ISMSの「供給者管理」という項目についてご存じですか?
この「供給者」とは「外部の委託先」のことです。
たとえ自分たちの会社のセキュリティが万全でも、委託先のセキュリティが弱ければ、情報を預けている自分たちの会社もダメージを受けてしまいます。
そのため現在では、会社の情報資産を守るために、「供給者管理(委託先管理)」が重要となります。
今回の記事では、
- 委託先管理とは何か分からない
- 委託先管理の流れについて知りたい
という方に向けて、委託先管理とは何なのか、どのような流れなのかを解説していきます。
委託先とは
委託先は、自分たちの会社の情報を預けているところを指します。
いくつか例を挙げると次の通りです。
- 顧客へのDM発送を委託している場合、顧客やDMに関する情報を預けている委託先
- 会社の名刺作成を委託している場合、従業員の情報を預けている委託先
このように個人情報以外でも、自分たちの会社のあらゆる情報を預けているところが委託先となります。
委託先管理とは
はじめに、委託先管理とは何か、を確認しておきましょう。
委託先とは、自分たちの会社の情報を預けているところを指します。
いくつか例を挙げると次の通りです。
- 顧客へのDM発送を委託している場合、顧客やDMに関する情報を預けている委託先
- 会社の名刺作成を委託している場合、従業員の情報を預けている委託先
このように個人情報以外でも、自分たちの会社のあらゆる情報を預けているところが委託先となります。
委託先管理とは、自分たちの会社の情報資産にアクセスできる、人やサービスの情報セキュリティリスクを管理することです。
情報資産には、「情報」「ソフトウェア資産」「物理的資産」が含まれます。
また委託先管理では、委託先を洗いだし、自分たちの会社の情報を預ける先として、問題ないかを判断することも重要です。
PマークとISMS認証で委託先を管理する範囲が少し違うので、ここで確認しておきましょう。
・Pマーク
個人情報の一部または全部を預ける場合は、安全管理措置を明記したうえで契約することと、契約内容が守られているかどうか、定期的に確認することが求められる。
・ISMS
管理する委託先の範囲は自由に決めることができる。
Pマークの場合は、「個人情報の預け先」はすべて委託先として管理をしなければならないと決められている一方で、ISMSの場合は委託先の範囲を自社で設定することができます。
そうすると、委託先をすべて管理する、というのは現実的ではありませんし、どこまで監理するかが難しくなってくるので、委託先に預けている情報の量や重要度に応じて、ルールを設けることをおすすめしています。
委託先管理の流れ
委託先管理の流れは次の通りです。
- 委託先管理の方法を決める
- 委託先の一覧を作る
- 管理する委託先を洗い出す
- 委託先の評価方法を決める
- 委託先を評価する基準を決める
- 評価実施の準備をする
- 委託先の評価をする
- NDAを締結する
紹介する方法はあくまでも一例なので、会社に合わせて異なる方法で実施しても問題ありません。
それでは、具体的な方法を紹介していきます。
委託先管理の方法を決める
最初に、委託先管理の方法を決め、ルールを定めていきます。
ここで決定する項目には、次のようなものがあります。
- 管理する委託先を洗い出す方法
- 委託先を評価する基準
- 委託先の評価を実施する方法や時期
- NDAを締結する基準
ルールの詳細は、次の項目から解説していきます。
委託先の一覧を作る
委託先を管理するためには、委託先の一覧を作る必要があります。
一般的に、Excelなどのソフトで作成する企業が多いですが、最近ではクラウドサービスを利用して作成する企業も増えています。
委託先は、基本的に企業名のみ登録されていれば問題ありません。
ですが、
- 担当者の名前
- 委託する業務内容
- 委託先が利用できる情報資産の種類
- 契約開始日・終了日
- 委託先評価の合否
- 委託先に求めるセキュリティ対策
なども登録しておくと、管理しやすくなります。
必要に応じて追加しましょう。
管理する委託先を洗い出す
委託先の一覧を作った後は、実際に管理する委託先を洗い出していきます。
委託先には、一般的に「自分たちの会社に関する情報を預けている業務委託先」や、「自分たちの会社に関する情報を預けているサービス」などが当てはまります。
「この会社は管理すべき委託先なのか?」と迷ったら、委託先管理の目的に立ち返って考えてみましょう。
委託先を管理する目的は、ISMSの目的と同じように「情報の機密性・完全性・可用性を維持すること」です。
そのため、委託先にセキュリティ上のトラブルが生じた際に、自分たちの会社の情報資産の「機密性・完全性・可用性」にどのような影響があるのか、という観点で判断しましょう。
- 税理士
- 社労士
- ソフトウェアの開発業者
- 名刺作成業者
- 人材情報サービス業者
- Webサイトの作成・運営業者など
- Office365
- AWS
- Dropbox
- G Suite
- GCP
- freeeなど
また、委託先を洗い出す際に、サプライチェーンを、どこまで委託先管理する必要があるのかと迷うことがあると思います。
一般的には、委託先の委託先、つまり再委託先までを管理する必要はないので、一覧に記載する必要もありません。
しかし、再委託先に個人情報を預けている場合は、管理の対象となるので、一覧に追加する必要があります。
委託先の評価方法を決める
次に、委託先の評価方法を決めます。
一般的な方法には、次のようなものがあります。
- 委託先に評価アンケートを送る
- 委託先に訪問して、現地で監査する
- 委託先が公開しているセキュリティポリシーなどを確認する
評価方法を決定したら、それぞれの委託先とアポイントメントの調整や、評価アンケートの作成など、評価方法実施の準備を行います。
ここから先の項目では、「評価アンケートを送る」という方法を選んだ時の方法を紹介していきます。
委託先を評価する基準を決める
委託先の情報セキュリティリスクを評価するためには、評価基準が必要です。
ここでは、評価基準の例を紹介します。
ISMSまたはPマークを取得している
評価基準は、ISMSやPマークを取得しているかどうか、をもとに判断することが多いです。
これらの認証は、第三者から見ても情報セキュリティがしっかり構築されている、という証明になります。
また、認証マークがWebサイトに掲載されていることも多いので、判断が容易です。
ISMSやPマークは取得していないが、評価アンケートで8割以上に〇がついている
世の中には、ISMSやPマークを取得していない企業が、まだまだたくさんあります。
そういった企業を評価するためには、評価アンケートなど、別の方法が必要です。
委託先に預けている情報の重要度に合わせて、「ここまで満たしていれば、委託先として認められる」という基準を作成するのがいいでしょう。
ここでの8割というのは目安なので、場合によっては「評価アンケートに一つでも×があれば、委託先として認められない」ということもあると思います。
評価実施の準備をする
選んだ評価方法を実施するために必要なものを揃え、実施の準備をします。
現地で監査する場合は、委託先にアポイントメントを取り、人手を確保する必要があります。
評価アンケートを行う場合は、評価アンケートを作成する必要があります。
この評価アンケートは、委託先によって変更しても問題ありません。
例えば、個人情報を預けている委託先の場合、個人情報の取り扱いについてのチェック項目があった方がいいでしょう。
評価アンケートは、作成する形式に決まりがありません。
一般的にはWordやExcelで作られ、メールなどでやり取りすることが多いですが、印刷した上で郵送でやり取りしても問題ないです。
それぞれの委託先に合った方法で実施しましょう。
委託先の評価をする
評価実施の準備をした後は、委託先の評価を行います。
評価アンケートで行う場合は、次のような流れです。
- 委託先がISMSやPマークを取得しているかを確認する
- 認証を取得していない、または取得状況を確認できない場合は、評価アンケートを送る
- 返ってきた評価アンケートを、定めた基準に基づいて評価する
NDAを締結する
最後に、NDA(秘密保持契約)を締結します。
NDAとは、取引の中で知り得た情報を、第三者に漏らしたり取引以外で利用することを禁止する契約のことです。
委託先を評価をした結果、委託先として認められる企業の中で、機密性の高い情報を預けているところがあると思います。
一般的に、そういった委託先との間には、セキュリティ要求事項を定めたNDAを締結します。
NDAを締結する明確な基準はないため、事前に会社の中で、NDAを締結する基準を作っておくといいでしょう。
これで、委託先管理は完了しました。
以降は、
- 委託先が変更になった時
- 委託先が増えた時
- 委託先を見直す時
など、必要があれば委託先の評価を行っていきましょう。
委託先管理についてのよくある疑問
フリーランスや個人事業主は、委託先に該当する?
該当します。
委託先が個人であっても法人であっても、セキュリティ上のトラブルが生じた際に、自分たちの会社の情報資産に影響があるということには変わりありません。
そのため、委託先の洗い出しでは、個人・法人を問わず洗い出しを行いましょう。
フリーランスの方の中には、社員とほぼ同じ働き方をしている人も居ます。
その場合、フリーランスの方を委託先ではなく、ISMSの適用範囲内にいる人員として扱うことも可能です。
業務委託契約中でも、今は業務を委託していない場合はどうする?
この場合は、委託先にセキュリティ上のトラブルが生じた際に、自分たちの会社の情報資産に影響があるのか、という観点で判断しましょう。
例えば、今は業務を委託していなくても、情報資産は預けたままという場合、トラブルが生じると情報資産に影響が出る可能性があります。
そのため、洗い出しが必要です。
一方、業務委託契約中ではあるものの、情報資産はすべて回収していて、トラブルが生じても影響が出ない場合、洗い出しは不要となります。
委託先が基準に達していない場合はどうする?
最も早く済む方法は、委託先を変更する、というものですが、それが難しいこともあるでしょう。
その場合は、「長期にわたって業務を委託していて、相手のセキュリティ状況を把握した上で、信頼できているので問題ない」という風に特例を作ることもできます。
委託先がアンケートに回答してくれない場合はどうする?
委託先が大手企業の場合、個別の調査を受け付けてもらえないこともあると思います。
そういった場合は、
- 委託先に訪問して、現地で監査する
- 委託先のWebサイトにある利用規約やセキュリティポリシーを確認する
という方法で、代用することができます。
委託先のセキュリティ体制は、どのくらいの頻度でチェックする?
委託先の評価は、一度行えば問題ないというものではなく、定期的に評価し直すべきです。
これは、自分たちの会社が委託先に預ける情報資産の種類や数、委託先の情報セキュリティの体制などが、日々変化しているからです。
チェックの頻度に決まりはありませんが、2~3年に一度というペースでチェックを行う企業が多いです。
定期的にチェックすることで、より意味のある委託先管理を行うことができるでしょう。
委託先が情報漏洩を起こした場合はどうなる?
委託先が情報漏洩を起こした場合、自分たちの会社(委託元)は責任を問われます。
これは、委託元には委託先を監督する責任がある、と個人情報保護法によって定められているからです。
委託元は、委託先が適切に情報を管理しているかどうかを把握し、場合によっては情報セキュリティ対策を行わなければなりません。
情報漏洩が起きた場合、委託元は被害者に対するお詫びや賠償といった対応が必要になります。
具体的な内容については、契約書や利用規約によって変動します。
また、委託元が情報漏洩によって受けた被害(賠償金の支払いなど)を、委託先がどこまで負担してくれるかは、委託契約時の契約書の内容によって様々です。
しかし多くの場合、委託を行った際に支払った契約金以上の賠償は期待できません。
SMS取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,000件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。