セキュリティチェックシート回答の負担を軽減する6つの方法

業務委託を受けるときやサービスの利用申し込みがあった際、「弊社ではISMS(もしくはPマーク)を取得しているため、取引先にはセキュリティチェックシートへのご回答をお願いしております。」といったメール文面とともに、ExcelやWordで作成されたファイルが送られてきた経験のある方、多いのではないでしょうか。

セキュリティチェックシートは、取引先のセキュリティ状況を把握する上でとても重要なものですが、一方で

• 会社ごとに形式がまちまちでわかりづらい
• 質問の意味がわからず回答しづらい
• 専門知識が問われるため、各部署と連携せねばならず面倒

といったように、苦痛を感じられている方も多いです。
そこで、以下では「セキュリティチェックシートを回答するのが面倒！」という方向けの対応方法をご紹介します。

また、そのほかにも委託先管理にまつわる疑問やお悩みについて、こちらの記事でご紹介しています。あわせてお読みください。

セキュリティチェックシートの回答負担を軽減する方法

委託先の取り組み

まずは、委託先(セキュリティチェックシートに回答する側)の取り組みを見てみましょう。

方法1：自作のセキュリティチェックシートを公開し、セルフチェックしてもらう

IPAなどが発行しているチェックリストをもとに作成している場合や、他社から過去に受けたセキュリティチェックの項目をもとに作成している場合、クラウドサービスの場合はISO27017認証などのセキュリティ規格に基づいて作成している場合が多い印象です。

「Webページ上で公開するのはちょっと…」という場合は、ひとまず作成だけおこない、それをもとにセキュリティチェックシートが送られてきた際には回答する、というような運用でも、大幅に回答の負担は軽減されるのではないかと思います。

方法2：セキュリティホワイトペーパーを公開し、セルフチェックしてもらう

近年、セキュリティに関する内容を記載したホワイトペーパーを公開している企業様も最近は増えてきました。特にISO27017認証を取得している場合、セキュリティ体制を透明化することが求められるため、ホワイトペーパーを公開している企業が多いです。

方法1に比べると、セルフチェックをおこなう側のハードルが少し高くはなってしまいますので、方法1と2を併用されているパターンも多いです。

「セキュリオ」でもセキュリティホワイトペーパーを公開しておりますので、ぜひ参考にしていただければと思います。

方法3：有償で回答する

委託元の取り組み

では次に、委託元(セキュリティチェックシートへの回答を依頼する側)の取り組みを見てみましょう。

方法1：わかりやすい設問にする

前述のとおり、セキュリティチェックシートを回答する際に「質問の意味がわからないけど、先方に確認しづらい」といったことから、回答が後回しになることが多々あります。

例えば、「特定の個人を識別できる情報が含まれた書類は、裁断した後に廃棄されていますか？」と「個人情報が記載された書類は、シュレッダーにかけてから廃棄していますか？」であれば、後者の方が一般的にはわかりやすく、答えやすいでしょう。

LRMの情報セキュリティ教育クラウド「セキュリオ」の委託先管理機能では、クラウド上でラクラク3ステップ委託先管理が可能です。

1. クラウド上に委託先を登録
2. 15種類以上のテンプレートからWebアンケートを送信
3. 結果の確認・委託可否の決定

方法2：回答しやすい形式でチェックシートを作成する

あまり見慣れない拡張子ファイルやマクロが有効になっているファイルを送られると、開くことにそもそも抵抗がありますし、編集方法がよくわからなかったりと、回答に時間がかかります。

最近では、Googleフォームなどを活用してチェックをおこなう企業も見かけます。

方法3：委託する業務内容によってチェックの粒度を変える

同じ個人情報でも、マイナンバーデータを委託する場合と、名刺データを委託する場合、やはりその重要度というのは大きく異なります。

そして、名刺データを預ける相手に対してマイナンバーデータを預ける相手と同じセキュリティチェックをおこなうことは、「よりセキュリティレベルの高い企業を選定する」「より細かくセキュリティレベルを把握する」という点では有意義かもしれませんが、その結果回答がなかなか得られなかったり、回答の確認に時間がかかってしまうのは問題です。

委託先、委託元それぞれの視点から、セキュリティチェックの負担を軽減する方法をご紹介しました。

委託先管理にまつわる疑問やお悩みについてはこちらの記事をあわせてお読みください。