開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2008/05/22

【連載】情報セキュリティの投資対効果を追求する(7)委託先管理の投資対効果

これまで、情報セキュリティの分野において投資対効果を論じることはタブーとされてきた。その結果として管理策を導入していながら事故を起こしてしまうケースが続発しているのは、ご存じのとおりだろう。ここにきて、情報セキュリティの分野において“有効性”というキーワードが注目されるようになってきた。何のための情報セキュリティなのか、ローブライトコンサルティング 代表取締役 加藤道明氏が論じる。第7回は、委託先管理の投資対効果について考察する。

加藤道明

加藤道明

○シニアセキュリティコンサルタント ○JIPDEC ISMS主任審査員(ISJ-B00023) ○財団法人日本科学技術連盟所属MS審査員(ISMS、ITSMS、BCMS) ○平成15年度保健医療福祉分野ISMS制度WGメンバー ○電気情報通信学会員  金沢工業大学大学院(情報工学専攻)卒業、1986年関西日本電気入社、日本電気、住商情報システムのセキュリティ・ソリューション課長を経て、2004年9月独立開業、現在に至る。  基幹業務システム(主に販売管理と生産管理)と情報通信およびセキュリティに精通。1997年、金沢市と米国サンフランシスコのオフィス間にVPN(仮想閉域網)を構築。以来、ネットワークセキュリティ、情報セキュリティマネジメント、個人情報保護に関して、コンサルティングや教育およびシステム設計で数多くの実績を持つ。また、行政系介護支援事業における個人情報保護コンサルティングおよび同事業情報セキュリティ委員会事務局などの経験もあり。ISMS/BS7799、プライバシーマーク認証取得および運用、また、システムセキュリティ設計の実績豊富。

委託先管理の投資対効果

 委託先に預けていた個人情報が持ち出され、インターネット通販詐欺に利用されるなどの事件が発生している。この事件は、委託元が目的の達成に必要と考えられる以上の情報を委託先に預けていたこと、かつ、委託先における適切かつ十分な従業者の管理・監督が行われていなかったことが主たる原因と言われている。こういった状況下、平成19年3月には「個人情報の委託等に関する注意喚起」が財団法人日本情報処理開発協会から発信され、かつ、平成20年1月には、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」が改正された。改正のポイントは、【1】委託先に対する必要のない個人データの提供を禁止したこと、並びに【2】委託元による委託先に対する「必要かつ適切な監督」の内容を明確化したことである。

 今や委託先の管理は委託元の義務となっている。しかし、注意喚起やガイドラインが出てもなお、委託先からの情報漏えいは収束する傾向にない。今回は、委託先管理の投資対効果について考察してみたい。

 委託先管理の施策には、次のようなものがある。

a.十分な安全管理措置が講じられている委託先の選定基準の確立と選定
b.委託先との必要な契約の締結
c.委託先への目的の達成に必要な範囲に限定した情報の提供
d.委託先での情報の取扱状況の把握
など。

 また、委託先との必要な契約事項には、次のようなものがある。

1.委託元と委託先それぞれの責任と体制に関する事項
2.再委託に関する事項
3.情報の安全対策(組織的、人的、物理的、技術的、総合的)に関する事項
4.委託先による従業者の教育に関する事項
5.委託先による定期的・継続的点検と改善措置の実施に関する事項
6.委託先による運用報告の提出に関する事項
7.委託元による契約内容の遵守状況の確認方法に関する事項
8.契約内容が遵守されなかった場合の措置
9.事件・事故が発生した場合の報告、連絡及び対応に関する事項
など。

時間と費用が必要

 委託元が目的の達成に必要と考えられる以上の情報を委託先に提供してはならないとなると、場合にもよるが、多くの場合、データを加工して渡すということになる。加工に時間と費用が必要になる。この点が乗り越えなければならない最初の壁である。企業における利益追求が激化しているなか、そう簡単にはいかないのが現実であろう。また、費用が確保できたとしても、この加工作業を委託するようでは、堂々巡りである。

費用を増やさず委託したい委託元と
利益率の高い契約をしたい委託先

 もちろん、ガイドラインにおいて、委託先への個人情報の提供をすべて禁止しているわけではない。必要があり提供する場合は、監督すればよいことになっている。しかし、監督するには、何を監督するのか、まず、役務を明確にしなければならない。この点も壁になる。役務を増やすと委託費も増えることになる。もし、委託元の優位な立場を利用し、費用を支払わず役務を増やすようなことになると、下請法に抵触することにもなりかねない。困った話である。費用を増やさず委託したい委託元と、利益率の高い契約をしたい委託先、あまり踏み込みたくない気持ちも理解できる。

委託元から預かった情報の管理責任はどこにあるか

 また、責任と体制にも壁がある。企業における最終的な責任は経営陣であることは言うまでもない。しかし、これは自社が所有権を有する情報と考えられる傾向があり、所有権を有しない情報、つまり、委託元から預かった情報は含まない場合が多い。実際、委託元から預かった情報については、特別な要求がない限り、委託先の経営陣ではなく、受託した個別部門の担当者に管理を任せているケースがほとんどであろう。筆者自身の経験では、この点が委託に関する最大の壁である。委託元は委託先に管理を任せたと言う、一方、委託先は自社が所有権を有しないので自社でのマネジメントの適用範囲外であると言う。委託元から預かった情報を委託先の経営陣が直接的に管理すべきかどうか意見が分かれるところである。

委託元による専門家の育成または契約と
リスクマネジメントができる体制づくり

 結局のところ、委託元が組織を超えて管理するしかない。法規制もその方向にあると解釈できる。とすると、これまでのような委託先への丸投げはできなくなってくる。この状況に対応するためには、まず、委託元が直接管理できる体制、つまり、リスクマネジメントができる体制をつくらなければならない。投資対効果の視点で見れば、この体制が有効に機能するか否かが、鍵を握ることになるであろう。この体制なくして、どんな施策を講じても投資対効果は期待できない。委託元が専門家を育成または契約し、体制を確立したうえで施策を講じていくことをおすすめする。

《次回へつづく》

《撮影:郡川正次》

IT投資・インフラ戦略 ジャンルのトピックス

IT投資・インフラ戦略 ジャンルのIT導入支援情報

関連リンク

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!