昨日、IPA(独立行政法人情報処理推進機構)が、『ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査』の報告書を公表しました。

皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
IPA(独立行政法人情報処理推進機構)は、近年のウイルス感染や不正アクセスなどによる大量の個人情報漏えいなどを受け、『ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査』を実施しました。
それによると、情報セキュリティについて何をどのように依頼すればよいのかわからない委託元企業が多いことなどが明らかになりました。
セキュリティを重視しないIT業務委託
まず、調査結果のポイントとして以下の2つが挙げられています。
1.情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない。特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著。
2.委託契約における情報セキュリティ上の責任範囲(責任分界点)がわからないと回答する割合が、委託元、委託先とも最多。
そして、締めくくりでは以下のようにまとめられています。
(1)委託元の情報セキュリティに関する取組みの強化
■ 調査を通じて、委託先では情報セキュリティの取組みがある程度浸透している一方で、委託元では取組みが進んでいるのは情報通信業や金融業、保険業等の特定の業種に限定されている傾向がみられた。
■ ITサプライチェーンリスクマネジメントは、委託元と委託先、再委託等のITサプライチェーンの関係者が各々業務を実施する上で適切な情報セキュリティを確保することでより効果的に実現される。本来あるべき姿として、委託元が情報セキュリティの確保を主導できるよう取組みの強化を図っていくことが必要と考えられる。
(2)情報セキュリティの取組みに関する共通的な指標の必要性
■ 調査を通じて、委託先は委託元から要求される情報セキュリティ対策の実施状況に関して、詳細なチェックリストや実地調査等に個別に対応している。また、委託元はそれらの結果の確認や評価に大きな労力を費やしている現状が
見えた。
■ こうした委託元、委託先の対応を効率化するため、委託先における対策の実施と委託元による対策の確認の両面で利用できる、 ITサプライチェーンの情報セキュリティ対策に関する共通的な指標の確立が有効と考えられる。
■ 委託先で最低限実施すべき情報セキュリティ対策が共通的に認識されることで、委託元では委託先の情報セキュリティ対策について確認すべき項目や評価方法が明確になるとともに、委託先でも共通的な指標に沿った対策の実施
状況を提示することで、委託元ごとに個別の情報提示を行う手間が効率化されることが期待される。
(3)委託元と委託先の責任範囲明確化の必要性
■ 調査を通じて、委託元と委託先の情報セキュリティ上の責任範囲が不明という点が課題として認識されている。
■ 委託元・委託先がリスクを正しく把握した上で必要な情報セキュリティ対策が実施されることを前提に、両者の責任範囲と負担について合意し、損害等の負担についても契約上で明記することが望ましい。
経済産業省が公開した『サイバーセキュリティ経営ガイドラインVer2.0』において、経営者が認識すべき3原則の1つに『自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要』がありますが、まだまだ継続的な課題と言えそうです。