昨今、適切な外部委託先管理は重要テーマとして対応が義務付けられており、経済産業省と独立行政法人情報処理推進機構(IPA)が策定公開した「サイバーセキュリティ経営ガイドライン」や「個人情報保護法」また金融庁の監督指針等にも言及されています。
またIPAより発表された「情報セキュリティ10大脅威 2023」においても、「組織」向け脅威として「サプライチェーンの弱点を悪用した攻撃」が2位(前年順位は3位)にランクインしており、委託先が適切なセキュリティ管理を行っているか、定期的に点検をすることが必要です。
このように、外部委託先の情報セキュリティリスクを適切に管理することは、企業にとっての最重要課題の一つとなっています。
では適切な外部委託先管理を行うにあたり、企業はどのような対応が必要となってくるのでしょうか?
目次
- 外部委託先のセキュリティ管理の重要性
- 外部委託先のセキュリティ管理とは
- 外部委託する業務の種類
- 外部委託の普及傾向
- 外部委託のリスク
- 委託先管理の進め方
- 委託先管理における課題
- 委託先管理を高度化する「Supplier Risk MT」
- まとめ
外部委託先のセキュリティ管理の重要性
企業が適切な外部委託先管理を行う上で欠かせないのが、委託先管理台帳です。 委託先管理台帳とは、委託先管理におけるデータベースと言えるもので、委託契約内容はもちろん、委託先のセキュリティ体制や個人情報の預託レベル等の情報を管理します。
弊社でご提供している外部委託先セキュリティ管理ツール「Supplier Risk MT (SRMT)」を例にとってご説明しますと、SRMT内に委託先管理台帳(データベース)を作成する際、まず委託先の企業情報や委託業務の登録を行います。
登録する企業情報は、所在地や電話番号等の基本情報に加え、ISMSやPマーク等の外部の認証情報や、どのような実績があるか等です。
委託業務については、委託業務の名称や内容、期間等を入力します。
その他に再委託の有無、リスクを評価するための情報(個人情報や機密情報の取り扱い件数および内容等のセキュリティ情報、業務の重要性のレベル等)を入力することもできます。
台帳の情報が更新されていない、管理が形骸化する等で委託先のリスクを把握できていない状態だと、仮に委託元である自社のセキュリティ対策が十分だったとしても、委託先がサイバー攻撃を受けることで自社に被害が及ぶ可能性が高まってしまいます。
GRCSが2018年に実態調査を行った「【企業の外部委託先管理に関する実態調査】 外部委託先管理を行っている企業の7割が管理に課題を感じている実態が明らかに」の記事によると、管理方法は「Excel(57.9%)」が最も多く、続いて「紙(31.9%)」となっていることが分かりました。
委託先の数が一定数を超えてくると、Excelでの管理に限界を感じてツールの導入を検討されるケースが多いようです。
外部委託先のセキュリティ管理とは
外部委託先のセキュリティ管理とは、委託先の情報漏洩や不正アクセス等のリスクを把握し、適切に管理することです。
外部委託先が業務遂行のために委託元企業の情報資産にアクセス、閲覧、加工等を行うことが可能となるため、セキュリティインシデントの発生を未然に防止するためにしっかりと管理する必要があります。
具体的には、契約面だけではなく評価アンケートや実地監査等を通じて外部委託先の状況把握を行うとともに、万が一情報が漏えいしてしまった場合の取り決めをすることが重要です。
なおこのような管理は、リスクやコンプライアンスに関する部門、経営管理や総務部門、情報システム部門等にて担当されていることが多いです。
外部委託する業務の種類
外部委託される業務の一例としては、およそ次のようなものがあります。
- 自社に人材やノウハウがない業務
- ルーチンワーク
- 限られた期間にのみ発生する業務
上記のような業務を外部委託する目的としては、コア業務への集中や、自社では対応できない業務を効率的に行うため、コスト削減(採用、教育等)等があげられます。
外部委託の普及傾向
外部委託先の活用は、コスト削減やコア業務への集中等を目的として、幅広く利用されています。
それを裏付けるデータとして、2021年に経済産業省が発表した「2021年企業活動基本調査確報-2020年度実績」によると、企業の外部委託状況として、2020年度に外部委託を行っていない企業の比率は30.7%ほどで、多くの企業が何らかの外部委託を行っていることが読み取れます。
外部委託のリスク
外部委託には、情報セキュリティリスク、コンプライアンスリスク、業務品質リスク、運営管理リスク等のリスクがあげられます。その中でも、特に情報漏洩のリスクが最も大きく、委託先が企業でも個人でもあり得るため注意が必要です。
その他にも、品質や納期に関わるリスク、法令違反リスク等があります。
ただ先に記載したように、外部委託を利用することで得られるメリットは大きいため、適切な対策を講じてうまく活用することが重要です。
外部委託先のセキュリティ管理・運用の進め方
外部委託先のセキュリティ管理・運用とは、具体的にどのように進めるものなのでしょうか。
以下に一例を記載します。
- 委託先管理計画(管理方針)
自社にとっての外部委託先におけるリスクが何なのかについて把握し、社内で認識合わせ等を行った上で、業務委託に関する管理方針を設定 - 委託先の新規選定(委託先選定)
委託内容に応じた選定基準を設け、委託先選定チェックリストによる事前審査を行うなどし、委託先選定に関する適切なプロセスを実施 - 委託契約の締結(契約)
委託先に対するセキュリティ要件を開示し、 適切なスクリーニングを行った上で基本契約、個別契約を行う - 委託業務の管理(実施、モニタリング)
立入監査と、必要に応じて是正措置を講じるとともに、チェックリストの回答や立入調査による点検等定期的なモニタリング(ヒアリング)を行う。またインシデント発生時には報告と改善を実施 - 委託業務完了後
フィードバックと記録を行う
上記のように外部委託先のセキュリティ管理・運用を実施する中で、関係整理(委託先との契約や関係を取引ごとに確認し、経営判断としての関係の継続・委託範囲の見直し等を行う)を行うことで、リスク低減や業務効率化を図ることができると考えられます。
全体を通して言えることは、管理において、委託先選定時、委託業務実施中、委託業務完了後の全ての段階で情報を適切に記録することが必要ということです。 そして、委託する業務の内容や提供する情報に応じた基準・対策を設定し、バランスの取れた運用を行うことが重要です。
上記は一例であり、実際には業務内容や委託先によって状況が異なるため、自社に合った管理・運用ポイントを考える必要があります。
委託先管理における課題
先に述べましたが、外部委託先のセキュリティ管理を行う際は、Excel等で委託先台帳を作成し実施しているケースが大半のようです。 しかし、Excel等で管理すると以下のような課題が出てきます。
- 委託先企業ごとにデータ管理されているため、委託先全体の状況を俯瞰することができない
- 委託元と委託先で1対Nのコミュニケーションが必要となるため、担当部門の負荷が高い
- 潜在リスクの洗い出しが難しい
このような課題について、どのような解決方法が考えられるでしょうか。
委託先管理を高度化する「Supplier Risk MT」
上記のような課題を解決するために、GRCSでは委託先管理ツール
「Supplier Risk MT(SRMT)」を開発しました。
- Web・クラウドでの集約管理による一元化と工数削減
- 注視すべき委託先とそのセキュリティリスクレベルが一目瞭然
- 自己点検結果や再委託関係等多角的な視点での委託先評価を支援・委託先管理と委託契約のマスターデータベースとしても活用可能
SRMTは、経営における最重要課題の一つでありながら、外部委託先企業ごとに個別に管理されていた情報セキュリティリスクを一元管理し、経営における最適な判断材料の提供を支援します。
「Supplier Risk MT」 のご案内
外部委託先リスク管理クラウドサービス
サプライチェーンのセキュリティ対策
https://www.grcs.co.jp/products/srmt
まとめ
外部委託先の活用は、仕事の効率化やコスト削減、組織のスリム化等を目的として益々拡大するものと考えられます。しかしながら、業務遂行のために個人情報や機密情報を提供した結果、情報漏洩等のセキュリティインシデントが発生するケースが後を絶ちません。持続可能な形で、適切な外部委託先のセキュリティ管理の重要性は益々高まっています。
外部委託先の情報セキュリティに関するリスク管理の課題と有効な解決策については、こちらの資料をご覧ください。
■関連情報
【ホワイトペーパー】
ビジネスが多様化・複雑化する中、
外部委託先の情報セキュリティ管理は事業継続の鍵を握る
https://www.grcs.co.jp/form-srmt