〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
東京メトロ 銀座線:溜池山王駅 7番出口(地下直結)
東京メトロ 南北線:溜池山王駅 7番出口(地下直結)
東京メトロ 千代田線:国会議事堂前駅 5番出口 徒歩3分
東京メトロ 丸の内線:国会議事堂前駅 5番出口
徒歩10分(千代田線ホーム経由)
事務所概要・アクセス
セミナー
セミナー
事務所概要・アクセス
事務所概要・アクセス
〒100-6114
東京都千代田区永田町2丁目11番1号
山王パークタワー12階(お客さま受付)・14階
© Ushijima & Partners All rights reserved.
特集記事
Special Topics
<目次>
1. 委託先の選定
(1) 委託先に求めることが考えられるセキュリティ対策
(2) 委託先自体の評価
2. 委託契約の内容
3. 委託先にセキュリティ対策を求める際の留意点
近時、委託先を狙ったサイバー攻撃によるリスクが増大しています。独立行政法人情報処理推進機構(IPA)が公表している「情報セキュリティ10大脅威」においても、「サプライチェーンの弱点を悪用した攻撃」は6年連続でランクインしています(2024年は2位)。サイバー攻撃ではサプライチェーンの中で弱い部分が狙われるケースが多いため、個人データや機密情報の取扱いを伴う業務を委託している企業においては、業務委託先におけるセキュリティ対策にも十分に目を配る必要があります。
そこで、本稿では、業務委託先の情報セキュリティを確保するための実務上のポイントについて解説します。
1. 委託先の選定
委託先のセキュリティを確保する上では、委託先に対して要求するセキュリティ基準等を定めた委託先の選定基準を作成しておき、その基準を満たした者を委託先として選定することが重要です。
(1) 委託先に求めることが考えられるセキュリティ対策
① 通則ガイドラインの安全管理措置
委託先に求める情報セキュリティ対策としてまず考えられるのは、個人情報の保護に関する法律についてのガイドライン(通則編)(以下「通則ガイドライン」といいます。)「10((別添)講ずべき安全管理措置の内容)」に挙げられている各項目です。個人データの取扱いの全部又は一部を委託する個人情報取扱事業者は、委託先に対する必要かつ適切な監督を行う義務の内容として、下記の各項目が、委託する業務内容に沿って、確実に実施されることについて、あらかじめ確認することが求められます(通則ガイドライン3-4-4)。
| 安全管理措置 | 具体的な手法の例示 | |
| 1 基本方針の策定 | ||
| 個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定する。 | 「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等を定める。 | |
| 2 個人データの取扱いにかかる規律の整備 | ||
| 取り扱う個人データの漏えい等の防止その他の個人データの安全管理のために、個人データの具体的な取扱いに係る規律を整備する。 | 取得、利用、保存、提供、削除・廃棄等の段階ごとに、取扱方法、責任者・担当者及びその任務等について定める個人データの取扱規程を策定する。 以降に記述する組織的安全管理措置、人的安全管理措置及び物理的安全管理措置の内容、並びに情報システムを使用して個人データを取り扱う場合は技術的安全管理措置の内容を織り込む。 | |
| 3 組織的安全管理措置 | ||
| ア 組織体制の整備 | 安全管理措置を講ずるための組織体制を整備する。 | ・個人データの取扱いに関する責任者の設置及び責任の明確化 ・個人データを取り扱う従業者及びその役割の明確化 ・上記の従業者が取り扱う個人データの範囲の明確化 ・法や個人情報取扱事業者において整備されている個人データの取扱いに係る規律に違反している事実又は兆候を把握した場合の責任者への報告連絡体制 ・個人データの漏えい等事案の発生又は兆候を把握した場合の責任者への報告連絡体制 ・個人データを複数の部署で取り扱う場合の各部署の役割分担及び責任の明確化 |
| イ 個人データの取扱いに係る規律に従った運用 | あらかじめ整備された個人データの取扱いに係る規律に従って個人データを取り扱う。 ※運用の状況を確認するため、利用状況等を記録することも重要 | 次のような項目に関して、システムログその他の個人データの取扱いに係る記録の整備や業務日誌の作成等を通じて、個人データの取扱いの検証を可能とする。 ・個人情報データベース等の利用・出力状況 ・個人データが記載又は記録された書類・媒体等の持ち運び等の状況 ・個人情報データベース等の削除・廃棄の状況(委託した場合の消去・廃棄を証明する記録を含む。) ・個人情報データベース等を情報システムで取り扱う場合、担当者の情報システムの利用状況(ログイン実績、アクセスログ等) |
| ウ 個人データの取扱い状況を確認する手段の整備 | 個人データの取扱状況を確認するための手段を整備する。 | 次のような項目をあらかじめ明確化しておくことにより、個人データの取扱状況を把握可能とする。 ・個人情報データベース等の種類、名称 ・個人データの項目 ・責任者・取扱部署 ・利用目的 ・アクセス権を有する者 等 |
| エ 漏えい等事案に対応する体制の整備 | 漏えい等事案の発生又は兆候を把握した場合に適切かつ迅速に対応するための体制を整備する。 | 次のような対応を行うための、体制を整備することが考えられる。 ・事実関係の調査及び原因の究明 ・影響を受ける可能性のある本人への通知 ・個人情報保護委員会等への報告 ・再発防止策の検討及び決定 ・事実関係及び再発防止策等の公表 等 |
| オ 取扱い状況の把握及び安全管理措置の見直し | 個人データの取扱状況を把握し、安全管理措置の評価、見直し及び改善に取り組む。 | ・個人データの取扱状況について、定期的に自ら行う点検又は他部署等による監査を実施する。 ・外部の主体による監査活動と合わせて、監査を実施する。 |
| 4 人的安全管理措置 | ||
| 従業者の教育 | 従業者に、個人データの適正な取扱いを周知徹底するとともに適切な教育を行う。 | ・個人データの取扱いに関する留意事項について、従業者に定期的な研修等を行う。 ・個人データについての秘密保持に関する事項を就業規則等に盛り込む。 |
| 5 物理的安全管理措置 | ||
| ア 個人データを取り扱う区域の管理 | 個人情報データベース等を取り扱うサーバやメインコンピュータ等の重要な情報システムを管理する区域(管理区域)及びその他の個人データを取り扱う事務を実施する区域(取扱区域)について、それぞれ適切な管理を行う。 | (管理区域の管理手法の例) ・入退室管理及び持ち込む機器等の制限等 入退室管理の方法としては、ICカード、ナンバーキー等による入退室管理システムの設置等が考えられる。 (取扱区域の管理手法の例) ・間仕切り等の設置、座席配置の工夫、のぞき込みを防止する措置の実施等による、権限を有しない者による個人データの閲覧等の防止 |
| イ 機器及び電子媒体等の盗難等の防止 | 個人データを取り扱う機器、電子媒体及び書類等の盗難又は紛失等を防止するために、適切な管理を行う。 | ・個人データを取り扱う機器、個人データが記録された電子媒体又は個人データが記載された書類等を、施錠できるキャビネット・書庫等に保管する。 ・個人データを取り扱う情報システムが機器のみで運用されている場合は、当該機器をセキュリティワイヤー等により固定する。 |
| ウ 電子媒体等を持ち運ぶ場合の漏えい等の防止 | 個人データが記録された電子媒体又は書類等を持ち運ぶ場合、容易に個人データが判明しないよう、安全な方策を講じる。 | ・持ち運ぶ個人データの暗号化、パスワードによる保護等を行った上で電子媒体に保存する。 ・封緘、目隠しシールの貼付けを行う。 ・施錠できる搬送容器を利用する。 |
| エ 個人データの削除及び機器、電子媒体等の廃棄 | 個人データを削除し又は個人データが記録された機器、電子媒体等を廃棄する場合は、復元不可能な手段で行う。 個人データを削除した場合、又は、個人データが記録された機器、電子媒体等を廃棄した場合には、削除又は廃棄した記録を保存することや、それらの作業を委託する場合には、委託先が確実に削除又は廃棄したことについて証明書等により確認する。 | (個人データが記載された書類等を廃棄する方法の例) ・焼却、溶解、適切なシュレッダー処理等の復元不可能な手段を採用する。 (個人データを削除し、又は、個人データが記録された機器、電子媒体等を廃棄する方法の例) ・情報システム(パソコン等の機器を含む。)において、個人データを削除する場合、容易に復元できない手段を採用する。 ・個人データが記録された機器、電子媒体等を廃棄する場合、専用のデータ削除ソフトウェアの利用又は物理的な破壊等の手段を採用する。 |
| 6 技術的安全管理措置 | ||
| ア アクセス制御 | 担当者及び取り扱う個人情報データベース等の範囲を限定するために、適切なアクセス制御を行う。 | ・個人情報データベース等を取り扱うことのできる情報システムを限定する。 ・情報システムによってアクセスすることのできる個人情報データベース等を限定する。 ・ユーザーIDに付与するアクセス権により、個人情報データベース等を取り扱う情報システムを使用できる従業者を限定する。 |
| イ アクセス者の識別と認証 | 個人データを取り扱う情報システムを使用する従業者が正当なアクセス権を有する者であることを、識別した結果に基づき認証する。 | (情報システムを使用する従業者の識別・認証手法の例) ・ユーザーID、パスワード、磁気・ICカード等 |
| ウ 外部からの不正アクセス等の防止 | 個人データを取り扱う情報システムを外部からの不正アクセス又は不正ソフトウェアから保護する仕組みを導入し、適切に運用する。 | ・情報システムと外部ネットワークとの接続箇所にファイアウォール等を設置し、不正アクセスを遮断する。 ・情報システム及び機器にセキュリティ対策ソフトウェア等(ウイルス対策ソフトウェア等)を導入し、不正ソフトウェアの有無を確認する。 ・機器やソフトウェア等に標準装備されている自動更新機能等の活用により、ソフトウェア等を最新状態とする。 ・ログ等の定期的な分析により、不正アクセス等を検知する。 |
| エ 情報システムの使用に伴う漏えい等の防止 | 情報システムの使用に伴う個人データの漏えい等を防止するための措置を講じ、適切に運用する。 | ・情報システムの設計時に安全性を確保し、継続的に見直す(情報システムのぜい弱性を突いた攻撃への対策を講ずることも含む。)。 ・個人データを含む通信の経路又は内容を暗号化する。 ・移送する個人データについて、パスワード等による保護を行う。 |
| 7 外的環境の把握 | ||
| 外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講じる。 | - | |
② 政府機関等のサイバーセキュリティ対策のための統一基準群(令和5年版)の基本的対策事項
委託先に求める情報セキュリティ対策を考える上では、内閣サイバーセキュリティセンター(NISC)から公表されている政府機関等のサイバーセキュリティ対策のための統一基準群(※1。以下「統一基準群」といいます。)を参考とすることも考えられます。
令和5年(2023年)7月に公表された統一基準群の令和5年度版では、サプライチェーンの脆弱な部分を起点としたサイバー攻撃リスクが増大していることを踏まえ、米国の国立標準技術研究所(National Institute of Standards and Technology。“NIST”)が公表しているサプライチェーン対策(※2)を参考とした、委託先との契約に定めるべき情報セキュリティ対策8項目が盛り込まれています(下表参照)。
| 対策事項 | 対策の目的及び具体例 |
| 1 情報セキュリティインシデント等への対処能力の確立・維持 | インシデントを予防し、万一の発生時に的確な対処を行うことで情報を保護できるようにする (対策の具体例) ・当事者及び関係者の役割を含む体制をあらかじめ定める ・インシデント対処体制、責任者、委託業務担当者から当該体制への報告フロー等の概要について、対処能力の証明として契約締結までに説明ができる ・委託期間中に情報セキュリティインシデント等の検出有無等について定期的な報告を行う 等 |
| 2 情報へアクセスする主体の識別とアクセスの制御 | 必要な者だけが情報にアクセスできる状態を維持する (対策の具体例) ・主体認証やその属性ごとにアクセス制御を行い、管理者権限を持つ場合には必要最低限の権限と利用に制限した上で、ログを取得する ・システム利用者及び使用機器が一意で特定されている ・強固なパスワードに必要な十分な桁数を備えた第三者に容易に推測できないパスフレーズ等を使用する、初期パスワードの変更など主体認証情報に関する対策を行う 等 |
| 3 ログの取得・監視 | インシデント兆候の検知・分析と、証跡の確保を実施する (対策の具体例) ・ログの取得プロセスの障害監視を行う ・取得したログ情報やその分析内容に応じて、不正アクセスや異常操作への対応が取れるようプロセス設計を行う ・取得したログ情報及びログ取得機能について改変・削除から保護し、ログ取得機能の管理者権限付与を最低限の対象に限定する 等 |
| 4 情報を取り扱う機器等の物理的保護 | 適切な物理的管理策によって情報を保護する (対策の具体例) ・機器等の廃棄時又は再利用時にデータを抹消又は破壊する ・委託事業の実施場所について、鍵等の管理や入退室記録等、入退管理対策を行う 等 |
| 5 情報を取り扱う要員への周知と統制 | 適切な人的管理策によって情報を保護する (対策の具体例) ・情報セキュリティに係る業務及び責務の遂行に必要な訓練等を確実に受講させる ・委託業務に伴う情報を取り扱う従業員等の資格条件を明確化する 等 |
| 6 セキュリティ脅威に対処するための資産管理・リスク評価 | セキュリティ対策の前提となる資産の識別と、リスクの評価を実施する (対策の具体例) ・情報システムの変更に係る検知機能やログ解析機能を実装する ・定期的及び重大な脆弱性の公表時に脆弱性スキャンを実施し、適時な脆弱性対策を行う 等 |
| 7 委託先が取り扱う情報及び当該情報を取り扱うシステムの完全性の保護 | 適切な技術的管理策によって情報を保護する (対策の具体例) ・定期的な検索等によりシステムの欠陥を適時に検出し是正する ・悪意あるコードに対する保護措置を講じる ・脆弱性に係る注意喚起の監視と対処を行う ・業務に必要な通信だけを許可し、許可していない不正な通信の発生を防止する 不正利用防止のための職務分掌の徹底及び事後追跡のためのログの取得・管理・分析体制を整備する 等 |
| 8 セキュリティ対策の検証・評価・見直し | 対策の有効性の評価と、定期的な見直しを実施する (対策の具体例) ・システムの欠陥の是正及び脆弱性対策について、対策計画を策定し実施する ・システムの欠陥の是正及び脆弱性対策等のセキュリティ対策が有効に機能していることの継続的な監視と確認を行う 等 |
(※1)サイバーセキュリティ基本法に基づく、政府機関及び独立行政法人等の情報セキュリティ水準を維持・向上させるための統一的な枠組みであり、政府機関等のサイバーセキュリティ対策のための統一規範、政府機関等のサイバーセキュリティ対策のための統一基準、及び政府機関等の対策基準策定のためのガイドライン(以下「統一基準群ガイドライン」といいます。)から構成される。
(※2)機密扱いではないものの保護が要求される連邦政府の情報を連邦政府外で取り扱わせる際の情報セキュリティ要求事項についての“Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations”(連邦政府外のシステムと組織における管理された非格付情報の保護)という文書(NIST SP800-171)
(2) 委託先自体の評価
また、委託先に要求する具体的なセキュリティ対策だけではなく、委託先事業者そのものの信頼性等についても評価しておくことが重要です。
外部委託先に対する評価項目については、例えば、厚生労働省から公表されている医療情報システムの安全管理に関するガイドラインの第6版では、医療情報の保存を委託する事業者を選定する際には、少なくとも以下の事項について確認することとされています(企画管理編の7.【遵守事項】⑥)。
| a | 医療情報等の安全管理にかかる基本方針・取扱規程等の整備状況 |
| b | 医療情報等の安全管理にかかる実施体制の整備状況 |
| c | 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得及び管理の状況 |
| d | 財務諸表等に基づく経営の健全性 |
| e | プライバシーマーク認定又はISMS認証の取得 |
| f | 「政府情報システムにおけるクラウドサービスの利用にかかる基本方針」の「セキュリティクラウド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無 ・政府情報システムのためのセキュリティ評価制度(ISMAP) ・JASAクラウドセキュリティ推進協議会CSゴールドマーク ・米国FedRAMP ・AICPA SOC2(日本公認会計士協会IT7号) ・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会IT2号) |
| 上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果により、上記と同等の能力の有無を確認すること ・システム監査技術者 ・Certified Information Systems Auditor ISACA認定 | |
| g | 医療情報を保存する情報機器が設置されている場所(地域、国) |
| h | 委託先事業者に対する国外法の適用可能性 |
また、経済産業省と独立行政法人情報処理推進機構(IPA)が令和5年(2023年)3月24日に公表したサイバーセキュリティ経営ガイドラインVer 3.0では、委託先の選定にあたって、コストや体制、技術力に加えて、環境リスク(自然災害やパンデミック等)、地政学リスク(テロや政治的な不安等)、及び経済リスク(経済危機や原料の価格変動等)を考慮することとされています(指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策の対策例)。
他にも、公益財団法人金融情報システムセンター(以下「FISC」といいます。)から公表されている金融機関等コンピュータシステム安全対策基準・解説書(以下「安対基準」といいます。)の第12版(2024年3月)においても、外部委託先の評価事項が網羅的に示されていますので(統20)、参考になると思われます。挙げられている評価項目のうち、外部委託先が別の外部事業者の提供する機能を使用してサービスを提供している場合における当該機能の障害時等における対策や連絡体制等の整備状況については、近時、事業者から社会保険手続等の委託を受ける社会保険労務士に対してSaaSクラウドサービスを提供していた事業者がランサムウェア攻撃を受けたことに関して、個人情報保護委員会による指導等が行われるなどしていますので(※3)、重要です。
(※3)個人情報保護委員会・令和6年3月25日付け報道発表資料(https://www.ppc.go.jp/files/pdf/240325_houdou.pdf)
2. 委託契約の内容
委託先との間で締結する委託契約には、委託先に要求するセキュリティ対策等のほか、以下のような事項を定めておくことが考えられます。
- 目的外利用の禁止
- 委託先との役割分担・責任分界
- 委託元による監督・監査・報告徴収権限
- 再委託手続
- 委託先の役職員が遵守すべきルール
- 脆弱性診断等の実施及び報告
- インシデント発生時(深刻な脆弱性が判明した場合を含む)の対応及び報告
- サイバーセキュリティに係る演習・訓練の実施(共同演習・訓練への参加を含む)
- データの所在・保管・保持・移転・廃棄に関する取決め
- 損害発生時の対応及び賠償に関する取決め
- 契約終了の条件及び契約終了時の取決め
- 外部評価等の実施(第三者保証報告書の提出、第三者認証の取得を含む)
近時のサイバー攻撃の高度化や人的ミスの発生可能性等を踏まえると、委託元としては、委託先が十分なセキュリティ対策を講じている場合であっても、情報セキュリティインシデントが発生する可能性はあると考えておくべきです。そのため、委託契約では、いかに情報セキュリティインシデントのインパクトを抑え、いちはやく平時の状態に復旧させることができるかという、有事対応の観点での手当を十分に行っておくことが重要です。
また、個人情報保護法との関係でも、委託先における対応について、委託元がきちんとコントロールできるようにしておくことが重要です。個人データの取扱いの委託を受けた委託先で報告対象事態が発生した場合、委託先は委託元に通知することで、個人情報保護委員会への報告義務や本人への通知義務を免れます(個人情報保護法26条1項ただし書き、2項かっこ書き)。しかしながら、委託先が委託元への通知を行うことがないままに自らの判断で個人情報保護委員会への報告等を行うなどし、法律上報告等の義務を負う委託元における対応が後手に回ってしまうケースが散見されるためです。
3. 委託先にセキュリティ対策を求める場合の留意点
なお、委託先に対してセキュリティ対策の実施(有償のセキュリティサービスの利用、セキュリティ認証の取得、セキュリティ体制の構築等)を求める場合、要請の方法や内容次第では独占禁止法上の優越的地位の濫用や下請法の規制対象となる可能性があり得ることには注意が必要です。
この点については、経済産業省と公正取引委員会から「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」(令和4年(2022年)10月28日)が公表されており、以下のような場合には問題が生じる可能性があるとされています。
| 取引の対価の一方的決定 | 【問題となる行為】 (独占禁止法)(※4) 取引の相手方に対し、サイバーセキュリティ対策の要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める行為 (下請法)(※5) 親事業者が下請事業者に対し、下請事業者に生じるコスト上昇分を考慮することなく、著しく低い下請代金の額を不当に定める行為(買いたたき) |
| 【問題となるおそれがある行為】 (独占禁止法) ・取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置く行為 ・取引の相手方に対し、セキュリティ対策責任者の設置、従業員へのセキュリティ教育の実施、サイバー攻撃による被害発生時における自らが定めた対処フローの遵守など、セキュリティ体制の構築を要請した結果、人件費などのコスト上昇を理由とする取引価格の引上げを求められたにもかかわらず、それに応じない理由を書面、電子メール等で取引の相手方に回答することなく、従来どおりに取引価格を据え置く行為 | |
| セキュリティ対策費の負担の要請 | 【問題となる行為】 (独占禁止法) 取引の相手方に対し、セキュリティ対策費などの名目で金銭の負担を要請し、当該セキュリティ対策費の負担額及びその算出根拠等について、 ・取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合 ・取引の相手方が得る直接 の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合 (下請法) 親事業者が下請事業者に対し、自己のために金銭、役務その他の経済上の利益を提供させることによって、取引先の利益を不当に害する行為(不当な経済上の利益の提供要請) |
| 購入・利用強制 | 【問題となる行為】 (独占禁止法) ・取引の相手方に対し、サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する行為 ・取引の相手方が、サイバーセキュリティ対策の実施の要請を受け、当該 要請と同等又はそれ以上のサイバーセキュリティ対策を講じているため、新たなセキュリティサービスを利用する必要がないにもかかわらず、自己の指定する事業者が提供するより高価なセキュリティサービスを利用することを要請し、当該事業者から利用させる行為 (下請法) 親事業者が下請事業者に対し、正当な理由がある場合を除き、自己の指定する物を強制して購入させ、又は役務を強制して利用させる行為(購入・利用強制) |
(※4)いずれも取引上の地位が相手方に優越している事業者による行為であることが前提となる。
(※5)いずれも下請法の規制対象となる取引であることが前提となる。
関連記事
- 特集記事「ランサムウェア攻撃を受けた際の実務対応」
- 特集記事「個人情報の漏えい等報告についてのFAQ」
- ニューズレター「下請代金支払遅延等防止法に関する運用基準の改正のポイント」
以上