監修・NPO日本ネットワークセキュリティ協会セキュリティ監査WG
文・丸山満彦(監査法人トーマツ 公認会計士 公認情報システム監査人)
(1)委託先の選定プロセス
地方公共団体においては、調達を一般競争入札(最低価格落札方式など)により行うことが多いと思われます。調達についての判断条件としては、委託する業務を遂行する能力と価格が重要な判断指標となる場合が多くなりますが、重要な個人情報の取扱を行う業務を外部に委託する場合には、業務遂行能力、価格につづく第3の判断指標として、情報セキュリティ対策の実施状況も考慮すべきです。
特に、個人情報の保護の観点からは、委託先が個人情報の漏洩をしたとしても、業務を委託した地方公共団体の責任が重く問われることになりますから、委託先の選定プロセスの段階から情報セキュリティの実施状況も考慮することが非常に重要となります。
よくある質問として、
| 委託先がプライバシーマークやISMS認証を取得している委託先を選べば問題ありませんか |
というものがあります。答えは
| プライバシーマークやISMS認証を取得しているからといって、そのままOKとするのは問題があります |
です。プライバシーマークはJIS Q 15001に基づいたコンプライアンスプログラムが実施されていることを確認しただけです。ISMS認証を取得している場合もISMS認証基準に従って、マネジメントシステムが運用されていたことを確認しているにすぎません。委託する場合は、次の事項を確認する必要があります。
|
ISMS認証はあくまで、(3)の部分だけしか確認していないからです。したがって、ISMS認証を取得している場合は、理論的には(1)、(2)の部分を確認する必要があります。しかし、だからといってプライバシーマークや、ISMS認証がまったく無意味なわけではありません。委託先が実施している情報セキュリティ対策を確認すれば、それが実施されている可能性が高いからです。ISMS認証取得をしている場合は、適用宣言書をみれば、どのような情報セキュリティ対策が実施されているかがわかりますので、ISMS認証取得事業者に委託することを検討する際には、適用宣言書の内容が実際に行われているか確認すればよいでしょう。
(2)財務的安定性・経営的安定性
外部委託先の財務安定性についても注意を払うことが必要となります。事業者が倒産すれば、管理機能はなくなり、秘密書類やデータなども無管理状態になります。また、債権者が物件を差し押さえにきますので、秘密書類やデータなどが債権者の手に渡ったり、行方不明になったりする可能性があります。例えば、住民データが入ったパソコンなどが債権者に差し押さえられ競売にかけられると、住民データの漏洩につながり、地方公共団体の責任が問われることになるでしょう。また、倒産以外でも、他企業に買収された場合など、管理体制が変わると情報セキュリティの対策も十分に行われなくなる可能性もありますので注意が必要です。
(3)サービスレベル合意書(SLA)
高可用性が求められるサービス(例えば、ホームページからの電子申請の受付事務など)を外部に委託する場合は、必要とされる可用性のレベルを定めてSLAを締結することが重要となります。SLAを作成する場合は、評価項目(測定項目)とサービスレベルの2つを考慮する必要があります。例えば、アンチウィルソフトのパターンファイルの更新間隔(評価項目)は「ベンダーリリースより24時間以内」(サービスレベル)といったSLAの項目が考えられます。SLAに記載する内容は、外部委託の形態や委託する業務の内容や範囲にもよりますが、総務省が発行した「公共ITにおけるアウトソーシングに関するガイドライン」では以下の4つの内容について説明しています。
|
SLA設定値は、お互いがわかりやすいように、正しく計測できる数字で示すことが重要となります。
SLAの内容については、情報セキュリティに関連しないサービス品質もありますが、サービスの可用性については情報セキュリティの一部と考えることができます。SLAの内容に応じてサービスの品質が決まり運用コストにも反映されていくことになります。地方公共団体が取り扱う情報の重要性や、事務の重要性に応じて委託先に示していくことが重要です。SLAはあまりなじみがないかも知れませんが、今後は非常に重要な概念となってくるでしょう。また、SLAで定められた水準に達しなかった場合のペナルティを決めるなど、サービスレベルの維持を保証するような仕組みの工夫も求められます。
(4)個人情報保護条例等との関係
個人情報保護関連法が成立し、全ての地方公共団体においても個人情報保護条例が策定されていくことになります。おそらく制定されている全ての個人情報保護条例において、外部委託先の管理が規定されていると思われます。例えば、東京都や京都府宇治市の個人情報保護条例においては次のように定められています。
|
|
地方公共団体の場合、住民の個人情報を含む事務を外部に委託することが多いと思われます。個人情報保護条例との関係を十分に考慮して、契約書に反映させることが重要と思われます。
(5)複製データの管理
外部の事業者にデータ入力やデータ処理を依頼する場合、外部の事業者はデータの複製をとることになるでしょう。これは、データが破損した場合の可用性を確保するためのセキュリティ対策といえます。外部委託事業者では、このような可用性を確保せずにデータを破損した場合、委託事業者としての善管注意義務(善良なる管理者として要求される注意義務)を果たしていなかったということになるため、バックアップは当然にしなければ別のリスクが伴います。一方、バックアップデータの存在は、機密性の観点からはリスク(民法に基づく損害賠償など)の増大になります。業務が終了した段階で、確実に複製データが消去されるような手順を踏むことを契約書に盛り込むことが必要です。例えば、データ廃棄についての誓約書をとるなどの方法が考えられます。
この点、前出の宇治市の個人情報保護条例では、個人情報の不正な複製についての規定を設けています。
|
さらにこの条文に対して違反している者に対して、市長が違反行為の中止命令や個人情報の消去命令を行うことができ(第27条の3)、必要に応じて報告の聴取や市長が指定するものによる立入検査を行うことができる(第27条の4)といった非常に厳しい義務を定めています。
(6)監査の権利
契約を遵守しているかどうかを確認するために、地方公共団体が委託先事業者や再委託先事業者に対して監査を行うべきでしょう。監査の権利については、契約書で明確にしておく必要があります。地方公共団体の職員自ら監査をすることが困難であることが多いため、必要に応じて、外部の監査会社が監査することができるようにしておくべきでしょう。その場合、監査会社には守秘義務が課されることになりますが、業務委託契約書に監査会社には守秘義務契約を結ばせることを明記しておくとよいでしょう。
外部委託先の監査については、契約に基づき委託先が適切な運用を行っているかを監査することになるでしょう。委託先、再委託先からの個人情報の漏洩事件が相次いでいる現状、そして、条例で地方公共団体が個人情報の委託先を監督する義務が定められていることを考えると、委託先及び再委託先に監査を実施することは有益と思われます。
■外部委託先管理についての監査
経済産業省が発表した情報セキュリティ監査の報告書に基づけば、監査には保証型監査と助言型監査があります。現状は、助言型の監査が実施されていることが多いように思われます。想定される情報セキュリティ監査の手順としては次のようになると思います。
|
その時の監査のポイントは上記の外部委託先の管理のポイントを考慮して行うことになるでしょう。
情報セキュリティ事故(特に、個人情報の漏洩)の背景に外部委託が関係しているケースが多いように思われます。また、個人情報のみならず、庁内システム構成図など地方公共団体にも多くの秘密情報があると思われます。外部委託に関しても、他の情報セキュリティ対策と同様に適切なリスクアセスメントの手順に従ってルールを決め、それを適正な手続きを経て承認し、委託事業者との契約書に反映させ、守っていただくことが重要です。
電子自治体の実現においても地方公共団体と委託事業者との「緊張ある協力関係」が必要不可欠です。住民に信頼される地方公共団体の確立のために、外部委託に関する情報セキュリティ対策は今後ますます重要になるでしょう。
|
|
