はじめに
読者の会社でもいろいろな協力会社を利用されていると思います。
ここで言う協力会社とは、
・業務委託先(コンサルティングやシステムの開発の委託先など)
・物品の仕入先・供給元(製品の販売元、ソフトウェアを供給するベンダーなど)
・サービスの提供元(クラウドサービスの提供企業)
他にもあると思いますが、自社が代金を支払い、自社に必要な物やサービス等の提供の依頼をしている会社を指します。
協力会社には、代金を支払って製品やサービスの提供を受けるため機密情報等を提供しており、自社としては協力会社の情報セキュリティ面の状況を確認する必要があります。
いわゆる、サプライチェーンという一連の企業連携の中で、協力会社を含め各企業とも適切な情報管理を行うことが求められています。
今回は、このサプライチェーンにおける情報管理について説明します。ただ、物品の仕入先など、自社の機密情報の提供を行う必要がない協力会社もありますので、その場合は、以下の中から必要と思われる対策を実施してください。
契約時
契約書の確認
自社側の契約書に、機密情報の管理に関する条項があることを確認します。
また、協力会社側の契約書で契約する場合、機密情報の管理に関する条項があるか確認する必要があります。
委託先の情報セキュリティ対策の確認
次に、協力会社には自社と同レベルあるいはそれ以上の情報セキュリティ面の対策を求める必要があります。この代わりに、例えばISO27001の認証を取得し維持しているかどうかでも構いません。
合わせて、従業員から機密保持誓約書等を取得しているか確認しましょう。
再委託先の有無確認
協力会社は再委託先に委託しているかどうか確認を行う必要があります。協力会社に、非常に機密レベルが高い情報を渡す必要がある場合、再委託することを禁止するという交渉も必要です。また、再委託を許可する場合、再委託先の管理は協力会社になります。自社は協力会社に対して、再委託先に協力会社と同レベルかそれ以上の情報セキュリティの管理を実施するよう依頼する必要があります。
監査の実施可否確認
契約書に監査を行う権利が書かれている必要があります(ただし、自社に監査を行う社員、特に情報セキュリティの監査が行えるような知識を備えた社員が必要です)。
監査は往査ではなくても書面監査でも効果はあるます。書面監査は契約書に監査の条項が無くても原則可能です(ただし、監査の実施前に、協力会社にその旨を通知し、同意を得ることが望ましいです)。
クラウドの契約時の確認事項
クラウドの契約時に確認する項目が多いので、このコラムでは説明を省略しますが、
「企業向けクラウド活用:選定から運用までの完全ガイド」
企業向けクラウド活用:選定から運用までの完全ガイド
をクリックし参考にしてください。
情報セキュリティ事故発生時の連絡
協力会社内で情報セキュリティ事故が発生した場合は、すぐに連絡がもらえるような体制の整備を依頼する必要があります。
著作権の所有
業務の成果物(よくあるのがシステム開発におけるソースコード等)に関する著作権が自社と協力会社のどちらに帰属するかを明確にしておく必要があります。
損害賠償責任
相手方が契約に違反した場合の損害賠償責任を明確にしておく必要があります。以前は瑕疵担保責任と言っていましたが、2020年に民法が改訂され、契約不適合責任になっています。
民法が改訂されたことで自社(買主)に有利な条件となっています。例えば、買主が行使可能な権利の種類、損害賠償の範囲、責任追及できる期間、権利行使の期間制限などです。
※詳細は記載しませんのでWeb等で確認してください
契約終了時の情報の取り扱い
契約終了後の情報資産の取り扱いについて定めておく必要があります。具体的には紙の資料(コピー含む)は返却もしくはシュレッダーで破砕・溶解業者で溶解処理(溶解証明書の確認が必要)する必要があります。
電子データは担当者が削除し上長が削除していることを確認した証明を入手しましょう。対象範囲は、個人のPC、サーバー、バックアップ(全媒体)など広範囲にわたります。
運用時
運用時は、契約時に取り決めたことが守られているか日常的に監視し、定期的に監査を実施します。
なお、協力会社に確認する際は、再委託先の情報セキュリティの状況についても同時に確認してください。
日常的な監視で確認すること
・自社が委託した業務に関わっていた社員の異動や退職の情報を入手し、退職の場合は機密保持契約書の取得状況を確認します
・新入社員(キャリア採用含む)への情報セキュリティ教育の実施状況、異動者への情報セキュリティ教育が必要な場合は実施状況を確認します
・情報セキュリティ事故が発生した場合はすぐに連絡をもらい対策を図ります
また、システム開発を委託している場合は、
・協力会社でのアカウント管理に問題が無いか(特に退職や異動になった社員のアカウント削除等)定期的に報告をもらいます。さらに特権アカウントを提供している場合は、特権アカウントの操作ログを入手し問題が無いか確認します
・コーディングがコーディングルールに従い、セキュアコーディングになっているか確認する必要があります
・成果物の受入テストを実施し、情報セキュリティ面で問題が無いことを確認する必要があります
監査で確認すること
・自社で実施している内部監査に準じて協力会社で監査を実施しますが、協力会社の機密情報もあるので、その部分は除いて確認します
・監査を実施した後は監査報告書を作成し、要是正事項があれば協力会社の管理責任者に報告し改善を求めます。指摘事項が発生した根本原因を分析し、それに対する対応策(再発防止策)を定めて対応策を実施しますが、一定期間経過後に当該対応策を実施したことによって同類の事象が再発していないことを確認してこの要是正事項はクローズとなります
・往査による監査が実施できない場合は書面監査を実施します。書面監査とは、委託先企業の情報セキュリティの整備・運用状況を確認するため、確認したいチェック項目ごとに回答を記入してもらって回収し、必要に応じて是正措置を取ってもらう方式になります。有効性の面では往査に劣りますが、情報セキュリティ面においてリスクの低い企業や、監査員の人数や時間の制約などにより、多くの企業で利用されています
終了時
終了時は発注・委託している成果物を納品してもらうことが第一となります。
提供していた紙の資料や電子データ等の情報の破棄を求め、契約時に定めた方式で処分されたことを確認します。委託先から処分済の証明書を入手し保管します(委託先の管理責任者のサインもしくは押印は必須です)。
著作権については契約時に定めた内容に従います。
※納品時にもめないように、契約時に著作権の取扱いをしっかり決めておくことが必要です