悩み(10) スタートアップ企業のセキュリティ管理体制に不安を感じ、取引先として推奨できない
j社では、自社のECサイトでの売上比率が高まっていることもあり、新技術を持つスタートアップ企業k社との取引に関する要望が拡大していた。しかし、セキュリティの観点からk社との取引に不安を感じていた。
基本情報
j社の状況
- 事業部門からIT部門への開発要望をもとに、外部へ業務委託を行っている。
- AI(人工知能)やVR(仮想現実)を活用した新規ビジネスを検討している
- サプライチェーンのビジネスパートナーには、定期的にサイバーセキュリティの取組状況をチェックシートで確認している。
j社のプロフィール
| 業種 | 小売業 | |
|---|---|---|
| 規模 | 3,000人 | |
| 管理 体制 | CISOの有無 | 無 |
| 専任のセキュリティ部署 | 無 | |
| サイバーセキュリティ の主管部署 | IT部門 | |
セキュリティ担当者の問題・悩み
j社のIT部門としては、新規ビジネスで活用する顧客の身体的特徴といった機微性の高い個人情報の取り扱いに際し、k社には管理体制が未熟な点があった。さらに、チェックシートで確認した結果からも、k社との取引が推奨できない状況であった。
また、k社は即座に管理体制を充実させることは現実的でなく、IT部門の頭を悩ませていた。
取組(10) セキュリティ対策の取組、セキュリティ認証の取得状況を確認する
解決に向けたアプローチ
委託先選定の流れ
事業部門からの強い要望もあり、j社のIT部長は、管理体制に懸念のあるスタートアップ企業k社との取引を許容した。ただし、これまでサプライチェーンのビジネスパートナーにはチェックシートの状態を年1回確認していただけであったが、管理体制の整備状況など不明点があれば、k社の事務所等の現場へ直接出向いて確認したいという意向を伝えた。
さらに、k社の営業部長に対して、セキュリティ管理体制の整備の取組例として、契約後も継続的にプライバシーマーク等のセキュリティ認証を取得することを奨励した。
はじめは、k社も認証取得はコストが掛かることを理由に消極的であった。しかし、IT部長はプライバシーマークの取得を通じた管理体制の整備がn社との取引だけでなく、今後のビジネス拡大に必要になることを話し、k社はプライバシーマークの取得を検討し始めた。
得られた知見
j社の取組のポイントは、委託先のセキュリティ体制の担保を、短期的な視点と長期的な視点を並行して考慮したことである。短期的な視点ではチェックシートでの確認に加え、若干コストはかかるが現地調査の実施を、長期的な視点では第三者による認証を、自社が求めるセキュリティ対策レベルの確認手段として活用した。
委託元から管理体制の充実を依頼することは簡単であるが、委託先による不正もリスクとしてある中、健全な取引関係が最も望まれる。