ISO27001/ISMS、テレワークセキュリティ対策支援、プライバシーマーク/Pマーク取得のことなら名古屋のエスケイワードコンサルティング事業部まで

お知らせ・トピックス

Home
お知らせ・トピックス
委託先評価のポイントについて

委託先評価のポイントについて

2019年11月08日

委託先での情報漏えいの事件・事故が多い為、委託先監査の重要性が高まっています。（プライバシーマークや、ISO27001の審査で重要なポイントとして、委託先の監督と評価があります。）
また、今まで個人情報保護法の適用除外ルールの企業に対しても、再度委託先の監督強化が求められています。

さて、保護法の（法第22条）では以下の通りになっています。

個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、委託を受けた者（以下「委託先」という）において当該個人データについて安全管理措置が適切に講じられるよう、委託先に対し必要かつ適切な監督をしなければならない。具体的には、個人情報取扱事業者は、法第20条に基づき自らが講ずべき安全管理措置と同等の措置が講じられるよう、監督を行うものとする。

つまり、「データの漏えいや滅失を防ぐため、必要かつ適切な技術的・組織的な保護措置を講じなければならない。また安全にデータ管理するため、従業者や委託先へ必要・適切な監督を行わなければならない。」と定義されています。

では、具体的に委託先に対してどのように評価すればよいでしょうか？

委託先に対して情報セキュリティ評価のアンケート実施（はい／いいえ／該当せず［理由］等、情報セキュリティに関する体制と担当者を記入していただく）や、直接訪問し、委託先に対して監査を実施（自社が委託先に対して求めているセキュリティ体制がとられているか）等があります。

職場やパソコンの環境では、運用面として、以下がどういうルールがあるか？
確認事項としては以下の設問が想定されるでしょう。

機密情報あるいは個人情報を取扱う仕事の場所や保管場所
パソコンやサーバー（USB・外付けハードディスク等含む）とプライベートで使う機器の状況
機密情報あるいは個人情報の含まれるデータの保管されているファイルサーバーあるいはパソコン、ハードディスクに対してのアクセス制限
パスワードやスクリーンセーバーの設定
盗難防止の措置
パソコンの社外（あるいは作業場外）への持ち出し
書類廃棄方法とパソコン、モバイル端末などは、完全なデータ消去を行った上で、廃棄等の漏えい防止対策
データ送信時のパスワードや暗号化
無料のインターネット上のデータ転送サービスの制限やWinnyやShare等のファイル共有ソフトの利用は禁止
Webサーバー、クラウドサービス等のインターネット上への機密情報あるいは個人情報の保管について
従業員（契約スタッフ等の在宅作業者も含む）との間で秘密保持あるいは守秘義務に関する誓約書を取り付けている。
契約スタッフ等の在宅作業者、再委託先に対して情報管理に対する適切な教育あるいは指導（本アンケートの記載事項と同等の内容）を行っている。（あるいは契約スタッフ等の在宅作業者、再委託の利用はない。）
作業終了後、作業データ、納品データ、バックアップデータ等は全て速やかに削除している。書類等は、全て速やかに廃棄している。契約スタッフ等の在宅作業者、再委託先に対しても速やかに削除あるいは廃棄させるルール
従業員に対して、私的なソーシャルメディア（facebook、twitter等）に、業務について投稿の禁止などのルール
従業員に対して、「標的型攻撃メール」「ランサムウェア」等コンピューターウイルスの注意喚起と教育状況
モバイル端末に関して、機密性の高い情報を入れていない。またパスワードロックや、紛失時の場所検索サービス、紛失時のデータ消去対策をしている。
OSやアプリケーションが最新の状態アップデート確認。（移行が出来ない場合は計画、またはインターネットに接続せずオフライン使用等）
ウィルス対策ソフトの導入があるかどうか確認

委託先がプライバシーマークやISO27001（ISMS）等を取得していれば第3者認証が行われていますので評価はしやすいです。
取得されていない企業様に対しては、自社のセキュリティ対策をどこまで実施してほしいかあらかじめ伝える必要があります。
評価点が低いところは是正してもらうように監督しなければなりません。

実際のところ、委託先の評価は判断に迷うところもあるでしょう。

それらの対応策や安全管理措置等で迷われた場合は、お気軽にご相談ください。