プレス発表　「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書を公開

2018年4月19日
独立行政法人情報処理推進機構

ITサプライチェーンにおいて、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念、および原因究明の難しさがかねてより指摘されています。

そこで、IPAでは2017年度に委託元、委託先間の情報セキュリティ上の責任範囲について調査を行いました。その結果、責任範囲が不明確であることが明らかになりました。これを受け、2018年度はその原因を明らかにし、解決策を導き出すための調査を実施しました。

調査の結果明らかになったポイントは次のとおりです。

1. 「新たな脅威が顕在化した際の対応」について責任範囲の明記がない割合は8割：委託元

図1：委託元が文書で明確にしているセキュリティに係る要求事項

2. 責任範囲を明確に出来ない理由は知識・スキル不足が最多で79.6%：委託元

図2：委託元が責任範囲を明確に出来ない理由

3. IT業務委託契約においてリスク低減を目的に複数の対策を実施。^{（図3：別紙）}：委託先

4. IT業務委託契約時に責任範囲を記述している文書は“契約書”が最多。^{(図4：別紙)}：委託元

5. 責任範囲を明確にするには“契約関連文書の雛形の見直し”が最も有効。：委託元

図5：責任範囲を明確にするために有効な施策（複数回答）

以上のことから、

1. 新たな脅威（脆弱性等）やインシデント対応について責任範囲が明確にできていない、
2. 委託元の知識・スキル不足により責任範囲を明確にできない、
3. 責任範囲を明確にするには、契約関連文書の見直しが、委託元、委託先にとっても有効である、

ということが分かりました。

他方、2017年5月に民法が改正され^(脚注1)「瑕疵担保責任」が「契約不適合責任^(脚注2)」に変更されました。これにより、契約時における契約内容の明確化がより一層求められるようになります。

約1年後の民法改正施行を見据え、雛形を含む契約関連文書の見直しの検討が急がれます。IPAでは、今後ITサプライチェーンの情報セキュリティ対策の状況把握や対策実施の推進に向けて、関連する調査・分析を行っていきます。

1. 調査方法：郵送によるアンケート、ヒアリング、文献調査
2. 調査対象：ユーザ企業417社、ITシステム・サービス提供企業428社^(脚注3)
3. 調査期間：2018年10月～2019年2月
4. 調査項目：契約関連文書の種類、記載項目、雛形の有無／責任範囲の明確化状況など

• 脚注1 民法の債権法の規定が改正された。原則的施行日は2020年4月1日
  民法の一部を改正する法律（債権法改正）について
• 脚注2 「瑕疵担保責任」が、契約内容に適合しない場合に修補・追完を請求できる
• 脚注3 ユーザ企業の従業員数50人以上、ITシステム・サービス提供企業は20人以上を対象とした。

図3 プレスリリース（別紙）（PDF：174KB）

図4 プレスリリース（別紙）（PDF：174KB）