事業の拡大や新サービスの展開などにより、自社のみで業務を行うのが困難になった場合に検討されるのが、業務委託です。
しかし安易な業務委託は情報漏洩の原因にもなり、実際に委託先企業の管理が不十分であったために、情報漏洩の事件が発生しています。自社の業務を外部の委託先に依頼する場合、どのようなことに気をつければ良いのでしょうか。
この記事では適切な委託先管理を実施をするためのポイントを解説します。
また、委託先管理のよくある疑問・お悩みについてこちらの記事でまとめています。あわせてお読みください。
委託先管理とは
新サービスの開発や、生産性向上のために、自社の業務を外部に委託することは、経営戦略上からも重要な判断といえます。「委託」とは、業務の一部または全部を第三者に依頼することですが、委託には「委託先管理」を徹底することが重要です。
委託先管理で最も注意したいのが、セキュリティ管理です。委託先企業に十分なセキュリティ管理がなされていないと、委託した業務で取り扱われている個人情報や機密情報などが漏洩し、自社の信頼が失われてしまう原因にもなりかねません。
一度委託したら、委託状況を管理する必要があります。これからそのポイントについてお伝えしていきます。
委託先管理のポイント
委託先管理の1つ目のポイントは、委託先企業に求める情報セキュリティ対策基準を統一することです。自社においてセキュリティ対策基準が統一かされていない場合、委託先に求める対策基準がまちまちになってしまう可能性があります。
その場合、情報セキュリティリスクの評価も正しく行うことができません。そうならないためにも、全社的に統一した対策基準を作成し利用することが重要です。
2つ目のポイントは、委託先企業におけるセキュリティ対策を確認し、必要であればフォローアップすることです。委託先で実施されているセキュリティ対策の項目をチェックして、不十分な点があったら、代替案などを提案してリスクの低減などを図ります。このような活動により、リスクを適切に評価して、改善につなげることが可能となります。
最後3つ目のポイントは、セキュリティ対策の効率的な実施体制の確立です。セキュリティ対策は一度やれば良いというものではありません。新しいリスクに対して適切に対応するためには、セキュリティ対策のPDCAサイクルを回す必要があります。その際に、効率的な実施対策が確立されていれば、冗長な部分を取り除き、委託先企業の負荷も低減できます。
委託先選定にあたって
委託先企業を選定するにあたり、以下の3つの点が選定基準の一例です。
- 受託業務の実績が豊富であること
- 取引先からの紹介であること
- ISMS/Pマークなどの第三者認証を取得済みであること
この3つの項目はあくまでも一例であり、委託先企業を選定するときの選定基準の参考としてお考え下さい。実際に委託先企業の選定後には、業務の委託を開始する前に、業務内容や費用、納期などを詳細に取り決める必要があります。
委託先管理の注意点
委託先企業が決まり管理を行うときには、以下のような点に注意しましょう。
- 再委託などについての内容を含んだ秘密保持契約を締結すること
- 委託先のWebサイトなどで公開している情報資産の取扱約款等を確認すること
- 委託先のセキュリティ意識を高めるための教育を実施すること
- セキュリティに関するアンケートを実施すること
上から順に説明します。
再委託についての秘密保持契約を締結
委託時に、自社と委託先企業とのあいだで、秘密保持契約を締結すると、委託先に対して情報資産の安全管理実施を義務付けさせることができます。
また、万が一の情報漏えいが発生した際に責任の所在を明確化できる効果もあります。
委託先の情報資産の取扱約款等を確認
その際に、委託先企業のWebサイトなどで、情報資産の取扱約款等が掲載されていたら確認しておきましょう。情報資産に対して、どの程度のセキュリティ対策を行っているのか、おおよその目安となります。
委託先のセキュリティ意識を高めるための教育を実施
また委託先のセキュリティ意識を高めるための教育を実施することも大切です。
教育の方法はさまざまですが、例えば標的型攻撃を想定した模擬訓練や、セキュリティの専門家によるセキュリティの基礎的な知識を教える講義などが効果的でしょう。
セキュリティに関するアンケートを実施
委託先アンケートに関しては、委託先が実施していると回答したセキュリティ対策が実際にはできていない場合、もしそれが原因でセキュリティ事故が発生してしまった場合、委託管理責任を問われることもありますので注意が必要です。アンケートに故意に嘘の回答をすることも考えられますが、まずはアンケートの回答内容について、自社と委託先企業とのあいだに齟齬がないか確認することも重要です。
委託先のチェックは、委託先企業との契約締結後にも継続的に行うことも重要です。チェック方法は新規継続時と同様でも構いませんし、できれば年次での実施が一つの目安となります。
LRMの情報セキュリティ教育クラウド「セキュリオ」の委託先管理機能では、15種類以上のテンプレートからWebアンケートを送信することができます。
委託先の是正勧告や変更の検討の必要性
もし委託先企業のセキュリティ対策内容が、自社のセキュリティ基準から逸脱していた場合は、委託先企業へ是正を依頼しましょう。
もし是正を依頼しても、解決される見込みがなければ、委託先の変更を検討することも必要です。委託先企業へ求めるセキュリティ基準は、自社のセキュリティ基準となるべく統一させるべきです。統一した基準を用いることで、委託先企業の管理を効率的に行うことができ、万が一のセキュリティ事故発生時にも迅速な対応が可能となるからです。
委託先管理を怠った際に発生した問題とは
多くの企業が外部の企業に業務の一部あるいは全部を委託していますが、適切な委託先管理を怠ったために発生した問題は数えればきりがありません。ここでは以下の3つの事例を紹介します。
日本年金機構の委託先が無断再委託
日本年金機構がSAY企画に委託したデータ入力業務が、日本年金機構に無断で第三者に委託していた事例がありました。
SAY企画では、再委託の理由を業務の繁忙としていましたが、マイナンバーを取り扱ったデータ入力の無断再委託は、本来禁止されております。無断による再委託に加えて、再委託先でのデータ入力のミスが多発したことで、多くの批判を集めました。
ベネッセ、再委託先従業員が情報持ち出し
ベネッセが個人情報の管理を委託していたグループ会社であるシンフォームが、複数の外部下請けに業務の再委託を行っておりました。再委託先企業の派遣社員が個人情報を窃取し、名簿業者へ売却するために持ち出しておりました。
名簿業者へ売却された個人情報は、数十社の手にわたり、ベネッセの会員へダイレクトメールが届くようになってしまいました。ベネッセは問い合わせ窓口の設置や被害者へのお詫びとして図書カードを配布するなど、事件の対応に追われました。
マイナンバーを含む個人情報の入力を許可なく再委託
国税局が源泉徴収票などのデータ入力を委託していたシステムズ・デザイン株式会社が、業務を別の事業者へ再委託したことで、マイナンバーが含まれた70万件の個人情報が流出しました。
システムズ・デザイン株式会社では、再委託の理由を業務の繁忙としていましたが、日本年金機構の例と同様に、マイナンバーの無断再委託は禁止されております。今回の事例を受けて国税局は、システムズ・デザイン株式会社との業務委託契約の解除を決定しました。
まとめ
委託先管理のポイントについて詳しく解説してきました。不適切な委託先管理により、個人情報漏洩の事例が発生していたことも合わせて紹介しました。業務の効率化のために、外部の企業へ業務を委託すること自体は問題ではありませんが、その場合には徹底した委託先管理が求められます。
自社において業務の委託を実施する際には、この記事で紹介したポイントに注意して、適切な委託先管理を実施することが必要不可欠です。
また、委託先管理のよくある疑問・お悩みについてこちらの記事でまとめています。あわせてお読みください。
