悩み(12) 外部サービスの選定でIT部門だけでは対応が困難である

n社では、要求を満たさないチェック項目があるサービスは、「非推奨」と位置づけ、リスクをとってでも利用したい場合は、事業部門長の承認を得させる仕組みとなっている。

しかしながら、責任範囲や免責事項など利用規約に関するチェックはできておらず、事業部門から個別に相談を受けた場合にシステム部門では規約の解釈や判断に苦慮することが増えてきた。

そこでn社のCISOは、外部サービス選定の判断に、システム部門だけでなく法務部門にも参画してもらうことにした。

当初はシステム部門で判断が難しい場合に適宜法務部門へ問い合わせていたが、問い合わせ件数の増加を踏まえ、定例会を開催することにした。

また、法務部門と協力しながら、チェックシートへ法務的な確認事項も追加し、事業部門で包括的な観点から確認ができるようにした。

n社のCISOは、クラウドサービス等の場合であっても、外部委託と同様、サービス選定に際しては、サイバーセキュリティリスクの管理部門のみならず、法務部門等、複数の部門の関与が必要不可欠であると考えている。

これまでは、システム部門・法務部門が定期的に連携することがなかったため、用語の使い方や認識の齟齬が発生することもあったが、次第に互いに同じ方向で議論でき、建設的なコミュニケーションができるようになっていると感じている。