重要
年末年始休業 2023年12月29日~2024年1月3日
企業が自社の本来の業務に集中するため、いまではどの会社でも当たり前のように、自社業務の一部を他社に肩代わりしてもらう「業務の委託」を行っています。そして、企業活動が高度化・複雑化する中で、委託元・委託先・再委託先・再々委託先……といったふうに、委託関係もまた複雑化し、自社が業務を委託している企業は何十社、何百社にものぼる、ということも起こるようになってきました。
そこで、業務を委託する企業では委託先管理という業務が発生します。委託先管理については以前も弊社ブログ『委託先管理で押さえておくべき情報セキュリティのポイント』で適切な委託先の選定について書きましたが、今回は、委託先管理の運用をいかに維持・継続していくかという観点で委託先管理業務の現状とそこに潜むリスク、そしてそのリスクをいかに軽減するかを述べていきます。
委託先管理にまつわる問題点は、いかに運用していくか、というところにあるといえます。
適切な委託先を選定するために有用な指針は、以前のブログ『委託先管理で押さえておくべき情報セキュリティのポイント』でも紹介しましたNISC(内閣サイバーセキュリティセンター)の『外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕様書策定手引書』 (以下「NISC資料」とします)の「3.外部委託の際に考慮すべき事項及び仕様書記載例」と、総務省の『地方公共団体における情報セキュリティポリシーに関するガイドライン(令和4年3月版)』(以下「総務省資料」とします) の「8.業務委託と外部サービスの利用」で、特に総務省資料はISMSを意識した記述が多分になされています。委託先を選定する際、セキュリティ管理体制の整備を促す観点から、ISMS等のセキュリティ認証取得を委託先に求めるというのは、確かによいことだと言えます。
しかし、委託先のセキュリティ状況のチェックはひとたび実施すれば終わりというものではなく、運用に載せることが必要です。具体的には、委託先から受ける定期的な報告をチェックすることと、委託先の作業状況を監査などの方法でモニタリングのうえ評価することが必要です。
セキュリティ認証での要求として定期的なチェックが求められる場合もあります。たとえば、個人情報を取り扱う場合は『個人情報の保護に関する法律についてのガイドライン(通則編)』にもあるように「委託先における個人データ取扱状況の把握」が求められますが、その方法のひとつとして「定期的に監査を行う」ことが記載されています。また、ISMSにおける管理策のひとつ「A.5.19 供給者関係における情報セキュリティ」にも同様の記載があります。すべてのリスクに対応できるとは限らないものの、要求事項に委託先の定期的なチェックが含まれていることは覚えておきましょう。
委託先管理の運用、特に、セキュリティ状況の定期的なチェックを怠ると、本来であれば毎度新たに発見され対策されていくはずのリスクが潜在化します。その結果、ミスや不正、サイバー攻撃による被害といった問題の発生に気づかなかったり、問題があった場合の対応が遅れたりするおそれがあります。定期的なチェックですべてのリスクが回避できるわけではなく、ミスや不正、サイバー攻撃による被害をなくすことまではできませんが、できる限りのリスク転嫁・軽減といった、影響を最小限に抑える方策をとれるようにするためにも、セキュリティ状況の定期的なチェックを怠りなく実施することは大切です。
さて、委託先のセキュリティ状況のチェックを定期的に行うとなると、以下のような問題が発生してきます。
多くの企業では、表計算ソフトなどで委託先調査票の雛形を作成し、それを各社向けに記入してメールで送付し、回答を求める、という手順で定期的な委託先調査を進めていきますが、委託先調査票を各社向けに作成する、各社の担当者のメールアドレスを調べる、メールで委託先調査票を送る、回答が来ない場合は催促する、といったところに工数が発生します。
また、回答を求められる側も、各社で違うフォーマットを持つ委託先調査票を読み解きながら人手で回答することになります。
調査対象企業の情報を最新に保ち続けることや、どの企業に委託先調査票の記入依頼を送ったか、どの企業から委託先調査票の回答があったか、などを表計算ソフトなどで作成した一覧表で管理しますが、記入自体は人手にたよることとなり、工数は増大し、誤入力をはじめとした取り扱いのミスも発生しやすくなります。場合によっては、調査対象企業から連絡がないまま、担当者が異動・退職などで不在になることも起こるでしょう。この場合は調査対象企業との連絡が必要で、さらに工数が増大します。
そして、前述の通り、定期的に行う必要のある委託先のセキュリティ状況のチェックを、多くの企業では年次としています。したがって、委託先調査票のやりとりやその運用管理は、膨大な工数が発生する業務となります。
委託先セキュリティ状況の定期チェックの問題は、いずれも工数の増大につながる問題です。端的にいえば委託先セキュリティ状況の定期チェックは面倒である、ということです。面倒な業務はできればやめたいところですが、前述の通り、セキュリティ認証や個人情報保護法などの要求上やらなければいけないことですので、やめるわけにはいきません。
一方で、委託先セキュリティ状況の定期チェックは一定の手順で運用していくものですが、多くの会社では人手に頼る前提で手順が定められ、一度定められてしまったその手順が面倒なものであると改善には手が回らず、こなすだけでも大変な業務となって現場に降りかかってきます。
すると、運用の形骸化が起こります。たとえば、調査票に安易に昨年と同じ回答を書いて終わらせることは起こりがちです。しかし、前回の調査の間から新たに分かったことは本当にないのでしょうか? セキュリティ認証ではPDCAサイクルを回すことを求めているものもありますから、セキュリティを運用していれば新たに分かってくることも往々にしてあるものです。昨年は見えなかったが今年は新たなリスクが見えてきたのでこのような対策が行われた、ということが委託先から報告されることがあってもよいはずですが、現場の疲弊からくる運用の形骸化リスクは、そのようなリスク発見と対策実施への道を閉ざす結果をもたらします。
とはいえ、委託先に起因するセキュリティインシデントとして有名な、2014年に発覚したベネッセ事件や、最近(2023年10月)発覚したNTTビジネスソリューションズ株式会社の元派遣社員による顧客情報の流出事案のような、極めて悪質な内部不正とみられるケースにおいては、防ぐことが困難なものもあります。委託している情報の種類や数、機密度によっては、より手数がかかる方法をとることにはなりますが、たとえば定期的な現地監査も合わせて実施することも必要になってくるでしょう。
いずれにせよ、業務委託において委託先管理は避けて通れない以上、いかに運用を効率化していくかを考えることは重要です。運用効率化によって、たとえば、運用効率化で捻出された工数を監査に充ててより確実にリスクをつぶしていくなど、本来の目的に沿った業務が可能となります。
委託先管理、特に委託先セキュリティ状況の定期チェックでは、運用を効率化することが重要であることを先に述べました。
多くの企業がメールとエクセルに頼った委託先管理を実施してるのが現状で、ごく一部の企業が委託先管理管理を効率化するためノーコードツールなどのアプローチを利用していますが、委託先管理管理の効率化に特化したプロダクトも存在し、そのひとつとして、弊社の「Conoris BP」が挙げられます。2023年9月に弊社より提供開始した「Conoris BP」は以下3つの特徴を備えています。
管理者・現場部門・委託先・再委託先といった関係者全員との業務のやりとりが同一プラットフォーム内で完結するため、メールとエクセルを見ながら対応するといった余計な作業が削減されます。
調査票は自由にカスタマイズが可能なWEBフォームにて入力が完結。エラーチェックにより、記入のミス・漏れの指摘から解放されます。
委託先調査の項目の記載・申請 ・コメントによる複数ユーザコミュニ ケーションをとることで、申請状況・利用状況の集計・管理 ・レポート作成が可能です。
また、法人APIと連携、国内法人データベースと連携することで、業務効率化につながります。
年次の定期点検専用の機能を有しており、委託先・再委託先の2年目以降の調査票の回収・チェック作業を大幅に効率化することができます。
初回の調査から定期点検まで、同一プラットフォームでの一元的な編集・管理が可能となり、管理工数の削減ができます。
業務を委託するにあたっては委託先管理が必要で、委託先の適切な選定のほか、委託先管理をいかに運用していくかを考える必要があります。そして、委託先の定期的な監督は委託先管理の運用における重要な課題で、委託先にまつわるセキュリティリスクの影響を最小限にするために必要なことですが、その際に膨大な工数が発生し、現場が疲弊しやすいという問題があります。
委託先管理の業務そのものをなくすことは現状では難しいため、運用の形骸化が発生しやすくなります。委託先にまつわる重大な事案が多数が発覚しているいま、委託先管理を効率化して運用をいかに最適化していくかということは改めて真剣に取り組むべき課題であり、特化したプロダクトの活用を検討することをお勧めします。
