推奨される取り組み

6 業務委託契約

設問

外部の組織に業務や情報システムの運用管理を委託する際の契約書には、セキュリティ上の理由から相手方に求めるべき事項を記載していますか。

(セキュリティ上の理由とは、たとえば情報の漏えいや消失、情報あるいは情報システムの誤用などの防止を指します。)

説明

外部の組織に業務を委託する際の契約書には、情報の漏えいや消失の防止、情報あるいは情報システムの誤用の防止を徹底するために、それらに関する条件を記載しておく必要があります。記載すべき条件には、委託先が実施すべき業務の内容、委託先が提供するサービスに関するサービスレベルの保証、委託先が委託業務に関して実施すべき安全管理措置などがあります。さらに、そうした契約条件に沿って適切に業務が遂行されていることを確認するため、報告や記録を求めることも大切です。

対策のポイント

1.委託業務に際して締結する契約書に、業務内容、サービスレベル及び委託先に提供する重要な情報に関する安全管理措置や機密保持などの責任などを明確に定め記載しているか
2.委託業務の確実な実施や委託先でのセキュリティ対策実施状況を報告や記録により確認しているか
3.委託業務内容の変更について把握し、記録しているか
4.情報通信技術のサービス及び製品のサプライチェーンに関連する情報セキュリティリスクに対処する要求事項を含めているか

解説

外部の組織に業務を委託するということは、自組織で定めたセキュリティポリシーが適用されない、あるいは、実施しているセキュリティ対策の効果が及ばないところで業務が行われるということであり、組織内向けの対策とは異なる対策が必要になります。新規の委託契約を結ぶ場合には、契約書に業務内容、サービスレベル、委託先に提供する重要な情報に関する安全管理措置や機密保持などの責任といったセキュリティ上の要求事項を記載するようにします。

既に結んでいる契約についてはまず、どのような業務を委託しているのかを正確に把握することが必要です。委託している業務が明らかになったら、それぞれの業務について、委託先との間で交わされている契約の内容が委託する業務の内容や情報資産の重要性を鑑みて適切かどうかを確認し、セキュリティ上の要求事項が記載されていなかったり、適切なセキュリティ管理が望めないような記述となっていたりする場合には、契約書にそれらを追加、修正できないかどうかを委託先と協議してみる必要があります。

委託先において、セキュリティについての要求を満たすために必要なセキュリティ対策が実施されていることを背景に、委託業務が確実に実施されていることが確認できるように、報告や記録を提出してもらう必要があります。

委託する業務内容に変更がある場合には、変更の内容やその変更がサービスや安全性に及ぼす影響を把握し、記録しておくことが望まれます。