HOMEIPAについて新着情報プレス発表 「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書を公開

本文を印刷する

IPAについて

プレス発表 「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書を公開

“新たな脅威が顕在化した際の対応等”の責任範囲を明記していない委託元は8割

2018年4月19日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」を実施し、その報告書を本日公開しました。

 URL:https://www.ipa.go.jp/security/fy30/reports/scrm/index.html

 ITサプライチェーンにおいて、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念、および原因究明の難しさがかねてより指摘されています。
 そこで、IPAでは2017年度に委託元、委託先間の情報セキュリティ上の責任範囲について調査を行いました。その結果、責任範囲が不明確であることが明らかになりました。これを受け、2018年度はその原因を明らかにし、解決策を導き出すための調査を実施しました。
 調査の結果明らかになったポイントは次のとおりです。

  1. 「新たな脅威が顕在化した際の対応」について責任範囲の明記がない割合は8割。 委託元
    図1
    図1:委託元が文書で明確にしているセキュリティに係る要求事項
  2. 責任範囲を明確に出来ない理由は知識・スキル不足が最多で79.6%。 委託元
    図2
    図2:委託元が責任範囲を明確に出来ない理由
  3. IT業務委託契約においてリスク低減を目的に複数の対策を実施。(図3:別紙) 委託先
  4. IT業務委託契約時に責任範囲を記述している文書は“契約書”が最多。(図4:別紙) 委託元
  5. 責任範囲を明確にするには“契約関連文書の雛形の見直し”が最も有効。 委託元
    図3
    図5:責任範囲を明確にするために有効な施策(複数回答)

 以上のことから、①新たな脅威(脆弱性等)やインシデント対応について責任範囲が明確にできていない、②委託元の知識・スキル不足により責任範囲を明確にできない、③責任範囲を明確にするには、契約関連文書の見直しが、委託元、委託先にとっても有効である、ということが分かりました。

 他方、2017年5月に民法が改正され(*1)「瑕疵担保責任」が「契約不適合責任(*2)」に変更されました。これにより、契約時における契約内容の明確化がより一層求められるようになります。

 約1年後の民法改正施行を見据え、雛形を含む契約関連文書の見直しの検討が急がれます。IPAでは、今後ITサプライチェーンの情報セキュリティ対策の状況把握や対策実施の推進に向けて、関連する調査・分析を行っていきます。

■調査概要
  1. (1)調査方法:郵送によるアンケート、ヒアリング、文献調査
  2. (2)調査対象:ユーザ企業417社、ITシステム・サービス提供企業428社(*3)
  3. (3)調査期間:2018年10月~2019年2月
  4. (4)調査項目:契約関連文書の種類、記載項目、雛形の有無/責任範囲の明確化状況など

脚注

  • (*1)民法の債権法の規定が改正された。原則的施行日は2020年4月1日 http://www.moj.go.jp/MINJI/minji06_001070000.html外部リンク
  • (*2)「瑕疵担保責任」が、契約内容に適合しない場合に修補・追完を請求できる
  • (*3)ユーザ企業の従業員数50人以上、ITシステム・サービス提供企業は20人以上を対象とした。

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA セキュリティセンター セキュリティ分析グループ 小山/小川

Tel: 03-5978-7530 Fax: 03-5978-7514 E-mail: 電話番号:03-5978-7530までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報戦略グループ 白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。