1. ホーム
  2. 委託先管理Blog
  3. 記事

ISMSにおける委託先管理とは?管理する目的、ポイントを解説

「ISMSにおける委託先管理とは何か」「ISMSとして委託先管理を実施する理由・メリットは何か」「ISMSとして委託先管理を実施する際にどのような点に注意するべきなのか」など、疑問に感じている方もいらっしゃるのではないでしょうか?


本記事では、ISMSにおける委託先管理の概要から管理する目的、ポイントについて解説します。

 

目次
1. ISMSとは
2. ISMSにおける委託先管理の目的
3. ISMSにおける委託先管理の要求事項
■A.15.1 供給者関係における情報セキュリティ
■A.15.2 供給者のサービス提供の管理
4. ISMSにおける委託先管理のポイント
■情報セキュリティ方針を策定する
■情報セキュリティ要求事項について委託先と合意を得る
■ICTサプライチェーン全体の管理を行う
■委託先を定期的に監視・評価する
■サービス提供の変更を管理する
■委託先管理台帳を整備する
■選定基準を明確にする
■再委託先の管理・監督を行う
■安全管理措置を講じているかを確認する
5. まとめ

1. ISMSとは

ISMSとは、自社が所有する情報の機密性・完全性・可用性を維持できるように、強固なセキュリティ体制を構築することです。

リスクマネジメントプロセスを適用することによって情報セキュリティリスクを適切に管理しているという信頼を、顧客や取引先に与えることができます。


 情報セキュリティマネジメントシステムを意味する「Information Security Management System」の頭文字を取って、ISMSと呼ばれています。

ISMSを構築する基準とされているのは、国際規格である「ISO/IEC 27001」となっています。

「ISO/IEC 27001」に則った情報セキュリティ体制を構築し、審査を受けることでISMS認証を取得することができます。

 

【関連記事】

ISMS(情報セキュリティマネジメントシステム)とは?構築する方法やポイント、ISO27001(JISQ27001)との関係性について解説

 

 

2. ISMSにおける委託先管理の目的

ISMSにおける委託先管理の目的は、委託先を経由したサイバー攻撃や不正アクセスといった情報セキュリティリスクを防ぎ、自社が所有する情報の機密性・完全性・可用性を維持することです。


自社で十分なセキュリティ対策を実施していても、委託先のセキュリティ対策に不備があれば、委託先を経由したサイバー攻撃によって被害が発生するケースがあります。

強固なセキュリティ体制を構築している大手企業でも、委託先から個人情報が漏洩してしまったという事件も後を絶ちません。


そのため、自社の情報セキュリティリスクを軽減する手法のひとつとして、委託先管理を実施する必要があるのです。

 

 

3. ISMSにおける委託先管理の要求事項

ISMSにおける委託先管理については、規格の付属書Aのうち、「A.15 供給者関係」に記載があります。

A.15.1 供給者関係における情報セキュリティ
目的: 供給者がアクセスできる組織の資産の保護を確実にするため。
A.15.1.1 供給者関係のための情報セキュリティの方針
A.15.1.2 供給者との合意におけるセキュリティの取扱い
A.15.1.3 ICT サプライチェーン
A.15.2 供給者のサービス提供の管理
目的: 供給者との合意に沿って,情報セキュリティ及びサービス提供について合意したレベルを維持するため。
A.15.2.1 供給者のサービス提供の監視及びレビュー
A.15.2.2 供給者のサービス提供の変更に対する管理

 

「A.15.1 供給者関係における情報セキュリティ」では主に契約前の情報セキュリティ方針の作成や合意について、「A.15.2 供給者のサービス提供の管理」では契約後の供給者の監視や管理について書かれています。

 

■A.15.1 供給者関係における情報セキュリティ

A.15.1では、供給者がアクセスできる組織の資産を保護するために、情報セキュリティ方針を策定し、それについて供給者と合意を取る必要があることが示されています。

 

「A.15.1.1供給者関係のための情報セキュリティの方針」では、供給者が自社の情報にアクセスすることに関して、情報セキュリティ要求事項を作成すべきとしています。

どの情報にどの供給者がアクセスするのか、アクセスする際の監視・管理方法、不測の事態の取り決めをしておくほか、場合によっては機密保持契約等を結ぶことも重要です。

 

「A.15.1.2供給者との合意におけるセキュリティの取扱い」は確立した要求事項について、供給者との間に誤解が生じないような合意を取っておくことです。

 

「A.15.1.3ICT サプライチェーン」はセキュリティ要求事項を、下請企業を含めたICTサプライチェーン全体に伝達し管理する必要があるとしています。

 

■A.15.2 供給者のサービス提供の管理

A.15.2では、A.15.1で策定した情報セキュリティ要求事項について、それらがきちんと維持されているか監視・管理することについて書かれています。

 

「A.15.2.1供給者のサービス提供の監視及びレビュー」では、供給者のサービス提供を監視、レビュー、監査する必要があるとしています。

 

「A.15.2.2 供給者のサービス提供の変更に対する管理」はサービス提供に関する変更があった際に、その変更を管理することが望ましいとしています。

 

 

4. ISMSにおける委託先管理のポイント

ISMSにおける委託先管理のポイントは以下の通りです。

  • 情報セキュリティ方針を策定する

  • 情報セキュリティ要求事項について委託先と合意を得る

  • ICTサプライチェーン全体の管理を行う

  • 委託先を定期的に監視・評価する

  • サービス提供の変更を管理する

  • 委託先管理台帳を整備する
  • 選定基準を明確にする
  • 再委託先の管理・監督を行う
  • 安全管理措置を講じているかを確認する

 

■情報セキュリティ方針を策定する

情報セキュリティ方針の策定は、組織のセキュリティレベルを高め、委託先との信頼関係を築くための重要な要素です。情報セキュリティ方針とは、組織が情報をどのように保護するかを示す指針のことを指します。この方針を策定することで、組織全体が一貫したセキュリティ意識を持ち、委託先にも明確な基準を提示できます。情報の取り扱いや保護に関する基本的な考え方、具体的なセキュリティ対策の方針を明記することで、委託先との契約や業務遂行時において、双方が同じ基準で情報を守ることが可能です。また、専門家の助言を受けながら策定することで、より効果的な方針を構築できます。

 

■情報セキュリティ要求事項について委託先と合意を得る

情報セキュリティ要求事項について委託先と合意を得ることは、ISMSにおける委託先管理の重要なステップです。情報セキュリティ要求事項とは、企業が外部の委託先に対して求めるセキュリティ基準や手続きを指します。合意を得る際には、具体的な要求事項を文書化し、双方で確認することが重要です。さらに、定期的なミーティングや報告を通じて、委託先が要求事項を遵守しているかどうかを確認することも大切です。

 

■ICTサプライチェーン全体の管理を行う

ICTサプライチェーン全体の管理を行うことは、ISMSにおける委託先管理の中で非常に重要です。サプライチェーンとは、製品やサービスが最終的に消費者に届くまでの一連の流れを指します。この流れの中で、情報セキュリティを確保するためには、すべての関係者が同じ基準で管理されていることが必要です。委託先やサプライヤーが情報漏洩を起こせば、最終的には自社の信用が損なわれる可能性があります。したがって、ICTサプライチェーン全体を管理し、定期的に評価を行うことで、リスクを最小限に抑えることが求められます。

 

■委託先を定期的に監視・評価する

委託先を定期的に監視・評価することは、ISMSにおける委託先管理の重要なステップです。委託先の業務が自社の情報セキュリティ基準に適合しているかを確認することで、情報漏洩リスクを未然に防ぐ役割を果たします。具体的には、委託先との定期的なコミュニケーションや、業務プロセスの確認、セキュリティ対策の実施状況をチェックすることが求められます。また、評価結果をもとに改善点を見つけ、必要に応じて契約内容の見直しを行うことも大切です。

 

■サービス提供の変更を管理する

サービス提供の変更を管理することは、ISMSにおける委託先管理の重要なポイントです。サービス内容や提供範囲の変更は、情報セキュリティに直接影響を及ぼす可能性があります。契約書や合意事項を再確認し、変更内容がセキュリティ要求事項にどう影響するかを分析します。次に、委託先と密にコミュニケーションを取り、変更に伴うリスクを共有し、必要な対策を講じます。さらに、変更が適切に実施されているかを定期的に評価し、問題が発生した場合は迅速に対応する体制を整えておくことが大切です。

 

■委託先管理台帳を整備する

委託先管理台帳とは、委託先に関する情報を一元的に管理するための台帳です。委託先管理台帳を整備することで、委託先の情報を常に最新の状態で把握し、管理することができます。

委託先管理台帳には、委託先の基本情報や契約内容、担当者情報、評価結果などを記載します。これらの情報を定期的に更新し、常に最新の状態を保つことで、委託先のパフォーマンスや信頼性を継続的に評価し、必要に応じて改善策を講じることができるわけです。

 

【関連記事】

委託先管理台帳作成のコツと運用時の注意点について解説

 

■選定基準を明確にする

選定基準が曖昧なままでは情報漏洩やセキュリティインシデントのリスクの高い委託先を選んでしまう恐れがあるため、委託先の選定基準を具体的に設定する必要があります。

選定基準を設定する際には、ISO27001などの認証取得状況や過去のセキュリティインシデントの有無、情報セキュリティに対する取り組み姿勢などを考慮することが重要です。選定基準を基に、委託先が自社の情報セキュリティ方針に適合しているかどうかを判断します。

また、選定基準を設定するだけでなく、定期的に見直すことも重要です。情報セキュリティの脅威は日々変化しているため、最新の状況に基づいて基準を更新し、適切な委託先選定を行う必要があります。

 

【関連記事】

外部委託における委託先の選定基準10選

 

■再委託先の管理・監督を行う

再委託とは、元の委託先がさらに別の業者に業務を委託することです。再委託では情報の流れが複雑になり、セキュリティリスクが増加する可能性があります。

委託元が直接契約を結んでいない再委託先に対しても委託元には間接的な監督責任があり、再委託先が原因で情報漏洩や不正アクセスが発生した場合に委託元が責任を負うこともあるため、再委託先をしっかり管理する必要があります。

具体的には、再委託先が情報セキュリティの要求事項を満たしているかどうかを確認することが重要です。また、再委託先との契約には、情報セキュリティに関する条項を定め、必要に応じて監査を実施するようにしましょう。

 

【関連記事】

再委託とは?再委託にあたらないケースや委託元が許可するメリット・デメリット、注意点、契約書の例文を解説

委託先の監督とは?監督する責任の有無や法的リスクを解説

 

■安全管理措置を講じているかを確認する

個人情報取扱事業者には、個人情報の漏えいや不正アクセスを防ぐために安全管理措置を講じる義務があります。

 

個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。


引用:個人情報保護法第23条

 

委託先が適切な安全管理措置を行っていない場合、情報漏えいやセキュリティ事故のリスクが高まるため、安全管理措置を講じているかを確認することが重要です。

具体的には、委託先がどのようなセキュリティポリシーを持っているのか、情報の暗号化やアクセス制限、バックアップ体制などが適切に実施されているかなど、委託先が安全管理措置を実施しているかを確認します。

さらに、契約書にセキュリティに関する条項を盛り込むことで委託先に対して明確に安全管理責任を課すことができ、問題が発生した際の対処もスムーズになります。

最後に、定期的な監査を行い、委託先の安全管理措置が継続して適用されているかを確認することが重要です。

 

【関連記事】

個人情報保護法における安全管理措置とは?個人情報取扱事業者の義務を解説

 

 

5. まとめ

本記事では、ISMSにおける委託先管理の概要から管理する目的、ポイントについて解説しました。


自社のセキュリティが完璧であったとしても、委託先を経由したサイバー攻撃や委託先の従業員による不正アクセスにより自社の機密情報や個人情報が漏洩してしまう可能性はあります。

委託先による自社の情報へのアクセスもしっかりと管理をして、リスク低減を目指しましょう。

 

アトミテックでは、ISMSに則った委託先管理について、コンサルティングサービスを提供しています。

必要性は認識しているが何からやったらわからない、改善したいがナレッジがない、といったお悩みがございましたらお気軽にご相談ください。