委託先管理とセキュリティ

2022年6月に尼崎市で発生したインシデントを受け、プラスエスでも「最恐の脆弱性とセキュリティ」で人的セキュリティに関してまとめました。
その中でも特に気を付けなければならなく、また自社だけでは対策のできない「委託先管理」を取り上げます。

今回のコラムでは、委託先管理における3つのポイントをまとめます。

秘密保持契約

業務委託においては、は必ずといっていいほど秘密情報を取り扱います。
自組織での秘密情報が委託先でも同様に秘密保持される必要がありますので、委託先に求める秘密保持の取り扱いを契約にしたものが秘密保持契約です。
契約内容では、秘密情報の取扱いに関する組織的・人的・物理的・技術的安全管理措置を明記しておくとよいでしょう。

再委託先の管理

業務内容によっては、委託先もさらに委託する場合があります。
元請としても再委託先の管理ができないのが現実ですが、情報セキュリティの委託先管理の観点では情報の流れすべてを管理する必要があります。
つまり、再委託先、再々委託先の情報管理も把握しておかなければなりません。
秘密保持契約書の条項になりますが、再委託を許可するのか、また許可するのならばどのような業務をどこに委託するのかを事前に提示しておくように委託先に明示しておきます。

評価と監査

委託時の委託先評価は必ず必要です。
そして、定期的なチェック(監査)もさらに大切です。
実際にヒアリング等での監査が有効ですが、チェックリストなどによる委託先からのレポートを最低限の取り組みとしたいです。
自組織と同様に、定期的なチェックでヒヤリハットが大事故にならないようなウォッチングが必要です。