近年、委託先からの情報漏えいによって、企業が大きな被害を受けるケースが増えています。
例えば、国税局の委託先企業がマイナンバーを含む個人情報を無断で別企業へ再委託した事件や、神奈川県からハードディスクの情報削除・破棄を依頼されていた企業の従業員がハードディスクを盗んでネットオークションで転売していた事件などは、近年ニュース等で大きく取り上げられました。
委託先からの情報漏えいリスクの低減のためには適切な委託先管理が不可欠ですが、「委託先管理って何をやるの?」といったお悩みもよく耳にします。今回は、委託先管理に関するよくある疑問・質問にお答えします。
また、こちらでは委託先管理の必要性・手順をまとめた資料を無料で配布しています。より一層の理解にお役立ていただけます。
委託先ってなに?
委託先とは「自社の情報を預けているところ」を指します。
いくつか例を挙げてみましょう。
- 例1. 地方のお客様先への営業訪問を担当する外注の営業担当者
- お客様の情報や、自社サービスの情報を預けています
- 例2. お客様へのDM発送代行業者
- お客様情報やDMに関する情報を預けています
- 例3. 名刺作成をおこなう印刷業者
- 自社の従業員の情報を預けています
このように、あらゆる自社の情報(個人情報以外も含みます)を預けている先が委託先と言えます。
委託先管理ってなに?どうやって管理すればいいの?
SMSやPマークといった認証を取得していると、「委託先管理」をすることが求められます。
委託先管理とは、「委託先を洗い出し、自社の情報を預ける先として値するかを判断する」という一連の行為を指します。
例えば、下記のような手順でおこないます。
- 自社の情報を預けている企業・組織・個人を洗い出す
- 委託先の一覧表を作成する
- 委託可否の判断基準を設ける
- 委託先の情報セキュリティ対策状況を確認し、自社が求める基準をクリアしているか確認する
委託先の一覧表を作成する作業は、ExcelやWordを利用するパターンが多いです。クラウドへの移行が進んでいる企業の場合は、クラウドサービス上で一覧を作成していることもあります。
委託先の情報セキュリティ対策状況を確認する方法は様々ありますが、委託先にアンケートを送付して回答してもらう方法が最も一般的です。自社が確認したい項目を設けたアンケートをExcelやWordで作成して送付します。
この方法は最も普及している一方、「なかなか委託先がアンケートに回答してくれない…」という問題が発生しがちという欠点もあります。
なお、回答してもらえない理由としては、
- PCにExcelやWordが入っていないのでファイルが開けないから
- アンケートの設問の意味がよくわからず答えられないから
- アンケート項目が多くて回答するのが面倒だから
- 情報セキュリティ担当者や情報システム部に確認しないと答えられない質問が多くて時間がかかっているから
- アンケートには回答しない方針を取っているから
といったものが挙がることが多いです。
上記のような事態を招かないため、委託先が公開しているホワイトペーパー等を確認して情報セキュリティ対策状況を確認する方法もあります。この方法であれば、「回答が来ない…」とやきもきする必要はありません。
ただし、情報セキュリティ対策状況をホワイトペーパー等で公開している企業は未だ少なく、また、公開されている情報の粒度もまちまちなため、まだまだ一般的な方法とは言えません。
また、大手企業などであれば、委託先へ赴いて現地監査をおこなう方法を取っているところもあります。実際に業務をおこなっている様子をその場で見て、聞いて確認することができるため、最も有効な委託先調査の方法であると言えるでしょう。
ただし、上記に挙げた方法に比べて時間・お金ともにかかりますし、場合によっては委託先から監査を拒否される可能性もありますので、中小・ベンチャー企業が実現するにはハードルが高いです。
「ISMSやPマークといった第三者認証を取得しているか」を基準として設けている企業もあります。この場合、認証を取得している企業の多くは認証マークをWebサイトに掲げていますので、確認の手間が大きく省けます。
ただし、日本でISMSもしくはPマークを取得している企業は未だ22,000件(2020年2月現在)程度しかありません。「ISMSやPマークを取得していない企業とは一切取引しない!」としてしまうと、ビジネスに影響が出る可能性があります。
委託先管理の概要と方法が分かる資料はこちら。
委託先を全部管理するのって大変!
「委託先=自社の情報を預けているところ」と前述しましたが、実際のところ、自社の情報の預け先をすべて管理するのは現実的ではありません。
そのため、ISMSやPマークにおいても、それらすべてを管理することは求められていません。
では、それぞれどういった委託先を管理するように求められているのでしょうか。
- Pマーク
- 個人情報を預けている先は、委託先として管理しなければならない
- ISMS
- 管理する委託先の範囲は自由に決めることができる
Pマークの場合は、「個人情報の預け先」はすべて委託先として管理をしなければならないと決められています。一方で、ISMSの場合は「必ずこうしなければならない」というルールは特に定まっていませんので、自社で委託先の範囲を設定しなければいけません。
とはいえ、この「どこまでを管理すればよいのか」という判断は、とても難しいです。なんでもかんでも委託先と認定して管理対象にしてしまうと、情報セキュリティの観点では有益だと思いますが、管理が大変です。
何十、場合によっては何百という対象を管理することになるため、担当者は疲弊してしまうでしょう。
一方で、面倒くさいからと委託先管理を怠るとどうなるでしょう。
もし委託先が情報漏えいを起こした場合、委託先の監督責任を問われ、場合によっては多大な賠償金を支払ったり、認証取り消し、信頼の失墜、倒産といった様々な事態が起こる可能性があります。
では実際のところ、委託先として管理する範囲をどう絞り込めば良いのでしょうか。
おそらく「委託先に預けている情報の種類や数を基準に重要度を設定する」といった方法が最も簡単ではないかと思います。
例えば30社の委託先が存在した場合、それぞれに預けている情報の種類や数を確認し、「高・中・低」といった重要度の設定をおこないます。
その上で、
重要度:高 | 毎年情報セキュリティ対策状況を確認するアンケートを送付 |
---|---|
重要度:中 | 3年に1度、情報セキュリティ対策状況を確認するアンケートを送付 |
重要度:小 | 管理対象としない |
といったルールを設けるのがよいでしょう。
本当はすべての企業に毎年アンケートを送付して情報セキュリティ体制を確認できるのが理想ですが、自社のリソースや情報の重要度といった観点から、最適と考えられる方法を選択しましょう。
「セキュリオ」を使った委託先管理では、委託先が答えやすいアンケートテンプレートが15種類以上も利用可能です。Webアンケート形式ですので、メールなどでもファイル受送信の手間もありません。
委託先の情報セキュリティ体制はどれくらいの頻度でチェックするべき?
委託先の情報セキュリティ体制をチェックする頻度というのに決まりはありません。
ISMSやPマークでも、特に定められてはいませんので、自社でチェックの頻度を設定して、運用して構いません。
ただ、Pマークの場合、2年に一度の審査で委託先管理の実施有無が確認されますので、最低2年に一度はチェックしなければなりません。(とは言え、Pマークのマネジメントシステムは1年のサイクルを基本としていますので、LRMでは1年に1回以上の実施をオススメしています。)
一般的には、大体2~3年に1度のペースでチェックをしている企業が多いようです。
ISMSは3年、Pマークは2年で認証の期限が切れてしまう(更新審査を受ける必要がある)ため、大体それくらいのペースで情報セキュリティ体制が大きく変わる企業が多いというのが理由です。
また、毎年のチェックとなると、チェックを受ける側(委託先企業)から反発を受けたり、自社側でもなにかと工数がかかってしまって面倒だったりすることも、要因と思われます。
ちなみに、以前委託先チェックの頻度を「100年ごと」と取り決めてISMSの審査を受けた企業がありましたが、その際はさすがに審査員から指摘を受けていました。現実的な頻度を設定しないと情報セキュリティ対策としての意味がありませんので、注意しましょう。
委託先が情報漏えいを起こしたらどうなるの?
委託先が情報漏えい事件を起こした場合、自社(委託元)は責任を問われます。
なぜなら、委託元には委託先を監督する責任があると、個人情報保護法で定められているからです。
委託元は、委託先が適切に情報を管理しているかどうかを把握し、場合によっては情報セキュリティ教育を実施するなど、対策をしなければなりません。そのような中で情報漏えいが起きた場合、委託元が監督責任を果たさなかったと判断されます。
情報漏えいが起きれば、委託元は被害者に対してお詫びをしたり、賠償したりといった対応をおこなわなければなりません。具体的な対応の内容は、契約書や利用規約の記載に準じます。
なお、自社(委託元)が情報漏えいにより受けた被害(主には賠償金の支払いなど、金銭面)を情報漏えいを起こした委託先がどこまでカバーしてくれるかは、委託契約時に交わした契約書の内容によって様々です。
ただし、多くの場合は委託をおこなった際に支払った契約金以上の賠償は期待できません。
以上、委託先管理についてよくある疑問・質問・お悩みに回答してみました。面倒に感じるかもしれませんが、昨今委託先からの情報漏えい事件が多発する様子を見る限り、もはや委託先管理は「面倒だからやりたくない」ではすまされません。
また、適切な委託先管理方法をお探しの方には、セキュリティ教育クラウド「セキュリオ」の委託先管理機能がおすすめです。
- 簡単に委託先を登録
- 15種類以上のテンプレートから委託先アンケートを送信
- アンケート結果をもとに委託可否の決定
のラクラク3ステップでの委託先管理が可能です。アンケートテンプレートも回答が簡単なので、委託先の回答率も向上できます。