業務委託を受けるときやサービスの利用申し込みがあった際、「弊社ではISMS(もしくはPマーク)を取得しているため、取引先にはセキュリティチェックシートへのご回答をお願いしております。」といったメール文面とともに、ExcelやWordで作成されたファイルが送られてきた経験のある方、多いのではないでしょうか。
セキュリティチェックシートは、取引先のセキュリティ状況を把握する上でとても重要なものですが、一方で
- 会社ごとに形式がまちまちでわかりづらい
- 質問の意味がわからず回答しづらい
- 専門知識が問われるため、各部署と連携せねばならず面倒
といったように、苦痛を感じられている方も多いです。
そこで、以下では「セキュリティチェックシートを回答するのが面倒!」という方向けの対応方法をご紹介します。
また、そのほかにも委託先管理にまつわる疑問やお悩みについて、こちらの記事でご紹介しています。あわせてお読みください。
セキュリティチェックシートの回答負担を軽減する方法
委託先の取り組み
まずは、委託先(セキュリティチェックシートに回答する側)の取り組みを見てみましょう。
方法1:自作のセキュリティチェックシートを公開し、セルフチェックしてもらう
「自社でセキュリティチェックシートを作成して回答を記入し、Webページなどで公開しておく」という方法です。想定問答集を公開するイメージです。
IPAなどが発行しているチェックリストをもとに作成している場合や、他社から過去に受けたセキュリティチェックの項目をもとに作成している場合、クラウドサービスの場合はISO27017認証などのセキュリティ規格に基づいて作成している場合が多い印象です。
「Webページ上で公開するのはちょっと…」という場合は、ひとまず作成だけおこない、それをもとにセキュリティチェックシートが送られてきた際には回答する、というような運用でも、大幅に回答の負担は軽減されるのではないかと思います。
方法2:セキュリティホワイトペーパーを公開し、セルフチェックしてもらう
方法1と似ていますが、「ホワイトペーパーの内容を確認してもらい、自社の要件を満たしているかチェックしてもらう」という方法です。
近年、セキュリティに関する内容を記載したホワイトペーパーを公開している企業様も最近は増えてきました。特にISO27017認証を取得している場合、セキュリティ体制を透明化することが求められるため、ホワイトペーパーを公開している企業が多いです。
方法1に比べると、セルフチェックをおこなう側のハードルが少し高くはなってしまいますので、方法1と2を併用されているパターンも多いです。
「セキュリオ」でもセキュリティホワイトペーパーを公開しておりますので、ぜひ参考にしていただければと思います。
方法3:有償で回答する
「セキュリティチェックシートを回答する場合、1回につき●円頂戴します」といったように手間賃を徴収する方法です。
とはいえ、「そういうことであれば取引はやめます!」と言われる可能性がありますので、方法1や2を併用するなど、売上低下につながらないようにするための施策は必要になりそうです。
委託元の取り組み
では次に、委託元(セキュリティチェックシートへの回答を依頼する側)の取り組みを見てみましょう。
方法1:わかりやすい設問にする
前述のとおり、セキュリティチェックシートを回答する際に「質問の意味がわからないけど、先方に確認しづらい」といったことから、回答が後回しになることが多々あります。
そのため、「専門用語は使わない」「簡潔な質問にする」といったことを心がけましょう。
例えば、「特定の個人を識別できる情報が含まれた書類は、裁断した後に廃棄されていますか?」と「個人情報が記載された書類は、シュレッダーにかけてから廃棄していますか?」であれば、後者の方が一般的にはわかりやすく、答えやすいでしょう。
LRMのセキュリティ教育クラウド「セキュリオ」の委託先管理機能では、クラウド上でラクラク3ステップ委託先管理が可能です。
- クラウド上に委託先を登録
- 15種類以上のテンプレートからWebアンケートを送信
- 結果の確認・委託可否の決定
方法2:回答しやすい形式でチェックシートを作成する
あまり見慣れない拡張子ファイルやマクロが有効になっているファイルを送られると、開くことにそもそも抵抗がありますし、編集方法がよくわからなかったりと、回答に時間がかかります。
そのため、なるべく誰でも扱える拡張子で、操作一つで答えられるようにしておくと良いでしょう。
最近では、Googleフォームなどを活用してチェックをおこなう企業も見かけます。
方法3:委託する業務内容によってチェックの粒度を変える
同じ個人情報でも、マイナンバーデータを委託する場合と、名刺データを委託する場合、やはりその重要度というのは大きく異なります。
そして、名刺データを預ける相手に対してマイナンバーデータを預ける相手と同じセキュリティチェックをおこなうことは、「よりセキュリティレベルの高い企業を選定する」「より細かくセキュリティレベルを把握する」という点では有意義かもしれませんが、その結果回答がなかなか得られなかったり、回答の確認に時間がかかってしまうのは問題です。
そのため、委託する情報の重要度によってセキュリティチェックシートの内容を変えておけば、双方にとって効率的なチェックをおこなえるでしょう。
委託先、委託元それぞれの視点から、セキュリティチェックの負担を軽減する方法をご紹介しました。
委託先管理にまつわる疑問やお悩みについてはこちらの記事をあわせてお読みください。