アーカイブ
2018年4月19日
独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」を実施し、その報告書を本日公開しました。
ITサプライチェーンにおいて、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念、および原因究明の難しさがかねてより指摘されています。
そこで、IPAでは2017年度に委託元、委託先間の情報セキュリティ上の責任範囲について調査を行いました。その結果、責任範囲が不明確であることが明らかになりました。これを受け、2018年度はその原因を明らかにし、解決策を導き出すための調査を実施しました。
調査の結果明らかになったポイントは次のとおりです。
以上のことから、
ということが分かりました。
他方、2017年5月に民法が改正され(脚注1)「瑕疵担保責任」が「契約不適合責任(脚注2)」に変更されました。これにより、契約時における契約内容の明確化がより一層求められるようになります。
約1年後の民法改正施行を見据え、雛形を含む契約関連文書の見直しの検討が急がれます。IPAでは、今後ITサプライチェーンの情報セキュリティ対策の状況把握や対策実施の推進に向けて、関連する調査・分析を行っていきます。