ISMS 委託先管理の流れ・方法を徹底解説

この記事は約9分で読めます。

情報セキュリティに取り組むにあたり、「委託先管理」は今や必須となっています。

例えば、ISMSの国際規格である「ISO/IEC 27001:2013」の日本語版である「JIS Q 27001:2014を見てみると、附属書Aの「A.15供給者関係」に、「自社の情報資産の保護を確実にするために委託先管理をおこないましょう」といった旨のことが書かれています。

とはいえ、「委託先管理」という言葉を聞いただけではイメージが湧きづらく、具体的に何をすればよいのかわからないかと思います。

以下では、ISMSでの委託先管理の方法について詳しくご紹介します。
※Pマークでの委託先管理の方法については、下記をご確認ください。

また、委託先管理の必要性と手順がより詳細にわかる資料をご用意しておりますので、ぜひ本記事と併せてご活用ください!

委託先管理とは

具体的な方法を紹介する前に、「委託先管理」とは何なのか、まずはしっかり把握しておきましょう。

委託先管理は、簡単に言ってしまえば「自社の情報資産にアクセス可能な人・サービスの情報セキュリティリスクを管理すること」です。

情報資産には、下記のものが含まれます。

委託先管理の流れ

では、具体的な委託先管理の方法を、流れに沿って説明していきます。

なお、以下で説明する方法はあくまで一例ですので、自社のあり方に沿って、より良い方法を模索してみるのも良いでしょう。

委託先管理の方法を決定

まずは、委託先管理の方法を決定し、ルール化していきます。
ルールとしては、例えば下記のようなものが挙げられます。

  • 委託先を管理する方法
  • 委託先を洗い出す方法
  • 委託先評価の基準
  • 委託先評価を実施する方法
  • 委託先評価を実施する時期
  • NDA締結の基準

それぞれのルールの詳細は、以下の手順で説明していますので、ご確認ください。

委託先一覧の作成

委託先を管理するにあたっては、委託先一覧を作成する必要があります。
一般的には、Excel等で一覧を作成する企業が多いイメージですが、クラウドサービス等を利用して一覧を作成する企業も昨今は増えてきています。

委託先の一覧には、委託先の企業名だけではなく、下記のような項目も書き込んでおくと管理がしやすいでしょう。

  • 委託先評価の合否結果
  • 委託する業務の内容
  • 委託先が閲覧・利用できる情報資産の種類
  • 委託先に求めるセキュリティ対策

委託先の洗い出し

一覧を作成したら、次は実際に委託先を洗い出す作業をおこないます。

委託先としては、一般的に「自社に関連する情報を預けている業務委託先」「自社に関連する情報を預けているサービス」といったものが該当します。

よくある業務委託先の例
  • 社労士
  • 税理士
  • 名刺印刷業者
  • ソフトウェア開発業者
  • Webサイト運営代行業者
  • 人材情報サービス(マイナビ、リクナビなど)

など

よく利用されている外部サービスの例
  • G Suite
  • Office365
  • AWS
  • GCP
  • Box
  • Dropbox
  • Salesforce
  • Zendesk
  • freee
  • Seculio

など

なお、委託先を洗い出す際、「サプライチェーンのどこまでを委託先として管理する必要があるの?」と迷われる方も多くいらっしゃいます。

この場合、一般的には委託先までが管理の対象となりますので、「委託先の委託先(再委託先)」までを管理対象とする必要はなく、一覧に追加する必要もありません。
ただし、個人情報やマイナンバーを預けている場合は再委託先であっても管理の対象となりますので、追加しなければなりません。また、クラウドサービスを利用する場合も、サプライチェーンの管理を難しく考えてしまう方が多いようです。

例えばSeculioではサービスの提供にAWSを利用していますが、この場合Seculioを利用している企業にとってはAWSも委託先に含まれるのでしょうか。
このような場合、基本的にはSeculioのみを委託先として判断します。AWSは再委託先となるので、管理をおこなう必要は原則としてありません

また、仮にSeculioを利用することでAWSに個人情報が格納される場合であっても、AWSがそれらの個人情報を利用して営業活動をおこなうといったようなことがないのであれば、委託先として管理する義務はありません

委託先の評価方法を決定

委託先の評価方法としては、

  • 委託先に訪問しての実地監査
  • 評価アンケートの送付
  • 委託先が公開する利用規約やセキュリティポリシーの確認

といったものが一般的です。
評価方法が決まったら、それぞれアポイントメントの調整をおこなったり、評価アンケートを作成したり、選択した評価方法を実施するための準備をおこないます。

以下では、「評価アンケートの送付」を選択した場合の方法をご紹介します。

委託先評価基準の決定

委託先の情報セキュリティリスクを評価するにあたり、評価基準を設けましょう。
以下は、評価基準の一例です。

  • ISMSかPマークを取得している
  • ISMSやPマークは取得していないが、評価アンケートで8割以上Yesと回答している
  • ISMSやPマークを取得しておらず、評価アンケートでもYesの回答が8割に満たない

ISMSやPマークを取得しているか否かを判断基準にする場合は多いです。
第三者の目から見てもしっかりした情報セキュリティ体制が構築されている」という証になりますし、ISMSやPマークの認証マークはWebサイト等に掲載されていることも多く、判断するのも簡単です。

ただし、まだまだISMSやPマークを持っていない企業も世の中にはたくさんありますので、そのような企業を判断するにはやはり評価アンケートなどの方法が必要になってきます。
委託先に提供する情報の重要度によって、「この程度セキュリティ要件を満たしていれば委託先として認められる」という基準を設けましょう。

上記の例のように「8割以上」となる場合もあれば、「アンケート回答に1つでもNoとあれば委託先として認定できない」という場合もあるかと思います。

評価実施の準備

選択した評価方法を実施するために必要なものを揃えましょう。

実地監査をする場合には、人員を確保して委託先にアポイントを取る必要がありますし、評価アンケートを実施する場合には、評価アンケートのフォーマットを用意しなければなりません。委託先のチェック項目が画一的である必要はありません

例えば、サービス開発を委託している場合には、開発業務に特化したチェック項目を設けた方が良いですし、個人情報を預けている場合は、個人情報の取り扱いに特化したチェック項目があった方が良いでしょう。

評価アンケートを作成する形式に特に決まりはありません。一般的にはWordやExcelで作成されてメールやチャットでやり取りされるパターンが多いですが、Googleフォームなどを利用して作成することも可能ですし、印刷して郵送でやり取りしても問題ありません。

委託先の評価

次に、委託先の評価をおこなっていきます。
上記の評価基準を用いてアンケートで評価する場合、下記流れで対応します。

  1. 委託先がISMSやPマークを持っているか確認
  2. 認証取得状況を確認できない企業へ、作成した評価アンケートを送付
  3. 評価アンケートの結果が返ってきたら、自社で設けた基準をもとに委託先を評価

NDAの締結

評価により委託先として問題ないと判断された企業のうち、機密性の高い情報資産を含む業務を委託しているような企業とのあいだでは、セキュリティ要求事項を定めたNDA(秘密保持契約)を締結するのが一般的です。

NDA(秘密保持契約)
委託先との取引の中で知り得た情報を、第三者に漏らしたり取引外で利用することを禁止する契約のことを言います。
  • 顧客の個人情報を預ける場合はNDAを結ぶ
  • 委託契約を結ぶ際は必ずNDAもあわせて締結する

といったように、自社でNDAを結ぶ基準を設けておくと良いでしょう。

ここまでで、委託先管理は一通り完了です。
あとは、都度「委託先が増えたとき」「委託先が変更になったとき」「自社で定めた委託先見直しの時期がきたとき」など、必要性が生じたときに委託先の評価をおこなっていけば問題ありません。

委託先が基準に達しないとき

委託先を評価した結果、自社が設定した基準に達していなかった場合、どうすればよいのでしょうか。

そもそも委託先を変更する、というのが最も手っ取り早い方法ではありますが、そうはいかない場合もあるかと思います。そういったときは、昔から業務を委託していて、相手のセキュリティ状況を把握・信頼できているので問題ない」というように特例を設けることも可能です。

委託先がアンケートに回答してくれないとき

  • 依頼をしても評価アンケートに回答してくれない
  • いくら催促しても評価アンケートが返ってこない

といったようなときは、「委託先に訪問して実地監査をする」「委託先のWebサイトにある利用規約やセキュリティポリシーを確認する」といった手段で代替も可能です。

委託先の見直し

委託先は一度評価すればOKというわけではなく、定期的に評価をし直すべきです。

なぜなら、自社が委託先に預ける個人情報の種類や数、委託先の情報セキュリティ体制、情報保護に関する法律や情勢というのは、日々変化しているからです。

年に1度、もしくは3年に1度など、定期的に見直しをおこなえば、より意味のある委託先管理を実現できるでしょう。

なお、クラウドサービスなどの場合、利用規約が変更されたり障害が発生した場合は都度通知が来ることが多いと思いますが、それらの通知が来ることで「都度委託先を監視している」と判断することができるため、その際は定期的な委託先評価を免除することも可能です。

  ISMS Pマーク
委託先として管理する範囲 ある程度自由に設定できる 個人情報の預け先はすべて管理しなければならない
委託先とのNDAの締結 締結が推奨されている 締結は必須
※ただし、士業など法律で守秘義務が課せられている委託先については改めてNDAを締結する必要がない
委託先の委託先
(再委託先)の監督
個人情報を預けている場合は必要 必要

弊社が提供している「Seculio」では、今回ご紹介したアンケート送付での委託先管理をクラウド上で行う機能をご提供しています。

情報セキュリティコンサルタントが作成したアンケート項目を利用できる他、アンケートの一括送信機能など、委託先管理の工数を大幅に削減する機能が備わっていますので、まずはお気軽に無料トライアルでご確認ください。

委託先管理が簡単に!
Excel管理から脱却!委託先管理サービス

Seculioでは委託先情報をクラウドで一元管理!
Web上で簡単にセキュリティアンケート調査します

まずは14日間無料で試してみる

ISMS認証取得を目指す
タイトルとURLをコピーしました