「委託先管理とは何か」「委託先管理を行う目的は何か」「なぜ委託先管理を行う必要があるのか」など、疑問に感じている方もいるのではないでしょうか?
オンライン上で手軽に業務を外部へ依頼できるサービスの普及により、近年業務をアウトソーシングする企業が増加しています。
バックオフィス業務を外注することでコア業務に専念できるメリットがある一方、委託先における事故やトラブルのリスク管理の不備が自社に悪影響を与えるリスクを抑えるためには委託先管理が必要です。
本記事では、外部へ業務を委託している企業に向けて、委託先管理の概要から目的、必要な理由、効果的に行うポイントについて解説します。
また弊社では、委託先のリスク管理におけるチェックシートのやりとりを自動化できる「VendorTrustLink」というサービスを提供しています。まずはお気軽にお問合せください。
1. 委託先管理とは
委託先管理とは、サイバーセキュリティやコンプライアンス、製品の不備、ハラスメントといった委託先におけるリスクによって、企業が倒産しないように、委託先を管理することです。
「委託先」とは、自社が業務を委託している企業や個人事業主などを指します。法人だけでなく、クラウドソーシングやSNS経由で業務を依頼したフリーランスも委託先です。
具体的には、以下のような手順で委託先管理を行います。
|
特に情報セキュリティに関する委託先のリスクを確認する手段として、委託先のISMSやプライバシーマークの取得状況をチェックするケースがあります。
次項でISMS・プライバシーマークについて解説します。
■ISMS (情報セキュリティマネジメントシステム)とは
ISMSとは、自社が所有する情報の機密性・完全性・可用性を維持できるように、強固なセキュリティ体制を構築することです。
情報セキュリティマネジメントシステムを意味する「Information Security Management System」の頭文字を取って、ISMSと呼ばれています。
ISMSを構築する基準とされているのは、国際規格である「ISO/IEC 27001」と「JIS Q 27001」の2つです。
「ISO/IEC 27001」や「JIS Q 27001」を取得していることは、ISMS認証を受けていることを意味します。
■プライバシーマークとは
プライバシーマークとは、取得した個人情報に対して適切な保護措置を講じている事業者がプライバシーマークの使用を認められる、第三者認証制度です。
一般財団法人日本情報経済社会推進協会(JIPDEC)が、プライバシーマーク制度を運営しています。
日本産業規格「JIS Q 15001個人情報保護マネジメントシステム-要求事項」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基づき、取得した個人情報に対して適切な保護措置を講じていると認証された事業者に対して、プライバシーマークが付与されます。
参考資料:プライバシーマーク制度について「一般財団法人日本情報経済社会推進協会」
2. 委託先管理の目的
委託先管理の目的は、以下のような要因によって自社が倒産しないようにすることです。
|
業務を委託する際には自社の内部情報を提供するケースがあるため、委託先の情報管理がおろそかになっていれば、情報漏洩が発生したり不正アクセスに繋がったりする恐れがあります。
委託先が原因とは言え、情報漏洩や不正アクセスが発生したとなれば、自社の信頼性は著しく低下することになるでしょう。
場合によっては、以下のような問題が発生し、究極的には経営破綻してしまうかもしれません。
|
上記のように、自社が倒産するリスクを低減するためには、自社が契約する委託先のリスク管理が必要となるわけです。
3. 委託先管理が必要な理由
委託先管理が必要な理由は以下の通りです。
|
■委託元には委託先を監督する責任がある
委託先管理が必要な理由の1つ目は、委託元には委託先を監督する責任があるからです。
多くの場合、契約書の再委託に関する条文において、再委託をした場合も同等の責任を委託元が追う旨が記載されているかと思います。
また、個人情報管理に関しては、個人情報保護法でも、企業が外部の事業者へ業務を委託した場合、委託先に提供した個人情報の管理について、委託元が委託先に対して監督する必要があると示されています。
|
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。 出典:e-Gov法令検索「個人情報保護法第25条」 |
委託先が原因で個人情報の漏洩が発生した場合、委託先は委託元に対する責任が問われますが、情報漏洩が発生した相手に対しては委託元が責任を負うことになります。
■自社の損失を防ぐ
委託先管理が必要な理由の2つ目は、自社に損失が発生する恐れがあるからです。
特に近年は、委託先に預けた個人情報が漏洩したことにより、委託元がその対応に追われる事件が多くなっています。社内でどれだけセキュリティ対策を行っていたとしても、委託先が情報を適切に管理していなければ、自社の情報が社外ヘ流出してしまう可能性があります。
- 日本年金機構における情報漏洩事件
日本年金機構では、申告書の処理を委託していた業者が無断で第三者に再委託を行った上、入力ミスにより本来払われるべき金額が払われないという事件が発生しました。同機構はその後約528万人の入力内容の点検や差額の返金といった対応に追われました。
参考資料:年金からの所得税の源泉徴収について「日本年金機構」
■自社の評判の低下を防ぐ
委託先管理が必要な理由の3つ目は、自社の評判が低下する恐れがあるからです。
委託先が原因となった情報漏洩だとしても、委託元には監督責任があり、多くの場合ニュース等では委託元の社名が取り上げられます。顧客や取引先の情報が漏洩したとなれば、そのサービスへの信頼が低下することも避けられません。
- LINEヤフー株式会社における情報漏洩事件
LINEヤフー株式会社では、委託先企業の従業者が所持するPCがマルウェアに感染したことにより、社内システムへ第三者による不正アクセスが発生しました。
上記不正アクセスによりユーザーの個人情報約30万件、取引先の情報約9万件、従業者等に関する情報5万件が漏洩したと発表しています。
参考資料:不正アクセスによる、情報漏えいに関するお知らせとお詫び「LINEヤフー株式会社」
【関連記事】
LINEヤフー不正アクセス事件:委託先リスク管理強化の重要性
4. 委託先管理のポイント
委託先管理のポイントは以下の通りです。
|
■委託する前に検討する
委託先管理のポイントの1つ目は、委託する前に検討することです。
自社で策定した委託先管理ガイドラインに基づき、委託しても問題ないかを確認したうえで契約を締結します。
委託先を選定する際のポイント
|
■委託先のリスク管理体制を定期的にチェックする
委託先管理のポイントの2つ目は、コンプライアンスや製品の不備、ハラスメントなど、委託先に関するリスク体制を定期的にチェックすることです。
契約時に問題がなかったからといって、委託先のリスク対策を信頼しすぎてはいけません。
年に1回程度の頻度で委託先へアンケートを送付し、自社が指定したリスク管理基準を満たしているか、契約時のルールは遵守されているかを確認しましょう。
■委託先管理システム・ツールを活用する
委託先管理のポイントの3つ目は、委託先管理システム・ツールを活用することです。
委託先の管理は手間がかかる作業ですが、委託先管理システムやツールを活用することで、社員の負担を軽減し、チェックミスを防止できます。
■委託先リスク管理サービス「VendorTrustLink」
弊社では、委託先管理に課題を抱える事業者に向けて、委託先リスク管理サービス「VendorTrustLink」を提供しています。
委託先や取引先に関連する情報を一元管理し、リスクを可視化できるサービスです。委託先のリスク管理作業を効率化でき、監査にかかる工数を削減できます。
委託先リスク管理業務において以下のような課題を抱える事業者におすすめのサービスとなっています。
|
委託先管理にお悩みであれば、製品についてお気軽にお問合せください。
また、委託先リスク管理として企業が行うべきことをまとめた「委託先リスク管理ガイド」を公開しております。
リスク管理の必要性は認識しつつも、実際に対策を打てていなかったり、これまでのやり方を踏襲してしまっているという方は、ぜひご検討ください。
下記のリンクより無料で資料をダウンロードいただけます。
