アウトソーシングに 関する 情報 セキュリティ 対策 …...1 はじめに 近年...
TRANSCRIPT
アウトソーシングに関する
情報セキュリティ対策ガイダンス
平成21年6月
経済産業省
ii
目 次
はじめに ..............................................................1
<第Ⅰ部>
1.アウトソーシングの定義..............................................2
2.ガイダンスの適用範囲 ...............................................3
3.ガイダンスの読み方 .................................................3
1. アウトソーシングに係る情報セキュリティ管理の考え方 .......................6
1.1. アウトソーシング戦略と事業戦略の考え方..............................6
1.2. アウトソーシングにおけるリスクの考え方...................... ........8
1.3. アウトソーシング実施プロセスのモデル................................8
2. アウトソーシング実施プロセスの概要とリスクの例...........................9
2.1. 計画プロセスにおける実施事項と考慮すべきリスク・対策実施上のポイント...10
2.2. 実行・評価プロセスにおける実施事項と考慮すべきリスク.................11
2.3. 改善プロセスにおける実施事項と考慮すべきリスク......................12
<第Ⅱ部>
3. アウトソーシング計画プロセスにおける情報セキュリティ管理.................14
3.1. アウトソーシング戦略の策定 .......................................14
3.1.1. アウトソーシングに期待する効果の整理 ...........................15
3.1.2. アウトソーシング対象とする業務の選定 ...........................15
3.1.3. セキュリティレベルの決定......................................18
3.2. アウトソーシングにおける情報セキュリティ管理基盤の整備...............20
3.2.1. 情報セキュリティ管理基盤の整備方法と実行・評価プロセスへの活用.....20
3.2.2. 体制の整備 ..................................................21
3.2.3. 関連規定の整備...............................................21
4. アウトソーシング実行・評価プロセスにおける情報セキュリティ管理............27
4.1. アウトソーシング先の選定 .........................................27
4.2. アウトソーシング先との委託業務契約 ................................27
4.2.1. 契約時の考慮事項.............................................27
4.2.2. 発注・移行 ..................................................28
4.3. アウトソーシング先の状況確認......................................28
4.3.1. モニタリング・監査 ...........................................28
4.3.2. 検収・評価 ..................................................29
4.4. 事故対応 .......................................................29
5. アウトソーシング改善プロセスにおける情報セキュリティ管理.................30
iiii
5.1. 社内プロセスの改善 ..............................................30
5.2. アウトソーシング先の情報セキュリティ水準の向上......................30
付録 1アウトソーシングの形態と情報セキュリティリスク.......................32
付 1.1発注形態から見たアウトソーシングの形態 ............................32
付 1.2業務遂行の場所 .................................................34
付 1.3業務種別によるアウトソーシングの例................................35
付 1.4業務拠点によるアウトソーシングの例................................37
付 1.5リソースの所有によるアウトソーシングの例 ..........................37
付録 2海外アウトソーシングにおける情報セキュリティに係る留意点 ..............38
付 2.1高い離職率によるリスク ..........................................38
付 2.2文化や価値観の違いによるリスク ...................................38
付 2.3コンプライアンスのリスク ........................................39
付録 3情報管理チェックシートと関連ドキュメント ............................40
11
はじめに
近年、企業の多くは組織における情報セキュリティ向上の取組を実施・強化している。
その反面、企業の管理が及びにくいアウトソーシング先において発生する事件・事故が多
く報告されている。財団法人日本情報処理開発協会によれば、平成 19年度に同協会に対し
寄せられた個人情報の取扱における事故等の報告 1,829 件のうち 704件、実に 4 割近くが
アウトソーシング先、代理店、子会社、協力会社、提携先等において発生しているという1。
企業活動のグローバル化の進展とともに、アジアを中心とした海外アウトソーシングの
利用が拡大しており、企業が保有する技術情報等を海外企業に預託する際の漏えいリスク
等、新たな種類のリスクが発生している。企業の機密情報やノウハウが漏えいすることは、
企業の競争力や信用の低下に留まらず、我が国の経済安全保障上の問題にも繋がりかねな
い。
こうした観点から、我が国の企業がアウトソーシングを行うに際して、適切な情報セキ
ュリティ対策を施すことが重要な課題となっており、「グローバル情報セキュリティ戦略」
(平成 19 年 5 月)や「技術情報等の適正な管理の在り方に関する研究会報告書」(平成 20
年 7 月)においても、対策の必要性が提言されているところである。
また、上場企業等、金融商品取引法の適用を受ける企業においては財務報告に係る内部
統制報告制度において、内部統制の評価に外部委託業務を含めることとされている2。
平成 19年度、経済産業省では、アウトソーシングにおける情報セキュリティの実態把握
の一環として、商習慣、宗教・文化、治安、社会インフラ、法制度、就労環境等を要因と
した海外アウトソーシング固有のリスクについて調査を行い、これを踏まえて平成 20 年度
に有識者で構成されるワーキンググループ(WG)を設置し、アウトソーシングに関する情
報セキュリティリスクを低減させるためのリスク分析手法について検討を行った。
本ガイダンスは、この WGの成果を基礎として「アウトソーシングに関する情報セキュリ
ティ対策ガイダンス」として取りまとめたものである。
1(平成 19 年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」
(http://privacymark.jp/news/20080610/H19JikoHoukoku_080610.pdf)より。2 システム管理基準 追補版(財務報告に係る IT 統制ガイダンス)によれば、「財務報告の
信頼性に影響を及ぼす業務を委託している場合、外部に委託した業務の内部統制については評価範囲に含めること、及び経営者は、当該業務を提供している外部の受託会社の業務
に関し、その内部統制の有効性を評価しなければならないことが、『財務報告に係る内部統
制の評価及び監査に関する実施基準』において指摘されていることに注意が必要である』と述べられている。
22
1.アウトソーシングの定義
アウトソーシングは一般的に使われている用語であり、文脈によって意味が異なること
から、これを一意に定義することは難しいが、読者の混乱を招かないため、本ガイダンス
の対象範囲を定めておくことが必要であることから、本ガイダンスにおけるアウトソーシ
ングという言葉の意味を次のように定めることとする3。
「企業の事業戦略の達成を支援し、業務の有効性と効率性をより高めるために、外部組
織のリソースを活用し、企業内業務の遂行を外部組織に委託すること。」
狭義には、業務の設計・企画から実際の業務運営に至る、全て又は一部の工程に対して、
外部リソースを活用することを指し4、広義には、設計・企画、業務運営の一部に利用する
コンサルティング、外注・代行、業務遂行のために外部人材が常駐する形態なども含む(図
1)。
図 1様々なアウトソーシングの形態
なお、アウトソーシングには、業務の効率化やコスト削減のために委託する場合だけで
なく、自社の保有するリソースだけでは達成することが困難な業務を委託する場合もある。
また、リスク管理の手法として、該当する業務にて発生すると考えられるリスクを移転す
るためにアウトソーシングを活用するという考え方もある。
3平成 12年通産省委託調査サービス産業競争力強化調査研究アウトソーシング産業事業規模基本調査では、アウトソーシングをもって「“自社の資源の外部化”もしくは“外部資源
の活用”によって、自社の業務の効率化(外部の専門知識の活用、)を図ること」と定義されているが、本ガイダンスでは、この定義を基に、若干の加筆・改訂を行っている。4 平成 20 年経済産業省 BPO(業務プロセスアウトソーシング)研究会報告書では BPO を「競
争力の強化をはかることを目的として、総務・経理・人事業務において、非コア業務のビジネス・プロセスを IT の活用などにより外部へアウトソーシングする」と定義している。
広義のアウトソーシング
業務の設計・企画の
コンサルティング外注・代行 外部人材の常駐 ・・・・・・・
狭義のアウトソーシング
生産業務の委託 物流業務の委託 間接業務(総務、経理、人事、広報など
の委託)
情報システム運用・保守企画・開発の委託
・・・・・
33
アウトソーシングを十分に活用するためには、企業のコアコンピタンスを損なわないよ
う十分に配慮を行う必要があるが、リスク管理のためにも、業務組織と業務プロセスの全
体を俯瞰し、企業が直面するリスクを加味して、事業戦略に最適なアウトソーシングの活
用を検討する必要がある。
2.ガイダンスの適用範囲
本ガイダンスの適用対象とするアウトソーシングは、基本的には、次のようなタイプを
想定している。
■(子会社等を含む)他社のリソースを活用する業務委託形態のうち、その業務の運営
主体が当該外部の会社等であるもの。
本ガイダンスで想定する主な読者は、発注元企業内にてアウトソーシングに関係する立
場にある以下に示す企業構成員である。アウトソーシングにおいては、発注元の担当者と
アウトソーシング先の担当者が互いに協力しながら情報セキュリティを確保することが必
要であるため、本ガイダンスの想定読者には、受注企業やその他関係する団体・組織等も
含まれる。
� 経営層(事業戦略策定に携わる関係部門の管理者等を含む)
� 情報セキュリティの管理者
� 調達の管理者
� 業務発注の管理者
� 業務受注の管理者
なお、本ガイダンスはアウトソーシングに係るリスクを正しく把握し情報セキュリティ
を十分に確保することで、情報漏えい等の事故の発生を抑制することを主たる目的として
おり、ビジネス上の要求という観点でのアウトソーシング戦略を直接に取り扱うものでは
ない。しかし、アウトソーシング戦略の計画及び実施プロセスに情報セキュリティ上の要
件を組み込むことが重要であることから、アウトソーシング戦略の管理についても言及し
ている。
3.ガイダンスの読み方
本ガイダンスでは、<第Ⅰ部>でアウトソーシングに係る情報セキュリティ管理の全体
的な枠組みを概説し、<第Ⅱ部>でアウトソーシングの三つのプロセス、すなわち、計画
プロセス、実行・評価プロセス、改善プロセス毎に、具体的な情報セキュリティ管理につ
いて記述している。
<第Ⅰ部>は、アウトソーシングに係る情報セキュリティ管理の全体像を理解し、その
基本的な考え方を組織内に浸透させ、組織全体として共有するための指針として活用され
44
ることを想定している。
<第Ⅱ部>は、アウトソーシングに係る情報セキュリティ管理を効果的に実施するため
の個別的な留意事項として活用されることを想定している。
アウトソーシングの各フェーズの情報セキュリティ対策を具体的に記述した<第Ⅱ部>
の構成は、次のようになっている。
図 2本ガイダンス<第Ⅱ部>の構成
本ガイダンスで示す情報セキュリティ向上策を活用するためには、図 2 のようなプロセ
ス毎の対応を行うことが望ましいが、すでに実施中のアウトソーシングに関しては、実行・
評価プロセスのうちの評価から開始して、改善プロセスを通じて、計画の練り直しへとフ
ィードバックする方法が考えられる。
なお、本ガイダンスは、強制規範的な対策を示すことを目的とはしていない。従って、「XXX
計画プロセス(主に経営層向け)
実行・評価プロセス(主に調達担当者向け)
改善プロセス(主に情報セキュリティ担当者向け)
3.1アウトソーシング戦略の策定
3.2アウトソーシングにおける情報セキュリティ管理基盤の整備
4.1アウトソーシング先の選定
4.2アウトソーシング先との委託業務契約
4.3アウトソーシング先の状況確認
4.4事故対応
5.1社内プロセスの改善
5.2アウトソーシング先の情報セキュリティ水準の向上
55
すること」、「XXXが望ましい」等の記述がある場合であっても、その対策をとらないことに
よって、特定の法令・規制等の義務違反に結びつくというものではない。
66
<第Ⅰ部>
1.アウトソーシングに係る情報セキュリティ管理の考え方
サプライチェーンに代表される企業間業務連携の進展に伴い、企業の持つ重要情報を外
部に預託せざるを得ない状況が多く見られるようになってきた。
このため、アウトソーシング先において預託情報の適切な管理が行われないために発生
する事件、すなわち、預託情報が第三者の手に渡る情報漏えい(いわゆる機密性のリスク)、
預託情報のリアルタイム性が損なわれる又は何者かに不正に書き換えられる改ざん(いわ
ゆる完全性のリスク)、アウトソーシング先の業務が不慮の事故等により中断することの影
響で自社の事業が継続できない(いわゆる可用性のリスク)といったことが問題となって
きている。このような、アウトソーシングに係る情報セキュリティリスクは、発注元企業
の業務遂行に対する脅威に留まらず、その競争力及び社会的責任等を損なう脅威にもなっ
ている。
情報セキュリティ上の脅威に適切に対処するためには、アウトソーシング先の選定時に
おいて、情報セキュリティに係る考慮事項を検討する情報セキュリティ担当者と、アウト
ソーシング先との契約条項を検討する調達担当者等との間で、緊密な連携がとれているこ
とが不可欠である。そのためには、経営層が主導的立場を発揮して組織間の連携体制を整
備することが必要であることはいうまでもなく、加えて、本ガイダンスで示すような、ア
ウトソーシング実施中の評価、更には改善活動を継続的に実施していく必要がある。
なお、情報セキュリティ上の脅威への対処については、発注元企業がアウトソーシング
先の情報セキュリティ対策を直接コントロールすることが一般には難しいため、契約にお
ける情報セキュリティ上の要求条項の明確化、発注元企業の判断によるアウトソーシング
先に対する監査の実施、といった間接的な手法を検討する必要がある。
1.1.アウトソーシング戦略と事業戦略の考え方
企業における情報セキュリティ戦略5(情報セキュリティ基本方針やリスク管理目標)と
アウトソーシング戦略は、より上位の事業戦略に従って、全体として整合性のとれた戦略
リンケージとして策定されていることが望ましい。しかし、現実には、アウトソーシング
戦略と情報セキュリティ戦略の整合がうまく図られていないケースもある。
アウトソーシングにおける情報セキュリティの重要性は十分に認識されてはいるものの、
5 ここでは"アウトソーシング戦略"と呼ぶが、"アウトソーシング方針"、"調達戦略"、"調
達方針"等の名称で呼ばれることもある。例えば、経済産業省「自動車産業適正取引ガイドライン」では、"調達戦略"と呼ばれる。
77
アウトソーシングに伴うリスクが正しく認識されていない、あるいはアウトソーシングに
特有の理由によって適切な情報セキュリティ対策を適用できないといったことが、その要
因として考えられる。
図 3事業戦略を踏まえたアウトソーシング戦略と情報セキュリティ戦略の関係
企業における情報管理について、法制度の面からは、「個人情報6」については個人情報保
護法において情報管理の徹底が要請され、「営業秘密7」については不正競争防止法において、
適正な管理が行われていることを前提とした保護が提供されている。また、いわゆる金融
商品取引法における内部統制システムの要請として、財務報告の信頼性に影響を及ぼす場
合には、アウトソーシング先に対する適切な管理が、上場企業だけでなく、当該企業と取
引関係にある会社や組織についても求められることがある。その一方で、アウトソーシン
6 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等
により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)7 不正競争防止法では「秘密として管理されている生産方法、販売方法その他の事業活動に
有用な技術上又は営業上の情報であって、公然と知られていないものをいう」と定義されている。
・海外事業拡大
・コア事業の強化
・業務効率化
・コスト削減
事業戦略
アウトソーシング戦略
・委託業務の対象/範囲・海外(オフショア)/国内・コスト重視/技能重視
情報セキュリティ戦略
・情報セキュリティ水準
・情報提供の範囲・情報セキュリティ投資
アウトソーシングにおける情報セキュリティ管理基盤
・選定・契約・発注
・モニタリング・・
88
グ先に対する情報セキュリティ上の要請に際しては、独占禁止法、下請法等に反さないよ
うよう配慮が必要である。
1.2.アウトソーシングにおけるリスクの考え方
アウトソーシングを検討する際には、セキュリティ上のリスク、コンプライアンス上の
リスクについても十分に考慮する必要がある。これらのリスクを検討する際に考えなけれ
ばならない論点の例を表 1に示す。
表 1 アウトソーシングにおける情報セキュリティと関連する領域
関連領域 主な論点の例
事業戦略 ・事業戦略とアウトソーシングが整合しない場合にどのように対処するか
リスク管理 ・アウトソーシングの活用による効果とリスクをどのように判断するか
・アウトソーシング先の情報セキュリティリスクをどのように判断するか・アウトソーシング先の従業員の異動・退職のリスクをどのように判断す
るか
・情報セキュリティを理由に追加で発生するコストを考慮しているか・アウトソーシング先との責任分担を事前に取り決めているか
・情報セキュリティに関する様々な問題を加味した契約になっているか
事業継続 ・アウトソーシング先の情報システムが停止した場合にどのように対処す
るか
・アウトソーシング先の事業破綻などにより、委託が継続できなくなった場合にどのように対処するか
情報システムの信頼性
・アウトソーシング先の情報システムや IT を用いた業務の信頼性をどのように確保し確認するか
サービス品質 ・アウトソーシング先のサービスの情報セキュリティに係る品質をどのように確保し確認するか
法令遵守 ・アウトソーシング先からの個人情報漏えい等にどのように対処するか
・アウトソーシング先の情報セキュリティに関する管理対策をどのように
確保し確認するか・アウトソーシング先の内部統制をどのように確保し確認するか
・内部統制の構築・評価範囲をどこまで拡大するか
・アウトソーシング先への営業秘密の開示方法・営業秘密が漏えいした場合の対処方策
知財管理 ・企業として知的財産をどのように管理すべきか(秘匿するもの、積極的に活用するもの)
・委託した情報資産の所有権の扱いを事前に定めているか
安全保障 ・安全保障上の問題のある輸出(情報の流出)をどのように防ぐか
アウトソーシング対象業務、アウトソーシング先企業等の要因により論点は異なるため、
実際のリスク分析においては、適切な取捨選択及び論点の追加を行うこと。
1.3.アウトソーシング実施プロセスのモデル
アウトソーシングのプロセスは、計画プロセス、実行・評価プロセス、改善プロセスの
99
三つのフェーズに分け、PDCA のマネジメントサイクル8を想定する。
(1) 計画プロセスは、管理部門などがアウトソーシング全体の管理に関する基本設計
を行うプロセスであり、アウトソーシング戦略の策定を行い、それに基づき、個々
のアウトソーシングに共通の情報セキュリティ管理基盤を整備することをいう。
(2) 実行・評価プロセスは、運用担当部門などが実際にアウトソーシングを運用する
プロセスであり、個々のアウトソーシングの運用担当者は情報セキュリティ管理基
盤を利用して、アウトソーシング先の選定、アウトソーシング先との契約、アウト
ソーシング先の状況確認を行う。また、事故が発生した際には、通常の実行プロセ
スとは別に事故対応を行う。
(3) 改善プロセスは、管理部門などが業務の見直しを行うプロセスであり、社内プロ
セスの改善を行い、アウトソーシング先の情報セキュリティ水準の向上に資する。
図 4 アウトソーシングのプロセス
2.アウトソーシング実施プロセスの概要とリスクの例
以下に、それぞれのアウトソーシングプロセスを具体化した実施事項と、その実施事項
に関係して考慮すべきリスクについて概説する。
8 計画(Plan)、実行(Do)、評価(Check)、改善(Action)を一つのサイクルとして認識し
て、適時なフィードバックによって継続的に改善を行うマネジメントの手法。ISO などの国
際規格でも推奨されているアプローチである。また、リスクマネジメントの観点からも、JIS Q 2001 においてプロセスモデルとして採用されている。
実行・評価プロセス
計画プロセス
アウトソーシングにおける
情報セキュリティ管理基盤の整備
アウトソーシング戦略の策定
アウトソーシング
先の選定
アウトソーシング先
との契約アウトソーシング先
の状況確認
発注・移行契約 検収・評価モニタリング監査
事故対応
改善プロセス
社内プロセス
の改善
アウトソーシング先の
情報セキュリティ水準の向上
1010
2.1.計画プロセスにおける実施事項と考慮すべきリスク・対策実施上のポイント
計画プロセスは、次の二つの実施事項から構成され、それぞれで考慮すべきリスクと、
最低限の対策を実施する上でのポイントは以下の通りである。
実施事項 アウトソーシング戦略の策定
リスク � 事業戦略との不整合
� 期待効果を上げられない
� 誤ったアウトソーシング対象業務の選定
� 不適切なセキュリティレベルの決定 等
実施上の
ポイント
「アウトソーシングに期待する効果の整理」
アウトソーシングにおける情報セキュリティリスクを含むリスクへの対応方
針を決定する上で、アウトソーシングの期待効果はリスクを含んだ費用対効果
分析を行う上で重要な判断基準となる。経営層が中心となり、事業戦略に基づ
いたアウトソーシングの期待効果を検討し、それらを組織の共通認識として明
確にする。
「アウトソーシング対象とする業務の選定」
事業戦略及び組織のアウトソーシングの期待効果に基づいて、実際にアウト
ソーシングを利用する業務とその範囲を決定する。アウトソーシングの対象と
する業務の選択段階においても情報セキュリティリスクを適切にコントロール
することで、アウトソーシングの効果を最大限に活用する。
「セキュリティレベルの決定」
リスク識別の結果と取り扱う情報の機密性・完全性・可用性等を総合的に判
断して、各業務に対してアウトソーシング先に求めるセキュリティレベルを数
段階で設定する。各セキュリティレベルでは、レベルに見合った個々の情報セ
キュリティ管理策を設定する。
実施事項 アウトソーシングにおける情報セキュリティ管理基盤の整備
リスク � アウトソーシングに関係している各部門を横断した社内連絡体制の不備
� アウトソーシングを考慮したセキュリティ要求事項の不備
� 共通アウトソーシング契約書フォーマットの不備
� アウトソーシングに係る対策情報報告形式の不備 等
実施上の
ポイント
「情報セキュリティ管理基盤の整備方法と実行・評価プロセスへの活用」
個々のアウトソーシング業務における様々な情報セキュリティリスクに対応
するため、アウトソーシング戦略及び情報セキュリティ戦略に基づき、企業内
部に、個々の委託業務に対して共通に機能する、統括的な情報セキュリティ管
理基盤を整備する。
1111
「関連規定の整備」
アウトソーシングの実行・評価プロセスにおいて必要となる主な関連規定の
整備として、アウトソーシング先選定基準、情報セキュリティ要求事項、契約
書フォーマット等の策定を行う。
少なくともここで示したリスクについて検討することが推奨される。
2.2.実行・評価プロセスにおける実施事項と考慮すべきリスク
実行・評価プロセスは 4 つ実施事項から構成され、それぞれで考慮すべきリスクと、実
施上のポイントは以下の通りである。
実施事項 アウトソーシング先の選定
リスク � セキュリティ対策が十分でない業者の選択
� 不正・不法な業者の選択
� 競争関係にある業者の選択 等
実施上の
ポイント
アウトソーシングにおける情報セキュリティ管理基盤の整備において策定さ
れた、アウトソーシング先選定基準に基づいてアウトソーシング先を決定する。
推奨アウトソーシング先リスト(P.20 脚注 13 参照)等を活用することでアウ
トソーシングにおける情報セキュリティレベルの全体的なレベルアップを図る
ことができる。
実施事項 アウトソーシング先との契約
リスク � 情報セキュリティ要求事項、責任分界、補償条項等が明確に示されないこ
とによる事前・事後のトラブル
� 委託した情報資産に関する所有権の取り決めが無いことによる知財紛争
� 必要な場合にモニタリングもしくは監査を受け入れる条項が示されていな
いことによる対策実施状況の確認ができない事 等
実施上の
ポイント
「契約時の考慮事項」
契約や発注仕様書の中で情報セキュリティ要求事項をアウトソーシング先へ
提示する。要求事項の漏れを防ぐために、全社共通の契約書フォーマットを活
用し、個別の業務に係る部分については、法務担当者と現場責任者が相談の上、
変更を加える。
「発注・移行」
契約に基づいて、実際に発注を行い、業務をアウトソーシング先に移行させ
る。契約の中で示された情報セキュリティ要求事項に沿って、アウトソーシン
グ先の情報セキュリティ体制の構築について必要な指示又は協議を行う。
1212
実施事項 アウトソーシング先の状況確認
リスク � 契約で定めた情報セキュリティ要求事項について不備が存在する
� 従業員の不正/ミスによる機密情報の漏えい
� アウトソーシング先における法令違反
� ソフトウェア・情報の不正利用 等
実施上の
ポイント
「モニタリング・監査」
アウトソーシング先の情報セキュリティ対策の実施状況のモニタリングや監
査を行う。アウトソーシング先からの定期報告や確認シートの提出、及び必要
に応じてアウトソーシング先に対する監査の実施等によって実現する。
「検収・評価」
アウトソーシング先における契約の中で示された情報セキュリティ要求事項
の遵守状況について評価を行う。また成果物に対して、何らかの情報セキュリ
ティ対策に係る要求が規定されている場合には、それらに対する検収を行う。
実施事項 事故対応
リスク � 事故対応の責任分担が不明確
� 事業継続計画の不備
� 犯罪と疑わしい行為が発覚した際の証明材料の不足 等
実施上の
ポイント
アウトソーシングの実行プロセスで事故が発生した場合、情報セキュリティ
要求事項の中で定めた対応方針に基づいて、アウトソーシング先の対応状況に
ついて確認を行う。
2.3.改善プロセスにおける実施事項と考慮すべきリスク
実行・評価プロセスは二つの実施事項から構成され、それぞれで考慮すべきリスクと、
実施上のポイントは以下の通りである。
実施事項 社内プロセスの改善
リスク � アウトソーシング先に対する不適切な評価
� 社内プロセスの問題点が適切に改善されずに残存すること 等
実施上の
ポイント
アウトソーシングの実行・評価プロセスの中で顕在化した課題や問題点につ
いて、アウトソーシングにおける情報セキュリティ管理基盤(体制、規定類等)
の見直しや、実行・評価プロセスの改善に反映させる。
実施事項 アウトソーシング先の情報セキュリティ水準の向上
リスク � アウトソーシング先のリスクが改善されずに残存すること 等
1313
実施上の
ポイント
アウトソーシング先の情報セキュリティに関する評価結果をフィードバック
するとともに、協議・研修等の機会を提供することでアウトソーシング先の情
報セキュリティの向上を図る。
1414
<第Ⅱ部>
3.アウトソーシング計画プロセスにおける情報セキュリティ管理
アウトソーシング計画プロセスは、アウトソーシング戦略の策定とアウトソーシングに
おける情報セキュリティ管理基盤の整備からなる。
図 5 アウトソーシング計画プロセス
3.1.アウトソーシング戦略の策定
アウトソーシング戦略の策定とは、事業戦略に基づき、アウトソーシングによって得ら
れる効果とリスクを考慮して、アウトソーシングをどのように利用するかの方針を決定す
るプロセスである。
その際、考慮すべきリスクの中に情報セキュリティリスクを含めることで、個々のアウ
トソーシング業務に求められる適切な情報セキュリティレベルを判断することができる。
このようなリスクの例としては「事業戦略との不整合」、「期待効果を上げられない」、「誤
ったアウトソーシング対象業務の選定」、「不適切な情報セキュリティレベルの決定」等が
考えられる。
アウトソーシング戦略と事業戦略及び効果の関係について図 6に示す。
図 6アウトソーシング戦略と事業戦略及び効果の関係
実行・評価プロセス計画プロセス
アウトソーシング
における情報セキュリティ管理基盤の整備
改善プロセス
アウトソーシング戦略の策定
事業戦略
海外事業拡大
コア事業の強化
業務の改善
コスト削減
アウトソーシング戦略
海外パートナーとの連携
期待効果:現地の専門人材
コア業務以外を分社化
期待効果:経営資源のコア業務への集中 等
業務システム開発
期待効果:業務プロセスの改善、組織のスリム化 等
ビジネスプロセスアウトソーシング
期待効果:人件費削減、固定費削減 等
アウトソーシング戦略と期待効果の例
ノウハウの活用 等
1515
3.1.1.アウトソーシングに期待する効果の整理
アウトソーシングに期待される効果は、表 2 に挙げるように、業務改善・コスト削減と
専門的スキル・人材の活用に大別される。
アウトソーシングの期待効果は、アウトソーシングにおけるリスクへの対応方針を決定
する上で重要な判断基準となる。そのため、経営層が中心となり、事業戦略に基づいたア
ウトソーシングの期待効果を検討し、それらを組織の共通認識として明確にする。
表 2 アウトソーシングに期待する効果の例
業務改善・コスト削減 専門的知識・スキル・人材の活用
経営資源のコア業務への集中
業務プロセスの改善
業務コストの削減
財務体質の改善(固定費の変動費化)
組織のスリム化
情報把握や意思決定の迅速化
情報セキュリティリスクの軽減
作業精度の向上
法令等改正への対応
業務の継続性の確保(社員の異動・退職によるノ
ウハウ喪失の回避)
自社社員の人材育成
(BPO研究会報告書9を基に(株)三菱総合研究所作成)
3.1.2.アウトソーシング対象とする業務の選定
事業戦略及び組織のアウトソーシングの期待効果に基づいて、実際にアウトソーシング
を利用する業務とその範囲を決定する。アウトソーシング対象とする業務の選択段階にお
いてもリスクを適切にコントロールすることで、アウトソーシングの効果を最大限に活用
する。
具体的には以下のような点に留意する。
(1)コア業務に係るアウトソーシングの実施
企業のコアコンピタンスに係る業務のアウトソーシングについては、発注元企業が事業
を推進する上で、何に(製品・サービス、コンセプト・アイディア、人材等)付加価値を見
出していくかを明確にした上で、その付加価値を損なわない業務を選定する。
外部に提供された情報の不正利用によって競争の源泉が損なわれる可能性のある業務は、
事業戦略に係るリスクという大局的観点から、アウトソーシングの対象としてよいかどう
かについて、極めて慎重な意思決定が求められる。
9経済産業省「BPO(業務プロセスアウトソーシング)研究会報告書」(平成 20 年)。
1616
(2)長期的効果/短期的効果
長期的に活用するアウトソーシング業務の場合には、事業継続に与えるリスクを重く見
る必要があるため、特定企業への依存性の高さ、つまり障害発生の際に代替アウトソーシ
ング先が存在するのかどうか等について予め検討しておく必要がある。
アウトソーシング業務の内容によっては、複数企業に委託可能なよう、委託する業務を
細分化することで、リスクを分散することを検討することも必要となる。
(3)段階的なアウトソーシング導入
アウトソーシングによって得られる効果、及びリスクの大きさが明確に推測できない場
合、最初は失敗した際の損失が最も少ない部分から開始し、段階的に対象業務の範囲を拡
大していく方法が考えられる。
(4)アウトソーシング実施におけるリスクアセスメントの実施
アウトソーシングを実施した場合に想定されるリスクを識別し、それぞれのリスクに対
する適切な対応策を検討しておく。アウトソーシング先に対する管理策に対する要求事項
を明確にするために、以下のような事項を考慮に入れたリスクアセスメントを実施するこ
とが望ましい。10
a. アウトソーシングの形態11
発注形態、業務種別、業務拠点、リソースの保有等 のアウトソーシングの形態
b. 預託情報の範囲、アクセス手法の種類アウトソーシングにおいて提供する情報の範囲と、それらへのアクセスの種類(物理的
アクセス、論理的アクセス(組織のデータベース、情報システムなどへのアクセス)、
ネットワーク間の接続)
c. 預託情報が漏えい、棄損等した際の影響度アウトソーシング先に提供する情報の価値、取扱に慎重を要する度合い(参考として、
表 3に情報の影響度分析の例を示す。12)
表 3情報の影響度分析の例
10 JISQ 27002:200611 詳細は、「付録 1 アウトソーシングの形態と情報セキュリティリスク 」を参照のこと。12 影響度分析の例としては、影響度を「人命に影響、甚大な経済損失」「社会的影響が極め
て大きい」「社会的影響が限定される」「社会的影響が殆ど無い」とする例もある(経済産
業省、「情報システム・ソフトウェアの信頼性及びセキュリティの取組強化に向けて」中間報告書(案))。
1717
ランク 情報に関する定義 影響度 対象 規模 情報の例
Ⅰ 不当な事象が社会
全体に重大な影響を及ぼし、国内・外
までに及ぶ大混乱
を起こし得る情報
・ 人命、国家レベルの財産等へ重大な影響を
及ぼす
・ 損害賠償額は非常に大きい
・ 倒産
・ 人命・ 国
甚大 ・ 国防、国家機密情報等・ 人命に関わる重大な情報
・ 重要インフラの維持安全に係る重大な情
報
・ 災害対応のための情報
・ プライバシー(機微)情報
Ⅱ 不当な事象が一組織の範囲を超えて
社会インフラに、重
大な被害を及ぼし、社会の一部に混乱
を引き起こし得る
情報
・ 行政事務の執行、ライフラインの維持等に
重大な影響を及ぼす
・ 損害賠償額は大きく事業継続を困難にさ
せる
・ 重要インフラ
大 ・ 重要インフラの運用に関わる重大な情報
・ 金融・証券情報・ プライバシー(機微)
/個人情報
・ レセプト情報
Ⅲ 不当な事象が、組織
又は個人に重大な被害を及ぼすと想
定される情報
・ 特定個人、顧客に重大な被害を及ぼす
・ 損害賠償額は中規模であり、事業継続を困
難にさせる
・ 関連する組織に重大な影響を及ぼす
・ 関連組織
・ 顧客
中 ・ プライバシー(機微)/個人情報
・ 重要度の極めて高い営業秘密情報
・ 膨大量の顧客リスト・ インサイダ情報/公開前の財務情報
Ⅳ 不当な事象が、組織
又は個人に相当程度の被害を及ぼす
と想定される情報
・ 特定個人、顧客に被害を及ぼす
・ 損害賠償額は小~中規模であり、事業継続
に何らかの影響を与
える
・ 関連組織
・ 顧客
小~
中・ 重要な営業秘密情報(公開前の特許情報、
技術情報、ノウハウ情
報、一部の顧客リスト、etc.)
・ 組織内個人情報(機微情報)
・ 取引先法人・個人情報(除く機微情報)
Ⅴ 不当な事象が、組織
又は人に限定的な
被害を及ぼすと想定される情報
上記以外の情報
・ 限定的な組織、社員に被害を及ぼす
・ 損害賠償額は極めて小規模であり、事業継
続には影響しない
・ 限定組織
・ 社員
極小
~小・ 営業秘密性がそれほど高くない情報(社員
の会社電話番号、会社
メールアドレス、法人
コンタクト情報、etc)
・ 通常の社内業務情
報
d. アウトソーシング先の従業員の理解度アウトソーシング先の従業員の情報セキュリティに関する理解度、情報セキュリティ教
育の実施状況
e. アウトソーシング先のアクセス管理の状況アウトソーシング先において預託情報へのアクセス管理が適正になされているかどう
か
f. 情報の格納、処理、通信、共有及び交換に対する管理の状況
1818
アウトソーシング先に提供する情報を適正に保護するために必要となる、情報の格納、
処理、通信、共有及び交換における管理策の実施状況
g. アウトソーシング先の業務上の過失による影響度
アウトソーシング先の過失により業務内容に誤りが生じた際の影響度
h. インシデント発生時の事業継続性
アウトソーシング先で情報セキュリティインシデントが発生し、事業継続が困難になっ
た際の影響度
i. 法令及び規制の要求事項、契約上の義務
アウトソーシング業務に関連する法令及び規制、契約上の義務
j. 契約が他の関係者に及ぼす影響の度合い
アウトソーシング契約が他の業務や関係者の利害に及ぼす影響度
(5)識別されたリスクへの対応方針
アウトソーシング対象業務のリスクアセスメントの結果と期待効果を総合的に判断して、
各リスクへの対応方針を定める。リスク対応としては、以下のような選択枝がある。
� リスクの低減 (情報セキュリティ管理策の適用)
� リスクの受容 (経営層が合意した明確な基準を設けることが望ましい)
� リスクの回避 (アウトソーシングの中止、委託業務範囲の変更 等)
� リスクの移転 (保険の適用 等)
効果を大きく上回るリスクが存在する場合には、その業務についてはアウトソーシング
の対象としないというリスク回避を検討し、低減策を講じてもリスクが残り、受容するに
は過剰なリスクであれば、その分を保険で手当てし、受容可能なリスクの大きさに抑える
といった考え方が一般的である。
3.1.3.セキュリティレベルの決定
アウトソーシングにおける情報セキュリティリスク低減の方策としては、情報セキュリ
ティ管理策の適用が考えられるが、全てのアウトソーシングに対して最高レベルの管理策
を適用させることは非効率的であり、そもそものアウトソーシングの期待効果を低減させ
てしまう可能性がある。
そこで、リスク識別の結果と取り扱う情報の機密性・完全性・可用性を総合的に判断し
て、各業務に対してアウトソーシング先に求める情報セキュリティレベルを数段階で設定
する。各セキュリティレベルに見合った個々の情報セキュリティ管理策を設定することに
なる。
1919
なお、このセキュリティレベルは必ずしもアウトソーシング戦略の中で規定する必要は
なく、「3.2 アウトソーシングにおける情報セキュリティ管理基盤の整備」の中で定めても
よい。
(セキュリティレベルの設定例)
●高レベル(機密情報を扱う業務、個人情報や顧客より委託された情報を扱う業務)
●中レベル(機密情報以外の情報を委託する業務、高レベルを除く社外非公開の情報を委
託する業務)
●低レベル(アウトソーシング先との間に情報等の提供・交換を伴わない業務)
2020
3.2.アウトソーシングにおける情報セキュリティ管理基盤の整備
アウトソーシングは、委託する業務によって形態や規模は様々であり、アウトソーシン
グ業務を、担当部署毎に個別管理していると、部署毎・案件毎に情報セキュリティレベル
に大きな差が生じてしまう。
そこで、計画プロセスにおいては、個々のアウトソーシング業務から発生する情報セキ
ュリティリスクに対応するため、アウトソーシング戦略及び情報セキュリティ戦略に基づ
き、アウトソーシングに対して共通に機能する、全社的な情報セキュリティ管理基盤を整
備することが望ましい。情報セキュリティ管理基盤は、子会社・関連会社を含む連結ベー
スで構築することが望ましい。
情報セキュリティ管理基盤は、アウトソーシングにおける情報セキュリティ管理体制、
各種規定(アウトソーシング先選定基準、情報セキュリティ要求事項、契約書ひな型、報
告形式等)や推奨アウトソーシング先リスト13 など、アウトソーシングプロジェクトを情
報セキュリティの観点から組織横断的に管理するための共通プラットフォームとして機能
するものである。
3.2.1.情報セキュリティ管理基盤の整備方法と実行・評価プロセスへの活用
情報セキュリティ管理基盤の整備方法と実行・評価プロセスへの活用方法を示す。
(1)組織横断的な情報セキュリティ管理基盤の整備
情報セキュリティ管理基盤には、次の要素が含まれる。
a. 組織横断的体制の整備企業内部にアウトソーシングの情報セキュリティ管理を行うための組織横断的な体制
を構築する。
b. 規定の整備アウトソーシングの実行・評価プロセスにおいて、統一した情報セキュリティレベルを
確保するための各種規定を整備する。
c. モニタリング・監査体制の整備個々のアウトソーシング先における情報セキュリティ遵守状況に関するモニタリング
(オフサイト監視/オンサイト監視)・監査(内部監査/外部監査)体制を整備する。
13 調達管理者等が作成する、アウトソーシング先における過去の情報セキュリティ対策の
遵守状況やインシデント対応の状況等に基づいて、優良なアウトソーシング先を抽出又は
グルーピングし、企業内部の各部門がアウトソーシング先を決定する際の拠り所として推奨するためのリストをいう。
2121
d. 社内プロセスの改善体制の整備アウトソーシングにおける情報セキュリティ関連情報の蓄積・共有(監査結果、セキュ
リティ関連トラブル、対策等の事例の蓄積)と、それに基づく社内プロセス改善体制の
構築。
(2)アウトソーシングの実行・評価プロセスにおける情報セキュリティ管理
現場担当者は、情報セキュリティ管理基盤を活用して、各実行・評価プロセスの情報セ
キュリティ対策を実装する。
(3)情報セキュリティ管理基盤と各実行・評価プロセスの関係
現場担当者は、個々のアウトソーシングにおいて顕在化した課題や問題を情報セキュリ
ティ管理基盤にフィードバックすることで、社内プロセスの改善に繋げる。
3.2.2.体制の整備
なお、相当規模の企業を想定した場合の、アウトソーシングの各プロセスにおける担当
部署の責任と役割の例を表 4 に示す。
表 4アウトソーシングにおける関係者の役割の例
関係者 役割
計画
プロセス
改善
プロセス
経営層 アウトソーシング戦略の策定
調達管理者 アウトソーシングの全体管理アウトソーシングに係る規定や手続きの整備
監査・モニタリングの実施
アウトソーシングに係る社内プロセスの改善
情報システム管理者(情報セキュ
リティ管理機能
を担う部署の担当者も含む)
アウトソーシングにおける情報セキュリティの全体管理情報セキュリティに係る規定の策定や手続きの整備
モニタリング・監査の実施
組織内部及びアウトソーシング先に対する情報セキュリティに関する指導
法務管理者 アウトソーシングにおける契約管理
契約に関する規定の整備、契約業務の一般化
検収管理者 アウトソーシングの成果物に対する検収の実施
実行・評価プロセス
現場責任者 アウトソーシング先の直接管理
アウトソーシング先のモニタリング・評価の実施
現場担当者 アウトソーシング先との情報交換
アウトソーシング先のモニタリング・評価の実施
3.2.3.関連規定の整備
アウトソーシングにおける情報セキュリティ管理基盤として、各種関連規定を整備する。
以下にアウトソーシングの実行・評価プロセスにおいて必要となる主な関連規定の整備に
2222
ついて説明する。
(1)アウトソーシング先選定基準の策定
最適なアウトソーシング先を選定するための基準を策定する。アウトソーシング先の選
定において、長期的なパートナーとなり得るか否かの観点が重要な場合は、アウトソーシ
ング先の業務遂行の品質のみならず、発注元企業とアウトソーシング先の事業戦略の相互
補完性などに留意する。
情報セキュリティに関しては、アウトソーシング実施中に違反があったとしても、それ
だけを理由に契約解除等の対処を行うことは難しい場合もある。
そのため、長期的な契約が予定されている場合は、アウトソーシング先選定段階におい
て、選定対象となる業者の情報セキュリティに対する考え方や取組姿勢を十分に理解し、
その体制を長期的に維持できるかを見極め、業務パートナーとしてお互いの付加価値向上
を目指す姿勢が重要である。
(情報セキュリティに関するアウトソーシング先選定基準を決める諸要素)
a. 過去の情報セキュリティ評価結果組織内で定常的にアウトソーシングが実施されている場合、アウトソーシング先に対す
る過去の情報セキュリティの評価結果を組織内で共有することが効果的である。過去の
情報セキュリティ対策の実施状況に基づき、アウトソーシング先をグルーピングした推
奨アウトソーシング先リストなどを活用するとよい。セキュリティレベル毎にアウトソ
ーシング先を示すことで、セキュリティを確保しつつ、資源の最適配置が期待される。
b. チェックシート等による事前調査の結果複数のアウトソーシング先の候補に対しては、チェックシート等による情報セキュリテ
ィ対策状況の確認や、必要に応じて現場を視察するなどして、その調査結果がアウトソ
ーシング先の選定に反映されるようにする。
c. 海外リスク海外のアウトソーシング先に対しても、国内の業者と同様の選定基準を適用することを
原則とするが、国それぞれの法体系の違い等から生じる、図 7に示すような海外アウト
ソーシングにおいて顕在化しやすいリスクが存在するため、リスクアセスメントを行い、
対策の加除修正が必要かどうかの判断を行うこと。14
14海外アウトソーシングにおいて顕在化しやすいリスクとそれらに対する対策の方向性に
ついては、付録 2 海外アウトソーシングにおける情報セキュリティに係る留意点として取り纏めてあるので参照されたい。
2323
図 7海外アウトソーシングにおける主なリスク
d. その他の選定基準・情報セキュリティに関する各種認証等の取得状況(海外アウトソーシングの場合、現地
国認証の水準、国内認証との相互認証の有無等を確認する)
・セキュリティポリシーの有無
・情報セキュリティ報告書の有無
・セキュリティ事故の履歴及び対処方法
・事故発生時の損害賠償能力の評価(あるいは関連保険への加入状況の確認)
・再委託の可能性の有無及び再委託先へのセキュリティ管理・監督方法の確認
(2)情報セキュリティ要求事項
アウトソーシング先に求める情報セキュリティ管理策の要求事項を策定する。アウトソ
ーシング業務に対して定めた情報セキュリティレベル毎に、契約に含める要求事項の項目
法制度や契約の理解と遵守法務専門家の意見も踏まえ適切に対処
委託先の従業員教育の支援安全性に関する意識を形成、共有
�高い離職率によるリスク最初から離職することを前提に対応しなければならず、ノウハウや知見、技術情報等の流出は避けられない
� 文化や価値観の違いによるリスク委託元と受託側の「安全」に係る意識の差が大きく、セキュリティ要求の意図が伝わらない
� コンプライアンスのリスク・暗号規制が、情報の共有範囲を拡大する際の障壁となる・契約に明記された知財以外は保護の対象としない
主要な留意事項主要な留意事項
提供する情報の徹底した管理渡した情報は流出することを前提とする
対策の方向
2424
を選定する。
(3)契約書フォーマットの作成
アウトソーシング先との契約には、関連する情報セキュリティに係る条項を含めること
が望ましい。また、問題が発生した際の対処方法についても明確化しておくことが望まし
い。
定型的フォーマットに含めるべき情報セキュリティに係る契約条項の例として、以下の
項目が挙げられる。なお、アウトソーシング先との契約において、以下の項目を全て含め
る必要はなく、委託する業務の性質等に応じて、必要な項目を選定する。 15
a. 情報セキュリティ要求事項 16
情報セキュリティに係る要求事項については、管理策を示すだけでなく、実施状況の確
認方法(定期的な報告、モニタリング、監査の実施等)や、不備があった場合の対応に
まで踏み込んだ明確な取り決めを行う。また、その重要性を主張するために、「情報セ
キュリティ対策に係る特記事項(例)」のような形で提示することも考えられる。
(含めることが考えられる項目)
・情報セキュリティ管理策
・報告の方法
・監査の実施
・再委託の禁止、又は再委託制限に関する事項(再委託の事前報告/承認)
・情報セキュリティ上の不備への対応
b. 関連する契約情報セキュリティ要求事項に加え、秘密保持契約(NDA)17やサービス水準合意契約(SLA)18など、情報セキュリティに係る契約が必要となる場合がある。
(含めることが考えられる項目)
・知的財産権の取扱
・ NDAの取り交わし
・ SLAの取り交わし
15海外アウトソーシングおける契約ひな形の作成において、特に注意すべき点については付
録 2 を参照されたい。16 JIS Q27002:2006 6.2.3 第三者との契約におけるセキュリティを参考。17 Non Disclosure Agreementの略。「職務上知った秘密を守る」ことを規定する契約をいう。18 Service Level Agreementの略。IT サービスの提供者と発注元との間で、ITサービスの
契約を締結する際に、提供するサービスの範囲・内容及び前提となる諸事項を踏まえた上
で、サービスの品質に対する要求水準を規定するとともに、規定した内容が適正に実現されるための運営ルールを両者の合意として明文化したものをいう。
2525
c. 事故が発生した際の対応契約期間中に情報セキュリティ事故が発生した場合の対応として、契約書の中で、責任
の所在、応急対応/復旧対応等の実施主体、及び具体的な対応方法について明確にする。
(含めることが考えられる項目)
・損害賠償責任(情報セキュリティ事故を含めた債務不履行に関する契約解除権、損害賠
償請求権)
・アウトソーシング先の廃業、買収時の取り決め19
・事故対応時の調査の実施、費用の負担
・事故発生時の協力体制(発注元従業員の介入・協働)
・準拠法、仲裁裁判所
d. その他(含めることが考えられる項目)
・仕様変更への対応
・法的要求事項(個人情報保護法等)
・契約締結前の作業への着手
・成果物に対するセキュリティ※
※(例)社団法人情報サービス産業協会(JISA)ソフトウェア開発委託基本モデル契約書(該
当箇所の抜粋)
第50条 乙が納入する本件ソフトウェアのセキュリティ対策について、甲及び乙は、そ
の具体的な機能、遵守方法、管理体制及び費用負担等を協議の上、別途甲乙双方の責任者
が記名押印した書面により定めるものとする。20
(4)情報セキュリティ対策状況の報告形式の作成
アウトソーシング先の情報セキュリティ対策状況をモニタリングするために、情報セキ
ュリティ要求事項の遵守状況を確認するためのチェックシートや報告形式を作成する。
a. 情報セキュリティ対策チェックシートアウトソーシング先の情報セキュリティ対策状況に関する情報を確認するために、セキ
ュリティ要求事項に沿った形のチェックシートを作成する。
b. 報告形式情報セキュリティの実施状況に加え、体制の変化や情報の移動など、情報セキュリティ
19共同研究開発等で、一方の企業が買収された際には、とりあえずは話し合いの機会が持た
れることが多い。ただし、交渉が一定(1ヶ月位)以上長引く場合には、分解する方向に持っていくのが一般的である。20 社団法人情報サービス産業協会(JISA)ソフトウェア開発委託基本モデル契約(平成 20
年 5 月版)より抜粋。http://www.jisa.or.jp/legal/download/contract_model2008.pdf
2626
に係る情報共有のために、アウトソーシング先に記入・提出を求めるための報告形式を
作成する。
(報告形式に含めることが考えられる項目)
・秘密情報の受け渡し履歴、閲覧履歴
・再委託時の再委託先との情報受け渡し履歴
2727
4.アウトソーシング実行・評価プロセスにおける情報セキュリティ管理
アウトソーシング実行・評価プロセスは、アウトソーシング先の選定、契約、状況確認
からなる。また、事故対応が必要となる場合もある。
図 8アウトソーシング実行・評価プロセス
4.1.アウトソーシング先の選定
アウトソーシングにおける情報セキュリティ管理基盤の整備において策定された、アウ
トソーシング先選定基準に基づいてアウトソーシング先を決定する。その場合に、推奨ア
ウトソーシング先等を活用することで、一定水準以上の情報セキュリティレベルを確保し、
情報セキュリティのレベルアップを図ることができる。
情報セキュリティ管理基盤の整備が遅れているにもかかわらず、アウトソーシング先を
選定しなければならない場合には、業者が提供する情報(営業用の公開情報だけでなく、
個別に提供される情報も含む)の内容や過去の実績に基づいて相対比較によって選定せざ
るを得ないことが多いが、その場合であっても、情報セキュリティレベル判定のためのチ
ェックシートを活用して選定することが望ましい。
4.2.アウトソーシング先との委託業務契約
アウトソーシング先との委託業務契約時に考慮すべき事項は、以下の通りである。
4.2.1.契約時の考慮事項
契約フォーマットをベースに、各アウトソーシング業務に固有の事項等を加えた個別契
約書を作成し、契約を行う。
契約や発注仕様書の中で情報セキュリティ要求事項をアウトソーシング先へ提示する。
要求事項の漏れを防ぐために、全社共通の契約書フォーマットを活用し、個別の業務に係
る部分については、法務担当者と現場責任者が相談の上、加筆・修正を加えることが望ま
しい。
実行・評価プロセス
アウトソーシング先の選定
アウトソーシング先
との契約
アウトソーシング先
の状況確認
発注・移行契約 検収・評価モニタリング監査
事故対応
改善プロセス計画プロセス
2828
4.2.2.発注・移行
契約に基づいて、発注を行い、業務をアウトソーシング先に移行させる。契約の中で示
された情報セキュリティ要求事項に沿って、アウトソーシング先の情報セキュリティ体制
の構築について、具体的な指示を行う。
アウトソーシング先への業務移行作業の中では、情報セキュリティ管理策の実装及び運
用状況を監督する必要がある。具体的には、機材やソフトウェア、データの移動及びセッ
トアップ時における情報セキュリティ対策の確認、また組織面では、アウトソーシング先
における情報セキュリティ管理体制や、アウトソーシング先従業員に対する情報セキュリ
ティ教育の実施状況の確認が挙げられる。
4.3.アウトソーシング先の状況確認
アウトソーシング先に対しては、委託業務の進捗状況に加え、以下に示す、情報管理の
状況についても定期的に確認する必要がある。ただし、委託する業務内容、預託する情報
の価値等を勘案した上で、過度な要求にならないよう調整を行い、相互に了解の上で、確
認方法を決定すること。さらに、定期的に見直しを行い、適正な確認頻度、確認方法を維
持するよう努めることが望ましい。
4.3.1.モニタリング・監査
委託業務契約で規定された情報セキュリティ要求事項への遵守状況について、アウトソ
ーシング先において、以下に示すモニタリング21あるいは監査を実施する。委託業務の内容
や重要性によってはモニタリングだけでその目的が達成できることもあるが、情報セキュ
リティ要求事項の遵守状況を客観的かつ確実に確認するためには第三者監査が必要となる。
モニタリングには、アウトソーシング先が行う自主的なモニタリングを発注元で再度確
認するためのモニタリング(オフサイトモニタリング)と、発注元がアウトソーシング先
に出向いて行うモニタリング(オンサイトモニタリング)がある。また、定期的に行われ
るモニタリングだけでなく、トラブル等の発生時に行う随時モニタリングが必要となるこ
ともある。
監査には、発注元の内部監査人や発注元が依頼した外部監査人がアウトソーシング先に
出向いて行う監査と、アウトソーシング先に対して外部の監査主体(監査会社等)による
監査の実施を求める方法がある。前者の場合には、発注元に専門技能を備えた監査人がい
ない場合は必然的に外部監査人に委託することになる。また、後者の場合、監査契約によ
21 ここで「モニタリング」とは、JIS Q 27002における「監視及びレビュー」に相当する。
「モニタリング」と「監査」を明確に区分することは困難であるが、ここでは、担当者か
ら独立した第三者性があり、定期的もしくは事故発生時等に行われるものを「監査」と呼んでいる。
2929
って監査報告書の提出先がアウトソーシング先となることがあるが、その場合には監査報
告書の写しを発注元でも受領できるよう、事前に監査報告書の開示範囲が適切に指定され
ているかの確認が必要となる。
なお、年に一度程度、一定の基準でスクリーニングしたアウトソーシング先に対する監
査を発注元の監査人が実施し、高度な技術を必要とする踏み込んだ情報セキュリティ要求
事項の監査について、別途、外部の監査専門家に依頼するという組み合わせもあり得る。
4.3.2.検収・評価
アウトソーシング先の業務及び成果物における情報セキュリティ要求事項への遵守状況
に関する検収・評価を行う。委託業務や成果物に対して、何らかの情報セキュリティ対策
に係る要求が規定されている場合には、適切な管理者がそれらに対する検収を確実に行い、
契約の中で示された情報セキュリティ要求事項の遵守状況についての評価を行う。これら
の検収と評価は、契約書、SLAにおける要求事項等に基づいて行う。
これらの検収・評価結果は、アウトソーシング業務に関わる管理情報として社内で共有
し、事後的な改善のために利用する。
4.3.3.情報の返却・廃棄
委託業務で不要になった情報・データについては、お互いに合意した手順に基づいて、
返却や廃棄を求め、その実施状況について確認する。アウトソーシング先に対するこれら
の確認にあたっては、返却・廃棄情報等に漏れがないかどうか、複製が作成されていない
かどうかという観点が重要である。
4.4.事故対応
アウトソーシングの実行プロセスの間に事故が発生した場合、情報セキュリティ要求事
項の中で定めた対応方針に基づいて、アウトソーシング先の対応状況について確認を行う。
緊急的対応を要する事故が発生した場合には、通常の情報セキュリティ対策の運用とは
別に事故対応を行う。この対応としては、リカバリー支援等の応急措置、及び事業継続へ
の影響把握を優先させ、事故原因に関する状況把握と調査、事業継続計画に基づいた対応
の実施状況の確認等を行う必要がある。
3030
5.アウトソーシング改善プロセスにおける情報セキュリティ管理
アウトソーシング改善プロセスは、社内プロセスの改善、及びアウトソーシング先の情
報セキュリティ水準の向上からなる。
図 9アウトソーシング改善プロセス
5.1.社内プロセスの改善
検収・評価におけるアウトソーシング先の情報セキュリティに関する評価結果を基に、
監査の結果等も加味して、発注元企業としての社内プロセスの改善を行う。また、アウト
ソーシングの実行・評価プロセスの中で顕在化した課題や問題点については、アウトソー
シングにおける情報セキュリティ管理基盤(体制、規定類等)の見直しや、実行・評価プ
ロセスの改善に反映させる。
発注・移行における現場担当者の評価の正確性を確認するため、情報セキュリティ担当
者や、内部監査人等の第三者が総合的な評価を行うことも考えられる。評価結果は、アウ
トソーシング先選定基準や推奨アウトソーシング先リストに随時反映させることで、アウ
トソーシング先に関する情報を社内で蓄積・共有し、社内プロセスの改善に役立てる。
アウトソーシングを実施する中で、情報セキュリティ基盤の体制や関連する規定類の不
備が認められた場合は、体制の見直しや規定の改訂を行う必要がある。
なお、発注元企業における社内プロセスの改善には、以上のような意味だけでなく、ア
ウトソーシングの戦略的活用という観点からは、アウトソーシングによる社内業務の単純
な代替ではなく、アウトソーシングによる社内業務プロセスの見直し、改善ということも
重要である。
5.2.アウトソーシング先の情報セキュリティ水準の向上
アウトソーシング先の情報セキュリティに関する発注元での評価結果をフィードバック
するとともに、評価結果に関する協議を通じて、アウトソーシング先の情報セキュリティ
の向上に資することも重要である。長期的な業務パートナーに対しては、継続的な改善活
動の要求も必要である。
以下にアウトソーシング先の情報セキュリティ水準向上のための取組例を挙げる。
実行・評価プロセス計画プロセス 改善プロセス
社内プロセス
の改善
アウトソーシング先の情報セキュリティ水準の向上
3131
(1)情報セキュリティ水準に基づくアウトソーシング先のグルーピング
アウトソーシング先の情報セキュリティ対策状況を評価し、そのセキュリティ水準によ
って推奨アウトソーシング先のグループ分けを行う。評価結果をアウトソーシング先にも
フィードバックすることでアウトソーシング先における情報セキュリティ水準の向上を目
指す。
また、情報セキュリティ対策が不十分な業者の情報セキュリティ水準の底上げや、場合
によっては取引関係の見直しにより情報セキュリティリスクの低減を図る。
(2)アウトソーシング先に対する情報セキュリティ研修・教育機会の提供22
長期的な業務パートナーや、推奨アウトソーシング先に含まれる業者に対しては、情報
セキュリティ管理の継続的なレベルアップや、より高度なサービスの安定的提供のために、
研修・教育の機会を提供することが有益である。
なお、発注元とアウトソーシング先の従業員との間には、労働契約や、労働者派遣にお
ける指揮命令関係が存在しないため、研修・教育を発注元が行うことはできない。従って、
発注元企業がアウトソーシング先従業員に対して、直接に、研修・教育を実施するために
は、アウトソーシング先との契約の中で、それらを条件にするなどを検討する。
3232
付録 1アウトソーシングの形態と情報セキュリティリスク
本付録では、アウトソーシングの形態を分類するとともに、形態ごとに配慮すべき情報
セキュリティリスクについて概説する。
付 1.1発注形態から見たアウトソーシングの形態
アウトソーシングの発注形態としては、役務の提供となる委任型と、成果物の品質保証
を伴う請負型に分類できる。しかし、情報セキュリティの観点において、個人情報保護法
では両者を区別して扱っていない等、リスクやセキュリティ確保といった実際の扱いにお
いては区別されないことが多いと考えられる。
(3)委任(準委任)型
自社業務の全部又は一部の執行を外部者に委託する形態。アウトソーシング先は業務の
完成による成果物の品質保証の義務を負わず、民法上の善良なる管理者としての注意を持
って委託業務を処理するための役務(サービス)の品質を管理する責任を負う。
図 付-1準委任型
ただし、準委任契約であっても、アウトソーシング先は善管注意義務を尽くしたことを
立証する責任があり、情報セキュリティ要求事項への違反に対して過失責任が問われるこ
とがある。
(4)請負型
業務等の完成を意図した発注の形態。アウトソーシング先は成果物の品質保証義務を負
う。そのため発注元に引き渡された成果物に瑕疵があった場合、アウトソーシング先は無
過失責任としての瑕疵担保責任を負う。
業務等の完成を意図した発注の形態。アウトソーシング先は成果物の品質保証義務を負
う。そのため発注元に引き渡された成果物に瑕疵があった場合、アウトソーシング先は無
過失責任としての瑕疵担保責任を負う。
請負では、基本的に、アウトソーシング先は提供する製品や成果物の品質を保証する責
任を有するが、情報セキュリティ対策など、アウトソーシング先の業務プロセスに関する
責任は発生しないと考えられる。しかし、業務の性質上、成果物だけでなく、アウトソー
委任業務の遂行
指示(注意)、対価
アウトソーシング先
作業者
発注元
3333
シング先の管理プロセスに対しても要求する場合には、その対策費用の保証も含めて、業
務委託契約の締結を行うことを考慮する。
図 付-2 請負型
(参考) 発注形態の派生型
a. 再委託型(準委任、請負を含む)
アウトソーシング先から別会社に多重にアウトソーシングされる形態。単純な直列構造
となる場合だけでなく、再委託がツリー構造になる場合やネットワーク構造になる場合も
ある。再委託であっても情報セキュリティ対策に関わる基本的な要求事項は委託型と同じ
である。
ただし、1 次アウトソーシング先と契約した内容が 2 次アウトソーシング先以降に継承・
維持されていること、及び必要な見直しがなされているかを確認するため、発注元は 1 次
アウトソーシング先を監督しなければならない。例えば、個人情報保護法では発注元が委
託先(アウトソーシング先)に対して「必要かつ適切な監督」23を行っていない場合で受託
者が再委託をした際に、再委託先が適切といえない取扱いを行ったことにより何らかの問
題が生じた場合は、発注元がその責めを負うことが有り得ることとなっている。
図 付-3 再委託型
b. 複合委託型(準委任、請負含む)
一つの業務を複数のアウトソーシング先に対して発注する形態。発注元と各アウトソー
シング先の個別契約の集合となるが、各アウトソーシング先に発注された業務が相互に関
連しあう場合、アウトソーシング先の間の連携が必要となる場合もあるため、複雑な委託
構造となる可能性がある。複合委託型の場合も、基本的に委託型と同等の扱いになるが、
23 委託契約において委託者である個人情報取扱事業者が定める安全管理措置の内容を契約
に盛り込むとともに、当該契約の内容が順守されていることを、あらかじめ定めた間隔で定期的に確認することなど。
発注元
成果物
対価
アウトソーシング先
作業者
アウトソーシング先再(2次)
アウトソーシング先
先
発注元 ・・・
作業者
再々(3次)アウトソーシング先
3434
アウトソーシング先の間における情報の授受等に関する契約を締結することがポイントに
なると考えられる。
図 付-4 複合委託型
付 1.2 業務遂行の場所
(1)発注元
作業者が発注元で作業する形態。ここでは派遣労働者として発注元で作業を行う形態も
含める。24
ただし、業務の指揮命令系統としては、派遣では契約形態として直接指揮命令系統が働
くが、請負ではアウトソーシング先を通す必要がある。
発注元での業務におけるリスクの例
・情報の持ち出し
・発注元の資産の破壊
・発注元のシステムにおける不正な処理 等
(2)アウトソーシング先
作業者がアウトソーシング先で作業する形態。
アウトソーシング先での業務におけるリスクの例
・管理が行き届かない
・事故等重要な情報が報告されない 等
24 個人情報保護法第 21 条の「従業者」とは、個人情報取扱事業者の指揮監督を受けて業務に従事しているものを指し、派遣労働者もこれに含まれるとされている。
発注元
アウトソーシング先
アウトソーシング先
・・・・
3535
付 1.3 業務種別によるアウトソーシングの例
(1)生産
生産業務のアウトソーシング。
生産業務のアウトソーシングにおけるリスクの例
・アウトソーシング先の生産停止による影響
・企業の主力製品の技術情報やノウハウの流出 等
(2)物流
サプライ・チェーンマネジメント(SCM)において重要となる、物流管理業務の最適化を
目的としたアウトソーシング。
物流業務のアウトソーシングにおけるリスクの例
・物流管理システムの障害による業務の中断・停止
・出荷・在庫情報が改ざんされることによる財務情報の正確性への影響 等
(3)間接業務
間接業務(総務、経理、人事、広報等)のアウトソーシング(表 参照)。
間接業務のアウトソーシングにおけるリスクの例
・企業の内部情報の流出
・間接部門機能の低下による企業運営への影響 等
表 付-1 間接業務における業務内容の例
業務の分類 業務内容の例
総務部門 オフィスサ
ービス
備品管
理
備品の在庫確認、発注、管理
文書管
理
文書のデザイン等の検討や保管・蓄積、メンテナンス
文書の作成・配布
庶務 スケジュール管理や書類作成、来客や電話応対
受付業
務
外部顧客に対する受付業務
ファシリテ
ィ管理
オフィ
ス・会議室
管理
賃料や共益費などのオフィスコスト管理や情報管理、レイアウト変
更
施設管
理
警備、設備点検、受付対応
経理部門 資産管理 資産情報の収集、記録、資産管理台帳の作成と更新
会計処理業務 入力データや証憑類の整理・確認、帳簿への記録、振り込み手続き
予算・利益管理 予算・利益管理に関するデータの入力、分析業務
債権債務管理 債権情報(売掛金、未収金)や債務情報(買掛金、未払金)の管理
決算関連業務 月次・年次決算業務、各種申告書作成支援、決算書作成業務
3636
人事部門 給与・賞与計算 勤怠情報の回収・確認、個人マスタの管理、データ集計、給与明細書の作成・送付、振り込み手続き、社員からの問い合わせ対応
社会保険関連業務 社会保険加入手続きに必要な書類作成、手続き代行
人事管理 給与管理や労務管理等の人事関連業務の管理
採用 採用計画策定、採用セミナー開催、面接実施、面接官指導
研修 人材育成に関連する各種研修の計画、実施、フォローアップ
退職者支援(アウトプレ
ースメント)
退職者の再雇用や再就職支援に関連する業務
福利厚生関連 健康診断に関する業務、財形貯蓄に関する業務、社宅の提供等福利
厚生に関連する業務
事業部門 営業・マーケティング 市場調査、顧客アンケート
社外向け WEB サイトの運営
(4)情報システム(IT アウトソーシング:ITO)
情報システムの開発や運用等に関するアウトソーシング(表付-2 参照)。業務プロセスの
IT 化によって、上記、(1)から(3)の業務に係るアウトソーシングと切り離すことができ
ないことが多い。
情報システムのアウトソーシングにおけるリスクの例
・企業の保有する重要情報の流出
・情報システムの欠陥 等
表 付-2 ITO における業務内容の例
業務の分類 業務内容の例
コンサルティング IT コンサルティング
ビジネスコンサルティング
システムインテグレーショ
ン
システム開発、メンテナンス
システム統合
システム運用管理 システム管理データセンタの運営
アプリケーション開発 アプリケーション開発/デザインアプリケーション管理
ネットワーク運用 ネットワーク管理
SaaS/ASP25 アプリケーション開発、メンテナンスアプリケーションの運用
その他 ハードウエア/ソフトウェア導入支援
事業継続支援
IT 教育、研修の実施プロダクトエンジニアリング
ヘルプデスク
ドキュメント作成代行
25 インターネット経由でアプリケーション機能を提供するサービスの形態。最も一般的な
SaaS の形態は、SaaS 提供者が提供するウェブアプリケーションを利用者がウェブブラウザを通じて利用する形態である。
3737
付 1.4 業務拠点によるアウトソーシングの例
(1)国内アウトソーシング
国内の事業者を用いたアウトソーシング。
国内アウトソーシングにおけるリスクの例
・長年の付き合いや慣れ合いによる情報セキュリティ水準の低下
・モニタリングの未徹底 等
(2)海外アウトソーシング(海外子会社も含む)
海外の事業者を用いたアウトソーシング。26
海外アウトソーシングにおけるリスクの例
・高い離職率によるノウハウや知見、技術情報の流出
・文化や価値観の違いによるセキュリティ要求の意図が共通されない
・国独自の法律や規制によるセキュリティ対策への制限
・自然災害、疫病、テロ、戦争 等
付 1.5 リソースの所有によるアウトソーシングの例
(1)機材やインフラをアウトソーシング先が用意
アウトソーシング先が機材、インフラ等を用意し、発注元がそれらを利用する形態。ホ
スティング、SaaS・ASP などはこれに含まれる。
機材やインフラをアウトソーシング先が用意する際のリスクの例
・アウトソーシング先の機材における情報セキュリティ上の不備
・機材やデータの紛失や障害があった場合の責任範囲 等
(2)機材やインフラを発注元が用意
発注元が機材やインフラ等を持ち込み、開発・運用を行う形態。ハウジングなどはこれ
に含まれる。
機材やインフラを発注元が用意する際のリスクの例
・アウトソーシング先における機材の盗難
・火災、水害等による機材の喪失 等
26海外アウトソーシングにおいて顕在化しやすいリスクに関しては付録 2 を参照されたい。
3838
付録 2海外アウトソーシングにおける情報セキュリティに係る留意点
海外アウトソーシングであっても、顕在化するリスクファクター自体は国内アウトソー
シングの場合と特段の違いはなく、管理策の面でも共通する部分が多いが、地域固有の性
質等によるリスクファクターもあるため、各管理策において特別の注意を要する部分があ
る。
本付録は、海外アウトソーシングにおいて顕在化しやすい 3 つのリスクに対して、管理
策の方向性を示すものに過ぎない。従って、実務的な管理策については、本編を参考され
たい。
付 2.1高い離職率によるリスク
海外アウトソーシング先における人材の流動性は業種等によって大きく異なるが、イン
ド、中国、ベトナムなど日本の主なアウトソーシング市場では概ね 10%~20%で推移してい
る。製造業では特に離職率が高いといわれている。ちなみに、平成 19年度に経済産業省委
託調査においてヒアリングを行った中国の工場では、旧正月の休暇に入ったまま帰ってこ
ない従業員が 3割に上ったという事例もあった。
海外アウトソーシングを実施する際には、情報セキュリティに係るリスクを網羅的に識
別した上でアウトソーシング範囲の切り分けを行い、個別の情報セキュリティ対策として
は、特に物理セキュリティやアクセス制限の徹底を図ることが重要である。
付 2.2文化や価値観の違いによるリスク
海外アウトソーシングでは、アウトソーシング先との価値観や文化の差による問題がし
ばしば発生するため、国内アウトソーシングと同様の情報セキュリティ対策を求めたとし
ても、求めたレベルのセキュリティが確保されない可能性がある。
例えば、欧米企業の主要なアウトソーシング市場であるインドでは、製品開発や設計全
体をアウトソーシングするスタイルが主流であり、特許以外のノウハウなどはアウトソー
シング先が持つことを特に制限していない。その点、プロジェクトの一部の業務を切り出
してアウトソーシングすることが多い日本企業においては、技術情報の範囲や情報保全に
ついてアウトソーシング先との間に認識の差が出る可能性がある。
そこで、アウトソーシング先に対して情報セキュリティ対策を実装する前段階において、
発注元が求める情報セキュリティのレベルとその目的について、アウトソーシング先の従
業員に十分認識されているかを確認することが重要である。
3939
付 2.3コンプライアンスのリスク
海外アウトソーシング先に対して情報セキュリティ管理策を要求する上で、その実現性
や実効性を確保するためにもアウトソーシング先の国の商習慣や法制度について、十分な
認識を持つことが重要である。商習慣や法制度は国によって大きく異なるため、各国の実
情に詳しい専門家に意見を求める等の対応をとることが望ましい。
なお、我が国企業が海外アウトソーシング事業者に委託したサービスを、国内拠点だけ
でなく海外支店等においても利用する場合が考えられる。このような場合、個人情報の保
護に関しては、アウトソーシング事業者の活動国、及び海外支店の設置国の個人情報保護
の規制をうける場合があるため、配慮が必要である。27
27 内閣府、個人情報の保護ホームページ「個人情報保護法に関するよくある疑問と回答」(http://www5.cao.go.jp/seikatsu/kojin/gimon-kaitou.html)及び「諸外国、国際機関
における個人情報保護制度」(http://www5.cao.go.jp/seikatsu/kojin/index_en3.html)
を参照。
4040
付録 3情報管理チェックシートと関連ドキュメント
プロセス 目次 チェック項目 判定 関連ドキュメント(発行元)
3計画プロ
セス
3.1アウトソーシング戦略の策定 アウトソーシングする業務に対する情報セキュリティリスクの識別を行っているか ・ JIS Q 27002:2006・ 情報セキュリティ管理基準(経済産業省)アウトソーシングする業務に対するセキュリティレベルを規定しているか
3.2アウトソーシングにおける情
報セキュリティ管理基盤の整備
社内のアウトソーシングの情報セキュリティ管理を行うための組織横断的な体制が
構築されているか
・ ISMS(JIPDEC・経済産業省)
社内共通のアウトソーシング先選定基準は整備されているか
社内共通の情報セキュリティ要求事項が整備させているか ・ ISMS(JIPDEC・経済産業省)
・ 情報セキュリティ管理基準(経済産業省)
・ システム管理基準(経済産業省)・ IT システムのためのリスクマネジメントガイド(NIST SP800-30翻訳)(IPA)
・ 営業秘密管理指針(経済産業省)
・ 技術流出防止指針(経済産業省)・ 個人情報の保護に関する法律についての経済産業分野を対象とするガイダンス(経済産業省)
社内共通のアウトソーシングの契約書フォーマットが整備されているか ・ 知財戦略事例集(経済産業省、特許庁)
・ 情報システム・モデル取引・契約書(経済産業省)
・ 下請適正取引等の推進のためのガイダンス(総務省、経済産業省、国土交通省)・ SaaS向け SLAガイダンス(経済産業省)
・ 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(経済産業省)及び(参
考)諸外国及び我が国の取組み・ 情報セキュリティ関連法令の要求事項集(経済産業省)
・ ソフトウェア開発委託基本モデル契約書(JISA)
・ 中小企業の情報セキュリティ対策ガイドライン(IPA)
社内共通のアウトソーシング先の情報セキュリティ対策状況に関する報告形式が整
備されているか
・ 中小企業の情報セキュリティ対策ガイドライン(IPA)
・ 情報セキュリティ監査基準(経済産業省)・ 情報システム監査基準(経済産業省)
4実行・評価
プロセス
4.1アウトソーシング先の選定
規定された選定基準に基づいてアウトソーシング先を選定しているか
4.2アウトソーシング先との委託業務契約
4.2.1契約 規定された契約書フォーマットに基づいた契約を行っているか ・ 情報システム・モデル取引・契約書(経済産業省)
・ 下請適正取引等の推進のためのガイドライン(総務省、経済産業省、国土交通省)・ SaaS向け SLAガイダンス(経済産業省)
4.2.2発注・移行 情報セキュリティ要求事項に沿ってアウトソーシング先の情報セキュリティ対策の実装及び運営を監督しているか
・ ISMS(JIPDEC・経済産業省)
4.3アウトソーシング先の状況確認
4.3.1モニタリング・監査 アウトソーシング先における情報セキュリティ要求事項への遵守状況について、モニタリングや監査を実施しているか
・ ISMS(JIPDEC・経済産業省)・ 情報セキュリティ監査基準(経済産業省)
・ 情報システム監査基準(経済産業省)
4.3.2検収・評価 アウトソーシング先の業務及び成果物における情報セキュリティ要求事項への遵守
状況に関して、評価を行っているか
4.4事故対応 アウトソーシングの実行プロセスの間に事故が発生した場合、情報セキュリティ要求
事項の中で定めた対応方針に基づいて、アウトソーシング先の対応状況について確認
を行っているか
・ ITサービス継続ガイダンス(経済産業省)
・ インシデントハンドリングマニュアル(JPCERT/CC)
・ 各種 BCPガイダンス(内閣府、経済産業省、中小企業庁等)
5改善プロ
セス
5.1社内プロセスの改善 検収・評価におけるアウトソーシング先の情報セキュリティに関する現場の評価結果を基に、内部/外部監査等を利用して企業としてアウトソーシング先の評価を行って
いるか
アウトソーシングの実行・評価プロセスの中で顕在化した課題や問題点について、体
制や規定類等の見直しや、プロセスの改善に反映させているか
5.2アウトソーシング先の情報セ
キュリティ水準の向上
アウトソーシング先の情報セキュリティに関する評価結果をフィードバックしてい
るか
・ 情報セキュリティ対策ベンチマーク(IPA)
研修等の機会を提供することでアウトソーシング先の情報セキュリティの向上を図
っているか
4141
アウトソーシングに関する情報セキュリティ対策検討ワーキンググループ
委員名簿
(主査)
堀江 正之 日本大学商学部教授
(委員)
安藤 穣 Infosys Technologies Ltd Marketing Manager
江崎 和博 株式会社荏原製作所 技術・研究開発統括部技術・研究開発管理室参事
(社団法人日本情報システム・ユーザー協会(JUAS) グローバルIT
研究プロジェクト)
奥村 隆 株式会社日立製作所 情報・通信グループ 調達本部
調達企画部 管理G 部長代理
小野坂 知巳 富士通株式会社 ソリューション事業推進本部 ソリューション調達統
括部 調達企画部長
駒瀬 彰彦 特定非営利活動法人日本セキュリティ監査協会(JASA)
(株式会社アズジェント 取締役 技術本部長)
西尾 秀一 社団法人情報サービス産業協会(JISA) 技術委員会情報セキュリティ
担当
(株式会社NTTデータ ビジネスソリューション事業本部
データセンタビジネスユニット セキュリティビジネス推進室 部長)
(オブザーバ)
経済産業省商務情報政策局情報セキュリティ政策室
独立行政法人情報処理推進機構セキュリティセンター
以上