悩み(10) スタートアップ企業のセキュリティ管理体制に不安を感じ、取引先として推奨できない

j社のIT部門としては、新規ビジネスで活用する顧客の身体的特徴といった機微性の高い個人情報の取り扱いに際し、k社には管理体制が未熟な点があった。さらに、チェックシートで確認した結果からも、k社との取引が推奨できない状況であった。

また、k社は即座に管理体制を充実させることは現実的でなく、IT部門の頭を悩ませていた。

事業部門からの強い要望もあり、j社のIT部長は、管理体制に懸念のあるスタートアップ企業k社との取引を許容した。ただし、これまでサプライチェーンのビジネスパートナーにはチェックシートの状態を年1回確認していただけであったが、管理体制の整備状況など不明点があれば、k社の事務所等の現場へ直接出向いて確認したいという意向を伝えた。

さらに、k社の営業部長に対して、セキュリティ管理体制の整備の取組例として、契約後も継続的にプライバシーマーク等のセキュリティ認証を取得することを奨励した。

はじめは、k社も認証取得はコストが掛かることを理由に消極的であった。しかし、IT部長はプライバシーマークの取得を通じた管理体制の整備がj社との取引だけでなく、今後のビジネス拡大に必要になることを話し、k社はプライバシーマークの取得を検討し始めた。

j社の取組のポイントは、委託先のセキュリティ体制の担保を、短期的な視点と長期的な視点を並行して考慮したことである。短期的な視点ではチェックシートでの確認に加え、若干コストはかかるが現地調査の実施を、長期的な視点では第三者による認証を、自社が求めるセキュリティ対策レベルの確認手段として活用した。

委託元から管理体制の充実を依頼することは簡単であるが、委託先による不正もリスクとしてある中、健全な取引関係が最も望まれる。