の1つとして、「委託先の監督」が含まれています。具体的には、以下のような項目の実施が要求されています。
- 委託先選定基準を確立し、個人データの保護水準が十分なレベルを満たしている事業者を選定できるようにすること。
- 個人データの利用が、事前に特定した利用目的の範囲内で行われるよう定める委託契約を締結すること。
- 自社と委託先双方の責任の明確化や個人データの安全管理に関する事項、再委託に関する事項など、規定の事項を委託契約に盛り込むこと。
など
※プライバシーマークについてさらに詳しくは、こちらの記事もご覧ください:「プライバシーマーク(Pマーク)とは?意義やメリット、制度概要について解説!」
5, ISMSにおける委託先管理
プライバシーマークが個人情報保護に特化した認証であるのに対し、ISMSは情報セキュリティ全般の管理方法に関する認証です。しかしISMSでも同様に、認証取得のためには委託先管理に関する管理策を実施する必要があります。なお、ISMSの規格「ISO/IEC 27001:2022」(日本版は「JIS Q 27001:2023」)において、委託先は「供給者」と呼ばれます。
委託先管理に関連するISMSの管理策
以下に挙げるのは、ISMSの管理策の中で特に委託先管理との関連性が高いものです。
5.19 供給者関係における情報セキュリティ
<管理策>
供給者の製品又はサービスの利用に関連する情報セキュリティリスクを管理するためのプロセス及び手順を定め、実施しなければならない。
5.20 供給者との合意における情報セキュリティの取扱い
<管理策>
供給者関係の種類に応じて、関連する情報セキュリティ要求事項を確立し、各供給者と合意しなければならない。
5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理
<管理策>
ICT 製品及びサービスのサプライチェーンに関連する情報セキュリティリスクを管理するためのプロセス及び手順を定め、実施しなければならない。
5.22 供給者のサービス提供の監視、レビュー及び変更管理
<管理策>
組織は、供給者の情報セキュリティの活動及びサービス提供を定常的に監視し、レビューし、評価し、変更を管理しなければならない。
5.23 クラウドサービスの利用における情報セキュリティ
<管理策>
クラウドサービスの調達、利用、管理及び利用終了のプロセスを、組織の情報セキュリティ要求事項に従って確立しなければならない。
※ISMSについてさらに詳しくは、こちらの記事もご覧ください:ISMSとは:なぜ必要?ISO 27001との違いや認証取得すべきケースについて解説
6, 委託先管理の適切な実施方法
では、具体的にはどのように委託先管理を行っていけばいいのでしょうか?一般的な委託先管理の流れは以下の通りです。
委託先の選定
まず重要なのが、委託先を選定する際の評価基準を設けておくことです。選定時は候補となる事業者をこの基準に基づいて評価し、その結果を踏まえてどの事業者へ委託するか決定します。
<評価基準の例>
- ISMS認証を取得している。
- 個人情報保護マネジメントシステム(PMS)に適合し、プライバシーマーク付与を受けている。
- SECURITY ACTION 一つ星/二つ星に取り組んでいる。
- 情報セキュリティ監査を定期的に実施している。
- 情報セキュリティに関する方針を公開している。
- IPAが提供するリスト「委託先情報セキュリティ対策状況確認リスト(※)」に記載されたすべての対策を実施している。/○個以上の対策を実施している。/○個以上の対策を実施する予定を確認している。/取り扱う情報資産に必要な対策を実施している。
など
※IPAの「委託先情報セキュリティ対策状況確認リスト」については後述します。
委託先との契約
選定した事業者との間で締結する委託契約書には、以下のような事項を明記するようにします。特に、この時点で責任分界点を明確にし、緊急連絡体制を確立しておくことが重要です。
- 自社の社外秘/極秘の情報資産および個人情報の守秘義務
- 再委託についての事項
- 事故発生時の責任分担についての事項
- 委託業務終了時の情報資産および個人情報の返却または廃棄、消去についての事項
- 情報セキュリティ対策の実施状況に関する監査の方法とその権限
- 契約内容が遵守されない場合の措置
- 事故発生時の報告方法、連絡手段
など
委託先の管理、評価
契約を結んだ委託先を、以下のような方法で管理・評価します。なお、実際の対応では、チェックシートを使った評価や管理が一般的ですが、最近では委託先やクラウドの契約やセキュリティチェック、契約時や年次での評価をも半自動化して対応できるようなSaaSがリリースされています。
<管理>
- 全委託先の洗い出し、リストアップ
- 業務実態の把握
- 各委託先に預けている情報資産の把握
- 各委託先に関するリスクの特定
- 委託先権限の確認、見直し
- 委託先に関する情報の都度更新
- 委託先との定期的な情報交換・共有、勉強会などの実施
- 委託先との定期的な合同インシデント対応訓練の実施
<評価>
- 委託先における情報セキュリティ対策の実施状況について定期的に評価する(後述するIPAのチェックリスト等を使用)
- 対策の実施に関して不備または変更が認められた場合は、双方で協議した上で対処を検討し、書面で合意する
7, 委託先管理に役立つガイドラインや公開資料
IPA「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」
IPA(独立行政法人情報処理推進機構)が公開しているこのガイドラインは、中小企業が情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針と、(2)社内において対策を実践する際の手順や手法をまとめたものです。分量は全70ページにも及び、内容も網羅的ですが、主に以下のセクションに、委託先管理を行う上で参考にできる情報が記載されています。
- 経営者が認識すべき「3原則」と、実施すべき「重要7項目の取組」のセクション:3原則のうち、「原則2」が「委託先の情報セキュリティ対策まで考慮する」となっています。また、「重要7項目の取組」のうち、「取組6」が「委託や外部サービス利用の際にはセキュリティに関する責任を明確にする」です。
- P28〜「(4)委託時の対策」のセクション
委託先管理に関する規程のサンプル(IPA「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」の付録5)
「中小企業の情報セキュリティ対策ガイドライン」には本編のほかに付録がいくつか用意されており、このうち「付録5:情報セキュリティ関連規程(サンプル)」には、委託先管理に関する規程のサンプルや、委託先のセキュリティ対策実施状況のチェックリストなどが掲載されています。この付録5は、こちらのページからダウンロード可能です。
独占禁止法上の優越的地位の濫用や下請法上問題に関する情報
委託元の中には、「委託元(発注側)となる事業者が相手方に対して一定のサイバーセキュリティ対策の実施を要請すること」が独占禁止法上の優越的地位の濫用や下請法上問題に繋がらないかを懸念する企業もいます。公正取引委員会のWebページ「サプライチェーン全体のサイバーセキュリティ向上のための 取引先とのパートナーシップの構築に向けて」には、この問題に関する解説が記載されています。
最後に
繰り返しになりますが、漏洩や改ざんなどの事故が委託先で起きた場合、委託元に影響が及んだり、委託元の管理責任が問われたりすることがあります。このため、委託先に重要な情報や個人情報を渡す場合は特に、適切な委託先管理の実施が重要です。
しかし一方で、多数の事業者にさまざまな業務を委託していたり、再委託や再々委託がなされていたりする場合、管理対象となるサードパーティや資産が多すぎて把握が難しいという課題も出てきます。そのようなケースでは、あらゆるサードパーティを一括で管理できるようなツールの導入を検討することもお勧めです。
委託先管理に使えるツール
弊社マキナレコードでも、委託先に関するリスク管理や情報セキュリティ管理のためのソリューション「Lens RM」をお客様へご紹介しています。本ツールについて詳しくは、こちらのページより弊社までお問い合わせください。
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。