外部委託には、情報システムの開発を委託したり、顧客への送付物配送を依頼したり、様々なケースがある。

いずれのケースにおいても、外部委託では組織の情報を委託先に提供・貸与・使用させることになる。

自社内の情報セキュリティ管理を高めても、委託先で情報セキュリティ事故が発生してしまったのでは意味がない。

そこで、委託先の情報セキュリティについての調査が必要となる。

委託先の情報セキュリティの調査

委託先を選定する際には、候補となる企業の情報セキュリティ管理状況を徹底的に調査する必要がある。

予め「情報セキュリティ要求事項」を文書化し、受託を希望する企業へ提示する。
そして全ての要求事項が履行可能である企業の中から、提案書・見積書などを精査して、委託先を選定する。

最終決定の際には、情報セキュリティ管理者が契約担当者と協力し、委託先のセキュリティ管理状況を文書で確認、さらに必要に応じて現場確認などを行う。

契約後は委託先の情報セキュリティ管理を適切に実施し、常に情報セキュリティが担保されていることを確認する。

委託先の情報セキュリティ管理の実施

不正防止や機密保護などの実施状況、情報セキュリティ事件や事故などの発生状況、委託先スタッフに対するセキュリティ教育実施状況など、委託先責任者から定期的に文書でレビューを受けるなどの確認を行う。

実施状況と契約内容に相違がある場合は、その発生理由を明確にし、課題設定や対応措置を実施する必要がある。

外部委託の終了

外部委託の終了時には、契約時に合意した内容に基づき、委託先に提示した資料やデータの回収・廃棄を指示する。
また、その実施結果についても文書にて確認し、上位者へ報告する。

委託先との契約に盛り込むべき要素

  • 機密保持
  • サービスレベル合意事項
  • 法令遵守の保証
  • 監視・レビューの手順と頻度
  • 委託先がさらに外部委託できる範囲
  • 契約終了時のデータの取り扱い
  • 損害賠償の責任範囲
  • プログラムコードの所有権の所在
  • セキュリティ項目試験の実施
  • 既知のマルウェアや脆弱性が含まれないことの保証