ISMS 委託先管理の流れ・方法を徹底解説

情報セキュリティに取り組むにあたり、「委託先管理」は今や必須となっています。

例えば、ISMSの国際規格である「ISO/IEC 27001」を見てみると、附属書Aの「A.5.19 供給者関係における情報セキュリティ」に、「自社の情報資産の保護を確実にするために委託先管理をおこないましょう」といった旨のことが書かれています。

とはいえ、「委託先管理」という言葉を聞いただけではイメージが湧きづらく、具体的に何をすればよいのかわからないかと思います。

以下では、ISMSでの委託先管理の方法について詳しくご紹介します。
※Pマークでの委託先管理の方法については、こちらをご確認ください。

また、委託先管理をはじめとしてあれこれやることの多いISMS認証取得ですが、LRMでは、ISMS認証取得までのTodoリストを無料で配布しています。確実な認証取得にお役立てください。

委託先管理とは

具体的な方法を紹介する前に、「委託先管理」とは何なのか、まずはしっかり把握しておきましょう。

情報資産には、下記のものが含まれます。

委託先管理の流れ

では、具体的な委託先管理の方法を、流れに沿って説明していきます。

なお、以下で説明する方法はあくまで一例ですので、自社のあり方に沿って、より良い方法を模索してみるのも良いでしょう。

委託先管理の方法を決定

まずは、委託先管理の方法を決定し、ルール化していきます。
ルールとしては、例えば下記のようなものが挙げられます。

それぞれのルールの詳細は、以下の手順で説明していますので、ご確認ください。

委託先一覧の作成

委託先を管理するにあたっては、委託先一覧を作成する必要があります。
一般的には、Excel等で一覧を作成する企業が多いイメージですが、クラウドサービス等を利用して一覧を作成する企業も昨今は増えてきています。

委託先の一覧には、委託先の企業名だけではなく、下記のような項目も書き込んでおくと管理がしやすいでしょう。

委託先の洗い出し

よくある業務委託先の例

• 社労士
• 税理士
• 名刺印刷業者
• ソフトウェア開発業者
• Webサイト運営代行業者
• 人材情報サービス（マイナビ、リクナビなど）

など

よく利用されている外部サービスの例

• G Suite
• Office365
• AWS
• GCP
• Box
• Dropbox
• Salesforce
• Zendesk
• freee
• セキュリオ

など

なお、委託先を洗い出す際、「サプライチェーンのどこまでを委託先として管理する必要があるの？」と迷われる方も多くいらっしゃいます。

この場合、一般的には委託先までが管理の対象となりますので、「委託先の委託先(再委託先)」までを管理対象とする必要はなく、一覧に追加する必要もありません。
ただし、個人情報やマイナンバーを預けている場合は再委託先であっても管理の対象となりますので、追加しなければなりません。また、クラウドサービスを利用する場合も、サプライチェーンの管理を難しく考えてしまう方が多いようです。

例えばセキュリオではサービスの提供にAWSを利用していますが、この場合セキュリオを利用している企業にとってはAWSも委託先に含まれるのでしょうか。
このような場合、基本的にはセキュリオのみを委託先として判断します。AWSは再委託先となるので、管理をおこなう必要は原則としてありません。

また、仮にセキュリオを利用することでAWSに個人情報が格納される場合であっても、AWSがそれらの個人情報を利用して営業活動をおこなうといったようなことがないのであれば、委託先として管理する義務はありません。

委託先の評価方法を決定

委託先の評価方法としては、

といったものが一般的です。
評価方法が決まったら、それぞれアポイントメントの調整をおこなったり、評価アンケートを作成したり、選択した評価方法を実施するための準備をおこないます。

以下では、「評価アンケートの送付」を選択した場合の方法をご紹介します。

委託先評価基準の決定

委託先の情報セキュリティリスクを評価するにあたり、評価基準を設けましょう。
以下は、評価基準の一例です。

ISMSやPマークを取得しているか否かを判断基準にする場合は多いです。
「第三者の目から見てもしっかりした情報セキュリティ体制が構築されている」という証になりますし、ISMSやPマークの認証マークはWebサイト等に掲載されていることも多く、判断するのも簡単です。

ただし、まだまだISMSやPマークを持っていない企業も世の中にはたくさんありますので、そのような企業を判断するにはやはり評価アンケートなどの方法が必要になってきます。
委託先に提供する情報の重要度によって、「この程度セキュリティ要件を満たしていれば委託先として認められる」という基準を設けましょう。

上記の例のように「8割以上」となる場合もあれば、「アンケート回答に1つでもNoとあれば委託先として認定できない」という場合もあるかと思います。

評価実施の準備

選択した評価方法を実施するために必要なものを揃えましょう。

実地監査をする場合には、人員を確保して委託先にアポイントを取る必要がありますし、評価アンケートを実施する場合には、評価アンケートのフォーマットを用意しなければなりません。委託先のチェック項目が画一的である必要はありません。

例えば、サービス開発を委託している場合には、開発業務に特化したチェック項目を設けた方が良いですし、個人情報を預けている場合は、個人情報の取り扱いに特化したチェック項目があった方が良いでしょう。

評価アンケートを作成する形式に特に決まりはありません。一般的にはWordやExcelで作成されてメールやチャットでやり取りされるパターンが多いですが、Googleフォームなどを利用して作成することも可能ですし、印刷して郵送でやり取りしても問題ありません。

委託先の評価

次に、委託先の評価をおこなっていきます。
上記の評価基準を用いてアンケートで評価する場合、下記流れで対応します。

NDAの締結

評価により委託先として問題ないと判断された企業のうち、機密性の高い情報資産を含む業務を委託しているような企業とのあいだでは、セキュリティ要求事項を定めたNDA(秘密保持契約)を締結するのが一般的です。

NDA(秘密保持契約)

委託先との取引の中で知り得た情報を、第三者に漏らしたり取引外で利用することを禁止する契約のことを言います。

• 顧客の個人情報を預ける場合はNDAを結ぶ
• 委託契約を結ぶ際は必ずNDAもあわせて締結する

といったように、自社でNDAを結ぶ基準を設けておくと良いでしょう。

ここまでで、委託先管理は一通り完了です。
あとは、都度「委託先が増えたとき」「委託先が変更になったとき」「自社で定めた委託先見直しの時期がきたとき」など、必要性が生じたときに委託先の評価をおこなっていけば問題ありません。

委託先が基準に達しないとき

委託先を評価した結果、自社が設定した基準に達していなかった場合、どうすればよいのでしょうか。

そもそも委託先を変更する、というのが最も手っ取り早い方法ではありますが、そうはいかない場合もあるかと思います。そういったときは、「昔から業務を委託していて、相手のセキュリティ状況を把握・信頼できているので問題ない」というように特例を設けることも可能です。

委託先がアンケートに回答してくれないとき

といったようなときは、「委託先に訪問して実地監査をする」「委託先のWebサイトにある利用規約やセキュリティポリシーを確認する」といった手段で代替も可能です。

委託先の見直し

委託先は一度評価すればOKというわけではなく、定期的に評価をし直すべきです。

なぜなら、自社が委託先に預ける個人情報の種類や数、委託先の情報セキュリティ体制、情報保護に関する法律や情勢というのは、日々変化しているからです。

年に1度、もしくは3年に1度など、定期的に見直しをおこなえば、より意味のある委託先管理を実現できるでしょう。

なお、クラウドサービスなどの場合、利用規約が変更されたり障害が発生した場合は都度通知が来ることが多いと思いますが、それらの通知が来ることで「都度委託先を監視している」と判断することができるため、その際は定期的な委託先評価を免除することも可能です。

	ISMS	Pマーク
委託先として管理する範囲	ある程度自由に設定できる	個人情報の預け先はすべて管理しなければならない
委託先とのNDAの締結	締結が推奨されている	締結は必須 ※ただし、士業など法律で守秘義務が課せられている委託先については改めてNDAを締結する必要がない
委託先の委託先 (再委託先)の監督	個人情報を預けている場合は必要	必要

また、ISMS認証取得をお考えの皆様に向けて、こちらの資料では、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。認証取得までの流れを抜け漏れなく把握していただくために、ぜひまずは無料でダウンロードしてお確かめください。