監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・丸山満彦(監査法人トーマツ 公認会計士 公認情報システム監査人)
外部委託に関連するコントロール(管理策)については、「情報セキュリティ管理基準」では、「2.2 第三者によるアクセスのセキュリティ」、「2.3 外部委託」に記載されています。2.2が主に庁内で働く第三者を意識しているのに対し、2.3は外部の施設等の利用を意識している内容になっています。
東京都新宿区では、「新宿区情報セキュリティ規則」を定め、外部委託については次のような項目を定めています。
|
また、「新宿区情報セキュリティ対策基準 第5 技術的な対策 4 ネットワークの導入、開発、保守等」では次のように規定されています(同様の主旨の項目は「5 情報システムの導入、開発、保守等」にも規定されています)。
|
このように、地方公共団体の規則に外部委託先管理についての詳細な規定を定めることは非常に重要と思われます。
新宿区に限らず、地方公共団体の情報セキュリティに関する諸規則には、外部委託に関する部分についても決められていると思います。今後の規則改定の際には、情報セキュリティ管理基準や、今回と次回のコラムで解説する下記の事項を参考にしていただければと思います。また、地方公共団体の外部委託についての監査を実施する際には、第一義的には法律及び各地方自治体の条例、規則、基準等をクライテリア(監査判断の尺度)にして準拠性監査を実施することになりますが、あわせて以下ような項目に着目し、条例、規則、基準などで規定したほうがよいと思われる事項があれば助言を行うことができるでしょう。
■外部委託先の管理
──契約先の特定と契約内容の確認(リスクの識別)
(1)契約先・作業場所の特定
外部委託の管理をするためには、まず、誰にどのような事務を委託していて、どのような契約内容になっているかについての現状を把握しなければなりません。詳細リスクアセスメントにおいては、業務フローに基づいてリスクアセスメントを実施しますが(前回コラム参照)、業務フローを確認することにより、どの事業者にどのような事務を委託しているかを把握することができます。
一般的な外部委託業務には、情報システムの運用、保守、開発、住民に郵送する各種案内物の郵送作業(宛名印刷、封書詰作業、郵送作業)などがあります。運用の委託の場合、庁舎内の情報システムに対する運用を外部の運用会社に委託する場合と、委託先会社等の庁舎外にあるシステムを利用し、運用を委託する場合があります。また、リモート保守のようにシステムは庁舎内、委託先会社のデータセンターにあり、保守をする作事業者は別の場所(例えば保守センター)からアクセスしている場合もありますので注意が必要です。そのほか、契約先を把握した際に、実際の事務をどの事業者が行っているのかを確認することも重要です。委託先がさらに事務を外部に委託している場合があるからです。
(2)契約内容の確認
外部委託先の特定ができると、次に契約内容の確認を行うことになります。地方公共団体では、調達課などが調達事務を引き受けていると思いますが、契約書、覚書、サービスレベル合意書(Service Level Agreement : 以下、SLA)を取り寄せ、情報セキュリティに関してどのような内容の記載がされているかを確認します。
契約時に情報セキュリティについての細かい規定を盛り込んだ契約を行っていない場合があるので、契約内容の確認の際にチェックしてみましょう。例えば、「事務を委託するに当っては、情報の漏洩等の防止を行うこと」というような文言のみを記載している場合などです。これでは、具体的にどのような情報の漏洩防止策を事業者が実施しているのかがわかりません。また、委託先の情報セキュリティ対策が、地方公共団体が期待しているレベルに達していない場合もあります。
このような契約内容の場合は、委託先の管理状況を十分に確認することが重要となります。また、契約内容の確認の際には、再委託の制限についての条件も十分に確認しておくことが重要です。実際、再委託先から個人情報が漏洩した事件は過去に何件も発生しています。
(3)リスクの識別
外部委託先の事務が把握されるとリスクの識別を行うことになります。具体的には、第2回、第3回で説明したように、脅威と脆弱性の識別を行うことになります。リスクマネジメントの観点からは、次の2つに別けて識別することが有益です。
1.外部委託しても変わらないリスク、
2.外部委託することにより新たに発生する、増加するリスク
外部委託する場合でも、本来的には、内部で実施するセキュリティ対策と同様の対策を委託先にも求めることになります。したがって、契約書、覚書やSLAなどに記載すべき内容は、内部で実施するセキュリティ対策以上の対策が実施されるようになっていなくてはなりません。現在の契約書などで規定されている対策と、あるべきセキュリティ対策を比較することが重要です。あるべきセキュリティ対策が契約書などに記載されていないのであれば、次回の契約更改時に契約書などを見直すことが必要となります。しかし、契約は当事者間の合意に基づくものですから、必ずしも地方公共団体側の要求どおりの契約が可能となるわけではありません。そのような場合は次の3つの選択が考えられます。
1.代替的な対策を考える
2.外部委託を断念する
3.例外事項としてリスクテイクをする
代替的な対策を実施することにより、同程度にリスクを低減できる場合はよいですが、場合によってはリスクが十分に低減できない場合もあります。このような場合は外部委託を断念するという選択肢も考えなくてはなりません。しかし、外部委託することによるリスクもあるが、内部で実施するとさらにリスクが大きいと判断される場合や、内部では人的資源、予算を考慮すると実施が困難であるは、リスクテイクした上で外部委託することになります。リスクが高いことをよく理解し、リスク顕在時のリスク対応──インシデント(セキュリティ上の問題あるいは出来事)対応など──も含めてリスク対策を検討することが重要となります。
外部委託をすることにより新たに発生するリスクの代表的なものとして、再委託に関するリスクがあります。委託先が委託元の知らないところで別の組織に再委託している可能性があり、しかも、再委託先のセキュリティ対策が必ずしも委託先と同様の管理をしていないので問題となるケースが多いようです。
したがって、委託先との間の契約で、再委託する場合についての制限を加えることが肝要です。リスクの程度に応じて、再委託の禁止、委託元の事前承認を必要とするなどの項目を契約書に明記することになります。
(4)契約書締結時に確認すること
外部委託する場合は、契約書や覚書、サービスレベル合意書といった文書により、お互いの権利義務関係、責任範囲を明確にすることが重要となります。契約書はそれぞれの組織のリスクを明確にする意味でも非常に重要です。また、契約書を交わし責任や手順を明確にすることにより、万が一のインシデント発生時の処理を迅速に行うことが可能となります。契約書の文面については、契約締結前に十分に注意しなければなりません。責任範囲が不明確となっていないか、用語の定義は適切に行われているか、必要な事項は網羅的に記載されているかを確認することが重要です。
次回は、委託先の選定プロセス、複製データの管理など重要な考慮事項と、外部委託先についての監査について解説します。
|
|