委託先管理とIT統制
【公認会計士 椎名 潤 氏監修】
近年、企業が外部の第三者等へ業務委託を行うケースが増えています。その背景として、経済活動のグローバル化や、ツールの技術革新など経済社会が急速に複雑になるにつれ、自社単独での円滑な経営活動が難しくなっているのではないでしょうか。
企業活動を行うなかで、各専門領域ごとの課題解決が必要な場面では、その分野の専門家に依頼する等の外部リソースを利用するほうが、より効率的かつ生産性の高い事業活動につなげやすいと考えられます。
しかし、外部委託先を利用することは、上述のようなメリットがある一方で、以下のようなデメリットが生じる恐れもあります。
・不適切な委託先の選定
・委託元の技術
・ノウハウの不正盗用
・委託先における情報漏洩等の不祥事発生
本記事では、外部委託先に対する、IT統制の観点での管理手法を中心に解説します。
目次
委託先管理とは
委託元の企業が、外部委託先へ提供した個人情報等のデータや、技術・ノウハウ等の機密情報について、仮に外部委託先の不正・過失により改ざん・漏洩が発生した場合は、委託元は多大な損害を被る恐れがあります。
加えて、通常委託元は外部委託先の業務を直接管理することが難しいため、このようなトラブル発生時の責任の所在が曖昧となる恐れもあります。
よって、委託業務が円滑に遂行されるためには、自社の業務を委託するのにふさわしい企業を選定し、選定後も外部委託先を定期的に管理するプロセスの構築が不可欠と言えます。
また、外部委託先でのIT統制の観点では、外部委託先が情報セキュリティ対策を適切に遂行し、個人情報等の重要なデータを適切に管理する仕組みを構築することが重要であると考えられます。
仮に外部委託先に提供した機密情報が改ざんされる等の問題が発生した場合でも、外部委託先だけでなく、委託元についても管理責任が問われます。よって、外部委託先が行う情報セキュリティ対策は、委託元と同等の品質レベルで行われる必要があります。
このような場合、例えば情報セキュリティ対策について外部委託先が負う責任や具体的な対応策を、業務委託契約書上予め明記することが、IT統制の観点で重要と考えられます。
外部委託先管理のガイドライン
上述の通り、自社の業務を外部委託することは、メリット及びデメリットの両方が存在します。委託元企業が業務委託のメリットを最大限に享受するため、外部委託先の適切な選定及び管理を行うことが、委託元にとって非常に重要です。 外部委託先の選定及び管理を実施するにあたり、例えば以下2点のガイドラインが実務上の指針として参考になると考えられます。
・個人情報保護委員会公表「個人情報の保護に関する法律についてのガイドライン」
続いては、上記ガイドラインに基づく、適切な外部委託先の選定及び管理方法について解説します。
外部委託先の選定方法
外部委託先の選定を適切に行うために、委託元において選定基準を明確にする必要があります。選定基準については、以下のような検討項目に照らし、委託する業務の内容とマッチするかどうかを検討することで、適切な外部委託先の選定につなげやすくなります。同時に業務開始後において、対委託先との間で想定外のトラブルが発生しにくくなると考えられます。
・事業内容
・業務遂行能力
・過去の不祥事や事故発生履歴の有無
・財務状況(資本金、売上高、営業利益など)
・受注実績(類似の委託業務の実績有無)
・技術レベル(保有資格・経験年数など)
・コンプライアンス体制(情報セキュリティ対策・品質管理体制など)
・反社会的勢力でないこと
外部委託先の管理方法
上述の通り、通常委託元が外部委託先を直接管理することは困難である一方で、外部委託先において情報漏洩などの問題が発生した場合は、外部委託先のみならず、委託元に対しても管理責任が問われます。
外部委託先でのIT統制が有効に機能するためには、外部委託先において情報流出や違法行為等の問題が生じないように、委託元が外部委託先を定期的に管理することが重要です。また外部委託先を管理・評価することは、委託元が今後も業務委託を継続可能かどうかを判断する上での有効な手段になります。
外部委託先の管理においては、以下の確認に基づき定期的に管理することが重要です。
・外部委託先から定期的に入手する「作業状況報告書」には、以下の内容が記録されているか?
■バックアップの実施状況
■トラブル発生時の原因分析・改善策の検討方法
■ログの監視状況
・外部委託先の従業員に対して、情報セキュリティ対策に係る教育を行っているか?
・トラブル発生時の報告プロセスが明確になっているか?
・委託先の業務実施者は、適切な能力・スキルを保持した者のみが関与しているか?
安全管理措置
外部委託先でのIT統制が有効に機能する前提としては、外部委託先が情報セキュリティ対策などの「安全管理措置」を適切に遂行する必要があります。
これに関連して「個人情報保護法ガイドライン 3-3-4委託先の監督」の規定では、委託元自らが講ずべき安全管理措置と同等の措置を、外部委託先でも講じられるように管理することを義務付けています。 具体的には、委託元が以下の対応を通じて、外部委託先を監督することが要求されています。
・安全管理措置の内容を外部委託先に指示すること
・委託契約開始以降、定期的に外部委託先の安全管理措置の状況を把握すること
・委託先における業務の作業進捗状況を確認すること
・委託先における個人情報等の取り扱い状況を、定期的に監視すること
外部委託先選定の基準チェックシート
上述の外部委託先の選定においては、委託元で選定基準チェックシートを整備し、選定基準を明確化することが、信頼性の高い委託先の選定につながり、また選定において必要な検討事項を漏れなく考慮することが可能となります。
日本財団が公表する「委託先選定基準チェックシート」は、以下①~⑧の評価項目で構成されています。このチェックシートに基づき、委託元の事業規模や委託業務の内容等を踏まえて自社仕様にカスタマイズすることで、委託先選定作業を効率的に行うことができます。
ISMSにおける外部委託先管理
外部委託先が、ISMS(情報セキュリティマネジメントシステム) やプライバシーマーク等の公的認証を取得している場合は、第三者審査による客観的な評価が行われたことの根拠になるため、外部委託先選定時のプラスの評価ポイントになります。
その一方で、外部委託先におけるISMS等の認証の対象が、委託先内部の特定の部門または業務に限定されるケースが多いため、委託業務が実際に第三者認証の対象になっているかどうかを確認することが重要です。
しかし、外部委託先が公的認証を取得しているからといって、外部委託先の業務品質が100%保証されるわけではない点に留意が必要です。
再委託と情報漏洩対策
委託業務が孫請けに再委託されるケースでは、直接の委託先以上に管理が困難になるため、再委託先での情報漏洩リスクは相対的に高くなると言えます。その一方で、委託業務の内容によっては、再委託を認めないと、業務の遂行上不都合が生じるケースも想定されます。
この場合の対応策としては、例えば業務委託契約書上は原則として再委託は禁止とする一方で、以下のような条件を満たす場合は、例外的に再委託を認める立て付けを取るのが望ましいと考えられます。
・再委託を行う場合、事前に委託元の許可を得ること
・委託先と再委託先との間で、秘密保持契約を締結すること
・委託先が再委託先の監督責任を負うこと
・再々委託を禁止すること
但し、上記の条件を満たす場合でも、再委託による情報漏洩リスクがゼロになるわけではないので、再委託を無制限に認めることは避けることが望ましいです。また情報漏洩対策の観点で、再委託先へ提供する個人情報等の重要なデータは、必要最小限にとどめることに留意が必要です。
まとめ
本記事では、委託元企業が適切な外部委託先を選定し、定期的な管理を行うための手法について解説しました。
外部委託先でのIT統制が有効に機能するためには、業務委託契約書上で情報セキュリティ対策に関する対応方針及び責任関係を明確にし、また委託業務開始後も、委託元は外部委託先へ業務を任せきりにするのではなく、定期的に管理・監督することがポイントとなります。
そのためには、委託元及び外部委託先との間で緻密なコミュニケーションを取り、業務の進捗状況や発生した課題を常に共有することで、委託業務の円滑な遂行、及びトラブル発生時のリスクの最小化につながっていくものと考えられます。
