中小企業におけるセキュリティ脅威への対策強化　～情報セキュリティ対策の進め方 『本格的に取り組もう（3/3）』～ 

独立行政法人情報処理推進機構（IPA）が発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」の「第２部実践編」では、具体的な対策方法と中小企業の経営者やシステム担当者がどう取り組むべきかを詳しく解説しています。

今回は、『本格的に取り組みをはじめよう』というテーマの３回シリーズの最終回をお届けします。この回では、「３.本格的に取り組む」 の「（４）委託時の対策」と「（５）点検と改善」に焦点を当て、進めていきます。

１．委託時の対策

（１）委託と受託の関係

ビジネスを展開する企業において、全ての業務を自社で完結させることは現実的ではありません。そのため、多くの企業は特定の業務を外部へ依頼する手段として「委託」を選択しています。

「委託」は、外注や委任、準委任、アウトソーシングなど、多様な形態を含み、他の企業や専門機関に特定の業務を行ってもらう手法です。

一方「受託」とは、他者からの依頼を受け、業務を引き受けることを指します。また、業務の成果物を確約する「請負」を意味することもあります。

どのような企業でも事業を円滑に進めるうえで、全ての業務を自社で行うことは難しいため、委託している業務があり、それを引き受ける受託企業があることでビジネスは成り立っています。また、業務を委託するときには、委託元と委託先との間で業務上必要な情報のやり取りが生じます。

製造業で、外部の工場に部品の製造を委託する場合は、詳細な設計図が、税理士に決算書の作成を委託する際には、売上伝票や出金伝票が提供され、運送会社に商品配送を委託する場合には、顧客の住所・氏名などの個人情報が授受されます。

こういったプロセスで、重要な情報や個人情報が委託先に提供されますが、もし委託先が適切なセキュリティ対策を講じていなければ、情報漏えいや改ざんなどのリスクが生じる恐れが高まります。

さらに、こうした事故が委託先で発生した場合であっても、委託元の管理責任が問われることもあります。

また、委託先がサイバー攻撃を受け、システム停止やウイルス感染が発生すると、受発注や製品出荷の停止を引き起こし、自社のビジネスに大きな影響を与える可能性があります。

近年、グローバル化やデジタル化が進んだ結果、委託や受託の関係が複雑化しています。

具体的には、部品の製造を受託した企業が、原材料を海外から調達し、部品加工をさらに他社に委託・再委託するケースや、完成部品の運送を別の配送業者に委託することなどが行われています。

このような調達や製造、販売などの一連の流れは「サプライチェーン」と呼ばれていますが、サプライチェーンの中で情報セキュリティ対策が不十分な企業があると、その企業がサイバー攻撃を受けることで、サプライチェーン内の他の企業にも影響を与える可能性があります。このため、業務を受託する側の中小企業であってもサプライチェーンを構成する一員であることを自覚し、情報セキュリティ対策に取組むことが求められています。

（２）委託や受託時の対策とその状況

近年、社内業務の一部または全てを外部に委託したり、レンタルサーバーやクラウドサービスなどの外部のITサービスを利用することが一般的になっています。

重要な企業情報を外部に託したり、処理を依頼する場合には、委託先にも情報セキュリティ対策を実施してもらう必要があります。

IPAが作成した、「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書(以降「実態調査」と略す)によると、販売先や仕入先からの情報セキュリティに関する条項・取引上の義務・要請に関して、「義務・要請はない」が63.2%と高く、「義務・要請がある」の26.1%を大きく上回っています。

これは、「自社のセキュリティが十分であれば問題ない」、あるいは「特に要求されていないので、情報セキュリティに特別な配慮は不要」といった誤った認識を招く原因となっています。

　(引用：「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書)

直接指示することが難しい外部委託先に情報セキュリティ対策を実施してもらうためには、取引契約の中であらかじめ具体的な対策を契約書や覚書などに盛り込むことが大切です。

もし、個別に契約や覚書を交わすことが難しい場合は、委託先のサービス規約や情報セキュリティに関わる対応方針を確認したうえで選定することが求められます。

実態調査によると、販売先(発注元企業)との契約時における情報セキュリティに関する要請について、「秘密保持」の割合が93.8%と最も高く、次いで、「契約終了後の情報資産の扱い（返却、消去、廃棄等）」が36.3%、「情報セキュリティに関する契約内容に違反した場合の措置」が32.4%となっています。

　(引用：「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書)

また、仕入先(委託・協力企業)との契約時における情報セキュリティの要請についても同じ傾向があります。

「秘密保持」が94.0%でトップを占めており、次いで、「契約終了後の情報資産の扱い（返却、消去、廃棄等）（34.1%）」、「情報セキュリティに関する契約内容に違反した場合の措置（30.7%）」となっています。

　(引用：「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書)

これらのデータから、委託先・受託先との間での秘密情報の扱いに対する意識は高まっているものの、具体的な情報セキュリティ対策に関して意識しているのは企業の３割程度に過ぎないことがわかります。

（３）個人情報を取り扱う業務の委託や受託

個人情報保護法では、個人データ^※の取り扱いを委託する場合は、委託先にも情報セキュリティ対策を実施してもらうように監督することが義務付けられています。

委託元は、委託先の状況を把握し、対策が確実に実施されるよう責任を持つ必要があります。

もし委託先の対策が不十分で事故が起きた場合、委託元は管理責任を問われ、委託先は委託元の信頼を失うことになります。

重要な情報や個人情報など、セキュリティ事故の影響が大きい情報を取り扱う場合は、委託元が委託先にセキュリティ対策の要望や期待をしっかりと伝え、受託側はそれをきちんと理解し、実行することが重要です。

これらを踏まえ、取り扱う情報の種類や委託する業務に適した情報セキュリティ対策を、委託先にも実施してもらいます。機密情報や個人情報を取り扱う際には、「情報セキュリティ関連規程（サンプル）」（付録5）の「9 委託管理」を参考にして、委託先と契約したり、委託先を選定してください。

さらに、情報セキュリティ対策が継続して実施されているか、新たな対策が必要になったときに対応しているかを随時確認し、委託先の情報セキュリティ対策を維持するよう責任を持って管理します。

※個人情報保護法では「個人情報」、「要配慮個人情報」、「個人情報データベース等」「個人データ」、「保有個人データ」、「個人関連情報」、「仮名加工情報」、「匿名加工情報」等の語を使い分けており、個人情報取扱事業者等に課される義務はそれぞれ異なるので、注意が必要です。

２．点検と改善

情報セキュリティの点検とは、計画した情報セキュリティ対策が適切に実行されているか、見落としがないか、その対策がセキュリティ事故の防止に役立っているかを確認することです。

点検結果を経営者に報告し、経営者が意図するセキュリティ対策が実現できているかを確認し評価をすることが重要です。経営者の評価を得ることで、場合によってはリスクの特定に戻り、対策を見直すことで取り組みの精度を高めることができます。

具体的な点検や改善の取組みについては、過去の記事「情報セキュリティの見直しと強化（監査と点検）（1/3）」に詳細が説明されているので、そちらも併せてご参照ください。

ここまで「３.本格的に取り組む」の「（４）委託時の対策」と「（５）点検と改善」についてご紹介いたしました。業務をスムーズに遂行する上で、受託と委託の関係が不可欠であること、そして、これらの関係性が生じる際には、情報セキュリティの重要性を考慮する必要があることを理解していただけたでしょうか。

情報セキュリティへの取り組みを疎かにしないよう、定期的な点検と改善を行うことが重要であり、その取り組みが企業の持続可能な発展を支える鍵となります。

今回をもって、中小企業の情報セキュリティ対策ガイドラインの「第２部実践編」の解説は終了となります。今後も定期的に点検を行い、セキュリティ対策を強化していきましょう。

３．取り組む際の参考資料

ここまでの解説で取り上げたガイドラインでは、「本格的に取り組む」方法に加え、具体的にどのように取り組むべきか、さらに進めるためにはどうしたら良いのかなど発展的な取り組み方法について紹介しています。

ぜひ、理解を深めたい、次のステップに進みたいと思った際の参考にしてください。

１．中小企業の情報セキュリティ対策ガイドライン （IPA）

２．付録5：情報セキュリティ関連規程（サンプル）（IPA）

３．「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書（IPA）