外部委託における委託先の選定基準10選

「委託先選定基準とは何か」「なぜ委託先選定基準を定める必要があるのか」「外部委託をする際にどのような基準で選定すれば良いのか」など、疑問に感じている方もいらっしゃるのではないでしょうか？

本記事では、委託先選定基準の概要から定める目的、定める際の注意点、外部委託における委託先の選定基準について解説します。

 

1. 委託先選定基準とは

委託先選定基準とは、自社の業務を委託する個人や企業を選定する際の基準です。

自社で定めた委託先選定基準に基づいて委託先を選定することで、委託先との取引を要因としたリスクを管理することができます。

 

【関連記事】

委託先管理とは？目的や必要な理由、実施する際のポイントを解説

 

■委託先選定基準を定める目的

委託先を経由したサイバー攻撃を受けたり委託先が倒産することで自社が連鎖倒産したりするなど、委託先との取引を要因としたリスクを管理することが、委託先選定基準を定める目的です。

また、一般財団法人日本情報経済社会推進協会のプライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針には「個人データの取扱いの全部又は一部を委託する場合、十分な個人データの保護水準を満たしている者を選定するための委託先選定基準を確立し、委託先を選定すること。」と書かれており、プライバシーマークを取得する際においても委託先の選定基準が重要となります。

 

【参考資料】

審査基準と構築・運用指針「プライバシーマーク制度」

 

 

2. 委託先の選定プロセス

委託先の選定プロセスは以下の通りです。

1. 委託する目的を明確にする
2. 選定基準に基づいて候補を選定する
3. 契約を締結する
4. 委託先管理を継続して実施する

それぞれのプロセスについて詳しく解説します。

 

■委託する目的を明確にする

委託する目的が不明確なままでは、適切な委託先を選定することが難しくなります。

「何を達成したいのか」「どのような業務を委託するのか」など、具体的に目的を定義することで、委託先に求める条件や基準が明確になります。

例えば、顧客データの管理を委託する場合、データの安全な取り扱いが最優先の目的となるでしょう。この場合、委託先が情報セキュリティの認証を取得しているか、過去に情報漏えいの事例がないかなどを確認することが重要です。

さらに、委託する目的が明確であれば、委託契約書においても取り扱いルールや責任範囲を明確に記載することができ、後々のトラブルを防ぐことにもつながります。

 

■選定基準に基づいて候補を選定する

委託先を選定する際には、明確な選定基準を設定し、その基準に基づいて候補を選定することが重要です。委託先に求めるセキュリティレベルや技術力、業務遂行能力を具体的に定義することで、候補の中から自社のニーズに最も適した企業を選び出すことができます。

また、候補となる企業の過去の実績や評判、情報漏えいの有無や対応策についても調査することが重要です。情報管理体制やセキュリティ対策状況を確認し、基準を満たしているかを評価するようにしましょう。

さらに、候補企業との面談やヒアリングを通じて、コミュニケーション能力や柔軟性、問題解決能力を直接確認することも重要です。

 

■契約を締結する

契約書には、データの保存方法やアクセス権限の管理、情報漏えい時の対応策など、個人情報の取り扱いに関する具体的なルールを明記することが重要です。個人情報保護法に基づくガイドラインを参考にすることで、必要な項目を網羅できます。

また、契約書に責任範囲を明確に記載することも重要です。情報漏えいなどのトラブルが発生した場合の責任の所在をはっきりさせることで、トラブルを未然に防ぐことができます。さらに、再委託の禁止や制限についても、契約書で明確に規定しておきましょう。

 

■委託先管理を継続して実施する

契約を締結した後も定期的な監査を行い、委託先が自社の基準を満たしているか確認しましょう。委託先の業務プロセスやシステムの変更があった場合、その影響を評価し、必要に応じて契約内容を見直すことが重要です。

 

 

3. 委託先選定基準を定める際の注意点

委託先選定基準を定める際の注意点は以下の通りです

依頼する業務ごとに委託先選定基準を定める 個人に業務を委託する際にも委託先選定基準を設定する 定期的に委託先選定基準を見直す

 

それぞれの注意点について解説します。

 

■依頼する業務ごとに委託先選定基準を定める

委託先選定基準を定める際の注意点の1つ目は、依頼する業務ごとに委託先選定基準を定めることです。

依頼する業務によって委託先を選定する際に意識すべきポイントが異なるため、すべての委託先に対して共通の選定基準を設定してしまうと、無駄な作業が増えてしまう恐れがあります。

たとえば、伝票の整理や手書き請求書の発行といった、IT機器を使用しないアナログ作業を中心とした業務を依頼する場合、情報セキュリティやITリテラシー教育はそれほど重要ではありません。

委託する業務ではどのようなリスクが発生する可能性があるのか、リスクの発生を未然に防ぐためにはどのような基準を設けるべきかを、委託する業務ごとに設定することが重要です。

 

■個人に業務を委託する際にも委託先選定基準を設定する

委託先選定基準を定める際の注意点の2つ目は、個人に業務を委託する際にも委託先選定基準を設定することです。

企業に対して業務を委託する場合と同様に、個人に業務を委託する場合でも、個人情報の漏洩や不正アクセスなどのリスクが発生する恐れがあります。

たとえば、自社のシステムへのアクセス権限を付与して業務をさせる場合、委託した個人事業主のパソコンがウィルスに感染し、自社システムにも感染が広がる恐れがあります。

一般的には企業より個人事業主の方がセキュリティやコンプライアンスへの対策が十分ではないケースが多いため、企業へ業務を委託する場合と同様に個人に委託する場合においても委託先選定基準を設定することが重要です。

 

【関連記事】

委託先から個人情報が漏えいした事例を紹介

 

■定期的に委託先選定基準を見直す

委託先選定基準を定める際の注意点の3つ目は、定期的に委託先選定基準を見直すことです。

設定した委託先選定基準に基づいて委託先を選定したからといって、自社で発生するリスクを完全に防止できるとは限りません。

実際に委託した企業や個人との間でトラブルが発生していないか、業務に支障が出ていないかなどをチェックし、問題が発生していた場合基準を見直すことが重要です。

 

【関連記事】

セキュリティチェックシートとは？必要な理由や課題、記載する項目、回答してもらう負担を軽減する方法を解説

 

 

4. 外部委託における委託先の選定基準

外部委託における委託先の選定基準は以下の通りです。

依頼する業務に関する十分な実績があるか 信用できる相手なのか 依頼する業務に関する知見や経験が豊富な人材がいるか 依頼する業務に対応できる規模なのか 高い費用対効果が期待できるか セキュリティ対策を実施しているか 必要な認証を取得しているか 十分なコミュニケーションが取れるか コンプライアンスに対する意識は十分か 安全管理措置を実施しているか

 

それぞれの選定基準について解説します。

 

■依頼する業務に関する十分な実績があるか

外部委託における委託先の選定基準の1つ目は、依頼する業務に関する十分な実績があるかです。

委託先の対応可能業務に自社が依頼したい業務が含まれていたとしても、その業務に対する委託先の実績が十分でなければ期待するほどの成果は得られないかもしれません。

対応業務が複数ある場合、どの業務を専門としているのか、それぞれの業務における実績はどのくらいあるのかなどをチェックするようにしましょう。

 

■信用できる相手なのか

外部委託における委託先の選定基準の2つ目は、信用できる相手なのかです。

法人登記されている企業だからといって、安心して取引して取引できる企業とは限りません。

反社会的勢力と取引をしていたり、代表者や社員がトラブルを抱えていたりする可能性もあります。

支払い能力はあるか、債務超過に陥っていないか、すぐに倒産する可能性はないかなど、取引する企業としてふさわしいのかを事前に調査する必要があります。

 

■依頼する業務に関する知見や経験が豊富な人材がいるか

外部委託における委託先の選定基準の3つ目は、依頼する業務に関する知見や経験が豊富な人材がいるかです。

依頼する業務によっては、業務に関する高度な知見や経験を必要とするケースがあります。

指示通りに作業ができるだけの人材しかいない場合、高度な判断を要求される状況に対応できないかもしれません。

依頼する業務に関する知見や経験が十分にあるのか、どの程度の人材がいるのかを確認するようにしましょう。

 

■依頼する業務に対応できる規模なのか

外部委託における委託先の選定基準の4つ目は、依頼する業務に対応できる規模なのかです。

依頼する業務規模に対して委託先の規模が著しく小さい場合、期日までに業務が完了しなかったり、業務の品質が低下したりする恐れがあります。

大規模なプロジェクトを規模の小さい企業へ委託した場合、下請け企業や業務委託のフリーランスへ業務を丸投げするかもしれません。

委託先の従業員数はどのくらいなのか、第三者へ業務を委託する可能性はあるのかを確認するようにしましょう。

■高い費用対効果が期待できるか

外部委託における委託先の選定基準の5つ目は、高い費用対効果が期待できるかです。

依頼する業務の相場に対して著しく低い金額で受注する企業の場合、納品する業務の品質も低くなり、かえって高くつくことになる恐れがあります。

安い費用で依頼できるかだけでなく、十分な費用対効果が得られるのかも確認するようにしましょう。

■セキュリティ対策を実施しているか

外部委託における委託先の選定基準の6つ目は、セキュリティ対策を実施しているかです。

多くの企業でセキュリティ対策が講じられていますが、企業ごとに程度は異なります。

自社と委託先のセキュリティ対策の水準に大きな差があると、委託先を経由したサイバー攻撃を受けたり、委託先を要因とするリスクが発生したりするかもしれません。

JIPDECガイドラインにも、「委託先を選定する基準として、該当する業務については少なくとも自社と同等以上の個人情報保護の水準にあることを客観的に確認できること。」と記載されています。

依頼する業務に関して、セキュリティ対策が少なくとも自社と同等以上の水準にあることを確認しておきましょう。

 

■必要な認証を取得しているか

外部委託における委託先の選定基準の7つ目は、必要な認証を取得しているかです。

業務によっては特殊な認証を取得している企業でないと実施できないものがあります。

また、ISOやＰマークといった規格を取得していれば、取得している分野において一定基準を満たしていると判断ができますので、安心して業務を依頼することができます。

 

【関連記事】

プライバシーマークとは？制度の仕組みや取得するメリット、手順を解説

プライバシーマークにおける委託先管理とは？導入する目的、ポイントを解説

 

■十分なコミュニケーションが取れるか

外部委託における委託先の選定基準の8つ目は、十分なコミュニケーションが取れるかです。

業務を委託すると、委託先に対して依頼内容の連絡や修正・確認の連絡など、様々なコミュニケーションを取る必要が出てきます。

委託先とのコミュニケーションが不足していると、課題やトラブルが発生した際に相談してこなかったり、勝手な対応をされてしまったりするかもしれません。

事前のやり取りにおいて、レスポンスの速度や対応などをきちんと確認しておきましょう。
メールでのやり取りだけでなく、チャットツールなどのスムーズな連絡手段を用意しておくことも有効です。

 

■コンプライアンスに対する意識は十分か

外部委託における委託先の選定基準の9つ目は、コンプライアンスに対する意識は十分かです。

コンプライアンスとは、法令や規則、規制を遵守することです。

委託先でコンプライアンス違反が発生すると、委託先が法的な処分を受けるだけではなく、自社の社会的な信用性が低下する恐れもあります。

委託先の社風やポリシーなどを確認し、コンプライアンスに対する意識に問題はないかを確認しておきましょう。

 

■安全管理措置を実施しているか

外部委託における委託先の選定基準の10つ目は、安全管理措置を実施しているかです。

安全管理措置とは、個人情報保護法で定められた、個人情報の漏えいや不正アクセスを防ぐために必要な対策を指します。

 

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。 引用：個人情報保護法第23条

 

個人情報を扱う業務を委託する場合、委託先が安全管理措置を実施しているかを確認することが重要です。

具体的には、以下の4つの安全管理措置の実施状況を確認します。

• 組織的安全管理措置
• 人的安全管理措置
• 物理的安全管理措置
• 技術的安全管理措置

 

【関連記事】

個人情報保護法における安全管理措置とは？個人情報取扱事業者の義務を解説

 

 

5. まとめ

今回は、委託先選定基準の概要から定める目的、定める際の注意点、外部委託における委託先の選定基準について解説しました。

適切な基準に基づいて委託先を選定しなかった場合、委託先を要因としたリスクが発生する可能性が高くなります。

委託先を選定する際には、事前に委託先選定基準を設定しておき、基準に基づいて選定することが重要です。

本記事で解説した委託先選定基準を参考にしていただき、自社に合った委託先選定基準を作成・設定しましょう。

 

■委託先リスクコンサルティングサービス

弊社では、委託先のリスク管理に関するコンサルティングサービスを提供しています。

委託先でのリスク低減を見据えた選定基準の作成やその後の運用まで、お悩みがある方はぜひご相談ください。