皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

IPA（独立行政法人情報処理推進機構）は、近年のウイルス感染や不正アクセスなどによる大量の個人情報漏えいなどを受け、『ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査』を実施しました。

それによると、情報セキュリティについて何をどのように依頼すればよいのかわからない委託元企業が多いことなどが明らかになりました。

セキュリティを重視しないIT業務委託

まず、調査結果のポイントとして以下の2つが挙げられています。

１．情報通信業以外の委託元は過半数が、実施すべき情報セキュリティ対策を仕様書等で委託先に明示していない。特に、製造業では71.1%、卸売・小売業で74.2%が明記しておらず、顕著。

２．委託契約における情報セキュリティ上の責任範囲（責任分界点）がわからないと回答する割合が、委託元、委託先とも最多。

そして、締めくくりでは以下のようにまとめられています。

(1)委託元の情報セキュリティに関する取組みの強化
■　調査を通じて、委託先では情報セキュリティの取組みがある程度浸透している一方で、委託元では取組みが進んでいるのは情報通信業や金融業、保険業等の特定の業種に限定されている傾向がみられた。
■　ITサプライチェーンリスクマネジメントは、委託元と委託先、再委託等のITサプライチェーンの関係者が各々業務を実施する上で適切な情報セキュリティを確保することでより効果的に実現される。本来あるべき姿として、委託元が情報セキュリティの確保を主導できるよう取組みの強化を図っていくことが必要と考えられる。

(2)情報セキュリティの取組みに関する共通的な指標の必要性
■　調査を通じて、委託先は委託元から要求される情報セキュリティ対策の実施状況に関して、詳細なチェックリストや実地調査等に個別に対応している。また、委託元はそれらの結果の確認や評価に大きな労力を費やしている現状が
見えた。
■　こうした委託元、委託先の対応を効率化するため、委託先における対策の実施と委託元による対策の確認の両面で利用できる、 ITサプライチェーンの情報セキュリティ対策に関する共通的な指標の確立が有効と考えられる。
■　委託先で最低限実施すべき情報セキュリティ対策が共通的に認識されることで、委託元では委託先の情報セキュリティ対策について確認すべき項目や評価方法が明確になるとともに、委託先でも共通的な指標に沿った対策の実施
状況を提示することで、委託元ごとに個別の情報提示を行う手間が効率化されることが期待される。

(3)委託元と委託先の責任範囲明確化の必要性
■　調査を通じて、委託元と委託先の情報セキュリティ上の責任範囲が不明という点が課題として認識されている。
■　委託元・委託先がリスクを正しく把握した上で必要な情報セキュリティ対策が実施されることを前提に、両者の責任範囲と負担について合意し、損害等の負担についても契約上で明記することが望ましい。

経済産業省が公開した『サイバーセキュリティ経営ガイドラインVer2.0』において、経営者が認識すべき3原則の1つに『自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要』がありますが、まだまだ継続的な課題と言えそうです。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

事業者が他者に業務委託をすることはよくあることですが、その際締結される業務委託契約には大きく分けて『請負』と『委任』の2つが存在します。

請負とは

まず、『請負』に関してはこのようになります。

民法632条（請負）

請負は、当事者の一方がある仕事を完成することを約し、相手方がその仕事の結果に対してその報酬を支払うことを約することによって、その効力を生ずる。

つまり、目的は仕事の完成であり、報酬は、仕事が完成し、委託者が予期した結果が生じることによって請求できることになります。

委任とは

一方、『委任』場合はとなると、

民法643条（委任）

委任は、当事者の一方が法律行為をすることを相手方に委託し、相手方がこれを承諾することによって、その効力を生ずる。

これは法律家との委任契約に対しての解釈になりますが、

民法656条（準委任）

この節の規定は、法律行為でない事務の委託について準用する。

つまり、法律行為以外の事務の委託（準委任）であっても『委任』として解釈されることになります。

また、この場合の目的は事務の処理であり、報酬は、委託者が予期した結果が生じるか否かは問わず請求できます。

※　ただし、2017年に施行される民法改正からは、結果が生じた場合に報酬を支払う条項が設けられていればそれに準ずることも可能です。

請負と委任のその他の違い

その他、『請負』と『委任』とでは責任の重さが違います。

『請負』の場合、瑕疵担保責任として瑕疵の補修や契約解除、損害賠償まで生じることはありますが、『委任』の場合においては、善管注意義務にとどまります。

また、『請負契約書』は課税文書であるため収入印紙が必要ですが、『委任契約書』は不課税文書であるため収入印紙は不要です。

上記の違いで注意したいのは、システム開発やホームページ制作などは『請負』ですが、コンサルティング業務に関してはどちらかを条項に定めていないことがあります。

その際、ユーザーとの間に解釈の疑義が生じてトラブルに発展するケースもありますので、予め『委任』であることを条項に入れておいた方が良いものもあります。