委託先、クラウド、SaaS、AIサービスを評価する質問票を、契約・個人情報保護・監査・経営判断へ接続するための実務ポイントを整理します。
委託先、クラウド、SaaS、AIサービスを評価する質問票を、契約・個人情報保護・監査・経営判断へ接続するための実務ポイントを整理します。
委託先監督、契約、個人情報保護、監査、経営判断を同じ証拠でつなぐ考え方を確認します。
セキュリティ質問票SIGの活用は、委託先やクラウド事業者へ質問票を送って終わる作業ではありません。委託先選定、契約交渉、個人情報保護、インシデント対応、再委託管理、監査権、損害賠償、解除、事業継続、取締役・経営陣によるリスク監督を、証拠と手順に落とし込むための実務基盤です。
SIGは、Shared Assessmentsが提供するStandardized Information Gathering Questionnaireの略称です。第三者リスク管理、すなわちTPRMにおいて、委託先、ベンダー、クラウドサービス、業務提携先などの統制状況を、標準化された質問群で把握する仕組みです。SIG EVは、従来のSIG Questionnaireをクラウド型に発展させ、第三者リスク評価の作成、配布、レビュー、追跡を支援するものと説明されています。
企業法務の中心論点は、委託先のセキュリティをどの基準で、どの程度まで、いつ、誰が、どの証拠に基づいて確認し、その結果を契約、稟議、リスク受容、監査、改善計画へどう反映したかです。SIGは、この問いに法務、セキュリティ、調達、事業部門、監査部門が共通言語で回答するための手段になります。
次の重要ポイントは、SIGを単なる確認作業として扱う場合と、企業法務の統制に組み込む場合の違いを示しています。読者にとって重要なのは、質問票の有無ではなく、回答を契約・監査・経営判断へつなげているかを読み取ることです。
SIG回答は、委託先の現状を記録し、ギャップを見つけ、契約条項や是正計画に変換し、残余リスクを承認するための材料です。
個人情報保護法制では、個人データの取扱いを委託する場合、委託先に対して必要かつ適切な監督を行うことが求められます。通則ガイドラインは、適切な委託先の選定、委託契約の締結、委託先における個人データ取扱状況の把握を示しています。サイバーセキュリティ経営ガイドラインも、ビジネスパートナーや委託先を含むサプライチェーン全体の状況把握、役割・責任範囲の明確化、監査または自己点検、第三者評価の活用を重視しています。
SIG、TPRM、委託先監督、固有リスク、残余リスクを同じ前提で読みます。
SIGを法務実務に組み込むには、質問項目そのものだけでなく、統制領域、根拠資料、リスク判断、契約反映、継続監視という流れで理解することが重要です。次の一覧は主要用語の関係を示しており、各用語がどの判断場面で使われるかを読み取ると、部門間の議論がそろいやすくなります。
ベンダーやサービスプロバイダーのリスク統制を評価するための質問群です。SIG Lite、SIG Core、SIG Detailのような階層があり、取引リスクに応じて深さを変えます。
アクセス管理、暗号化、ログ監視、脆弱性管理、インシデント対応、事業継続、再委託、プライバシー、従業員教育、クラウド管理などを確認します。
委託先、再委託先、SaaS、システム開発会社、BPO、代理店、AIサービス提供者、共同研究先などをライフサイクルで管理します。
委託先を選定し、契約で義務を定め、個人データなどの取扱状況を把握する実務です。質問票と証跡は、その監督を説明する材料になります。
データの機微性、システム接続、特権アクセス、国外移転、AI利用、事業停止時の影響など、取引の性質から生じるリスクです。
委託先の統制、契約条件、監査権、保険、暗号化、アクセス制限、代替手段を踏まえてなお残るリスクです。承認権限に従って記録します。
SIGの特徴は、質問が標準化されていることだけではありません。次の比較表は、SIGの機能と企業法務上の読み替えを対応させたものです。どの機能が選定、契約、監督、紛争予防に効くのかを確認することが重要です。
| 観点 | SIGの意味 | 企業法務上の意味 |
|---|---|---|
| 標準化 | 共通の質問体系でベンダーを評価します。 | 個別担当者の属人的判断を減らし、選定・契約・監督の説明可能性を高めます。 |
| 網羅性 | 複数のリスクドメインを扱います。 | 個人情報、機密情報、事業継続、再委託、インシデントなどを横断して確認できます。 |
| リスクベース | SIG Lite、Core、Detailなどを使い分けます。 | 低リスク取引には過剰な要求を避け、高リスク取引には深い確認を行います。 |
| 証跡化 | 回答、根拠資料、レビュー結果を残します。 | 行政対応、紛争、監査、取締役会説明に耐える記録を作ります。 |
| 契約接続 | ギャップを是正計画や条項へつなげます。 | 義務、保証、監査権、解除権、責任分界へ変換します。 |
Shared Assessmentsは、SIGが21のリスク領域を測定すると説明しています。次の一覧は、狭義のITだけでなく、契約、再委託、AI、プライバシー、事業継続まで確認対象が広がる点を示しています。自社の委託内容がどの領域に当たるかを読み取ることが、スコープ設計の出発点になります。
| 分類 | 主なリスク領域 | 法務・監査での読み取り方 |
|---|---|---|
| アクセスと技術 | アクセス管理、アプリケーション管理、エンドポイント、IT運用、ネットワーク、サーバー | 権限、ログ、脆弱性、設定、運用証跡を契約と監査で確認します。 |
| データとクラウド | 資産・情報管理、クラウド、プライバシー、情報保証 | 個人データ、営業秘密、暗号化、責任共有、DPA、サブプロセッサを確認します。 |
| ガバナンス | コンプライアンス、エンタープライズリスク、ESG、人事セキュリティ | 規程、教育、リスク受容、経営報告、従業員統制との接続を見ます。 |
| 事故と継続性 | インシデント管理、オペレーショナルレジリエンス、物理・環境、脅威管理 | 通知、調査協力、証拠保全、復旧、代替手段を契約化します。 |
| 外部連鎖 | Nth Party Management、サプライチェーン、AI | 再委託先、AI学習利用、国外処理、第三者依存の連鎖を確認します。 |
SIGは、リスクを消す魔法ではありません。回答が良好でも事故は起こり得ますし、ギャップがあっても補完統制、契約、是正計画、監査権、承認記録により、実務上許容できる場合があります。
外部基準を、質問票回答の証拠や契約上の義務へ読み替える視点を整理します。
信頼できる基準との関係を把握すると、SIG回答をどの程度信用できるか、追加資料をどこまで求めるか、契約に何を反映するかを判断しやすくなります。次の一覧は主要基準の役割を示しており、各基準が代替関係ではなく補完関係にある点を読み取ることが重要です。
GOVERN、IDENTIFY、PROTECT、DETECT、RESPOND、RECOVERで構成され、GOVERNにはCybersecurity Supply Chain Risk Managementが含まれます。SIGは委託先の現状把握を実務に落とし込みます。
供給網統治サイバーセキュリティ・サプライチェーン・リスクの識別、評価、軽減、方針、手続を扱います。SIGのスコープ設計や継続監視の裏づけになります。
C-SCRMISMS、サプライヤー関係、情報セキュリティリスク管理を扱います。認証の有無だけでなく、範囲、対象サービス、適用宣言書、是正状況を確認します。
ISMSセキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに関する統制評価です。Type II報告書は有力な証拠になり得ますが、対象期間、例外事項、補完的ユーザー主体統制を読みます。
保証報告Cloud Controls Matrix and CAIQ v4.1は、207の統制、17のセキュリティドメイン、Yes/No質問を含むと説明されています。クラウドサービスの透明性確認に有用です。
クラウド個人情報保護法上の委託先監督、業法上の委託管理、内部統制、開示、営業秘密が重なります。SCS評価制度は2026年度末頃の制度開始を目指す予定と説明されています。
国内実務次の比較表は、認証や報告書を受け取った後に確認する読みどころを整理しています。証拠の名称だけで安心せず、自社の委託業務に当てはまる範囲かを読み取ることが、過大評価を避けるうえで重要です。
| 資料・基準 | 確認できること | 追加で見る点 |
|---|---|---|
| ISO/IEC 27001認証 | ISMSの要求事項に沿った管理体制を確認できます。 | 認証範囲、対象組織、対象サービス、除外事項、是正状況を確認します。 |
| SOC 2 Type II | 一定期間における統制の運用状況を確認できます。 | 対象システム、対象期間、例外事項、補完的ユーザー主体統制を確認します。 |
| CAIQ | クラウドセキュリティとプライバシーの自己回答を確認できます。 | SOC 2、ISO/IEC 27017/27018、DPA、サブプロセッサ一覧と合わせます。 |
| ペネトレーションテスト要約 | 脆弱性検査の実施状況や修正傾向を確認できます。 | 詳細報告の開示可否、修正期限、再検査結果、機密情報の扱いを確認します。 |
| 公開セキュリティ資料 | 基本方針や標準機能を把握できます。 | 当該契約、当該サービス、当該データ処理に直結するかを確認します。 |
クラウドサービスでは、SIG、CAIQ、SOC 2、ISO認証、責任共有モデル、DPA、サブプロセッサ一覧を組み合わせて読みます。どれか一つを万能の証拠として扱うのではなく、取引の性質に合わせて不足箇所を補う設計が大切です。
誰が何を判断し、どの記録を残すかを明確にして、質問票を運用へつなげます。
SIGを有効に使うには、セキュリティ部門だけ、法務部門だけ、調達部門だけに任せない役割設計が必要です。次の比較表は、各部門の責任とSIGで確認する点を示しています。どの部門が承認し、どの部門が証拠を読むかを明確にすることが重要です。
| 役割 | 主な責任 | SIG活用上の着眼点 |
|---|---|---|
| 事業部門 | 利用目的、業務要件、委託内容の定義 | 何の業務を委託し、どの情報・システムにアクセスさせるかを明確にします。 |
| 調達部門 | ベンダー選定、価格、調達手続 | SIGを選定要件、RFP、評価基準へ組み込みます。 |
| 法務部門 | 契約、責任分界、法令、紛争予防 | 回答ギャップを契約条項、表明保証、是正計画、監査権へ反映します。 |
| 個人情報保護担当 | 個人データ、越境移転、委託先監督 | APPI、GDPR、DPA、再委託、漏えい通知を確認します。 |
| 情報セキュリティ部門 | 技術統制、脆弱性、ログ、アクセス | 回答の技術的妥当性と証拠の信頼性を評価します。 |
| 内部監査 | 統制の有効性、証跡、独立評価 | SIGプロセス自体が形骸化していないかを確認します。 |
| 経営・取締役会 | リスク許容度、重要委託先の監督 | 高リスク取引の残余リスクを承認・監督します。 |
| 外部専門家 | 高リスク契約、事故対応、監査報告、証拠分析 | 契約交渉、規制対応、インシデント、SOC報告、ログ保全を支援します。 |
次の時系列は、SIG活用を契約前の台帳整備から運用中の監視まで進める順番を示しています。各段階で成果物が変わるため、質問票の送付だけで止まらず、契約・承認・監査へつながっているかを読み取ることが重要です。
委託先名、サービス名、契約主体、利用部門、委託業務、情報種類、システム接続、再委託、国外処理、更新日、評価日を整理します。
データ感度、データ量、基幹接続、事業影響、法域、再委託、AI利用、規制業種をもとに、確認の深さを決めます。
会社全体か特定サービスか、サブプロセッサを含めるか、過去12か月の運用実績を見るか、根拠資料をどこまで求めるかを決めます。
自己申告だけで終えず、ポリシー、運用手順、教育記録、SOC 2、ISO認証、監査要約などをリスクに応じて確認します。
未対応、一部対応、予定あり、非該当の回答を、拒否条件、契約補強、運用補完、受容可能、誤回答へ分けます。
安全管理、目的外利用禁止、AI学習利用、再委託、通知期限、ログ保全、監査権、削除証明、責任制限へ反映します。
年次再評価、SOC 2・ISO更新、サブプロセッサ変更、事故情報、契約更新、是正計画、終了時削除を管理します。
次の比較表は、固有リスクを高める要素と代表例をまとめたものです。すべての委託先に同じ深さの質問票を送るのではなく、リスクが高い領域にレビュー資源を集中するために使います。
| 固有リスク要素 | 高リスクとなる例 |
|---|---|
| データ感度 | 要配慮個人情報、決済情報、認証情報、営業秘密、未公開財務情報を扱います。 |
| データ量 | 大量の顧客情報、従業員情報、会員情報を処理します。 |
| システム接続 | 本番環境、基幹システム、VPN、API、特権IDにアクセスします。 |
| 事業影響 | 停止時に売上、決済、物流、医療、金融、顧客対応が止まります。 |
| 法域 | 国外処理、国外再委託、複数法域でのデータ移転を伴います。 |
| 再委託 | 重要処理をサブプロセッサに依存します。 |
| AI利用 | 入力データが学習、推論、モデル改善に使われる可能性があります。 |
| 規制業種 | 金融、医療、通信、公共、教育、重要インフラに関係します。 |
次の比較表は、SIG回答の証拠をどこまで求めるかを段階化したものです。証拠を増やすほど確認精度は上がりますが、委託先の機密情報を受け取るリスクも高まるため、NDAや閲覧制限と合わせて判断します。
| 証拠レベル | 例 | 留意点 |
|---|---|---|
| 低 | 公開セキュリティホワイトペーパー、FAQ | 汎用的で、当該契約に直結しない場合があります。 |
| 中 | ポリシー抜粋、運用手順、教育記録、脆弱性管理概要 | 機密情報をマスキングしたうえで受領します。 |
| 高 | SOC 2 Type II、ISO/IEC 27001認証書・適用範囲、監査報告要約 | 対象範囲、対象期間、例外事項を確認します。 |
| 最高 | 個別監査、オンサイト確認、ログ・設定証跡、第三者評価 | 高リスク先に限定し、NDA、閲覧制限、保管ルールを設計します。 |
次の比較表は、回答ギャップをどのように処理するかを示しています。未対応項目を一律に否定するのではなく、拒否、契約補強、運用補完、受容、再質問へ分けることで、取引判断の説明可能性が高まります。
| ギャップ区分 | 意味 | 対応 |
|---|---|---|
| 重大な拒否条件 | 取引開始不可または即時是正が必要な状態です。 | 契約前解消、代替先検討、経営承認を行います。 |
| 契約で補強可能 | 回答は弱いものの、義務化や監査権で管理できる状態です。 | 契約条項、SLA、是正期限、報告義務へ反映します。 |
| 運用で補完可能 | 委託元側の設定や利用制限で低減できる状態です。 | 権限制限、暗号化、データ最小化、監視を行います。 |
| 受容可能 | 影響が小さく、リスク許容度内に収まる状態です。 | 判断理由と承認者を記録します。 |
| 誤回答・非該当 | 質問理解やスコープ違いがある状態です。 | 再質問し、説明記録を残します。 |
回答ギャップを、抽象的な努力義務ではなく具体的な契約義務へ変換します。
SIGを送付してレビューしても、契約に反映しなければ法務上の実効性は弱まります。次の一覧は、回答で見つかった論点を契約上の義務へ変換する対象を示しています。どの項目を義務、期限、報告、監査、解除、責任制限へつなげるかを読み取ることが重要です。
必要最小限の権限、個人別特権ID、共有IDの制限、多要素認証、権限変更記録、退職・異動時の削除期限、アクセスログ保持を具体化します。
権限ログ漏えい等、漏えいのおそれ、秘密情報影響、サービス停止、サブプロセッサ事故、調査中の初報・続報・最終報告を分けて定めます。
通知期限事前承認または通知、再委託先リスト、変更時の異議申立て、同等義務、事故時協力、所在地、処理国、終了時削除を定めます。
再委託返還形式、削除期限、バックアップ、削除証明、法令保存時の隔離・利用禁止、終了後の確認権を定めます。
終了管理個人情報漏えい、秘密情報漏えい、故意・重過失、目的外利用、通知遅延、調査非協力、フォレンジック費用などを責任上限の例外にするか検討します。
賠償例外次の判断の流れは、SIGで見つかったギャップをどの処理へ進めるかを示しています。分岐の順番は、重大な拒否条件を先に除外し、その後に契約補強、運用補完、リスク受容を検討する流れを表します。
自己申告、認証、報告書、補足説明を照合します。
個人データ、基幹システム、事故時協力などの中核リスクを見ます。
経営承認を含めて判断します。
契約、運用、是正計画、受容記録へ進めます。
通知期限、監査権、削除証明、責任制限、次回レビューを記録します。
次の比較表は、個人情報保護法上の委託先監督に関する実務と、SIGで支援できる対応を示しています。選定、契約、把握、漏えい時対応のどこに証拠が残るかを確認することが重要です。
| APPI上の実務 | SIGでの対応 |
|---|---|
| 適切な委託先の選定 | 契約前SIG、固有リスク評価、証拠確認により、選定根拠を残します。 |
| 委託契約の締結 | SIGギャップを契約条項、是正計画、監査権、報告義務へ反映します。 |
| 取扱状況の把握 | 年次SIG、監査、SOC・ISO更新確認、サブプロセッサ監視を行います。 |
| 漏えい時対応 | 通知期限、ログ保全、調査協力、本人通知・当局報告支援を定めます。 |
データ最小化も、SIG評価の前提になります。委託業務に不要な項目を渡していないか、本番データをテスト環境で使っていないか、仮名化・匿名化・マスキング・トークナイゼーションが可能か、AI分析に不要な識別子を削除できるか、委託先が独自目的で利用しないかを確認します。
漏えい等事案では、委託元が迅速に事実を取得し、影響範囲を特定し、本人通知や当局報告に必要な情報を整理する必要があります。SIG評価時には、インシデントの定義、通知期限、24時間連絡先、初報・続報・最終報告の様式、ログ保全期間、フォレンジック協力、サブプロセッサ事故時の報告経路、再発防止策の提出期限を確認します。
新しい技術や国際処理でも、質問票を契約・監査・継続監視へ接続します。
AI、クラウド、国外処理、内部監査では、従来の委託先確認だけでは足りない論点が出ます。次の一覧は、それぞれの場面でSIGを使って確認する事項を示しています。読者は、技術名ではなく、データの使われ方、責任分界、証拠の残り方を読み取ることが重要です。
入力データが学習に使われるか、学習除外が契約上保証されるか、プロンプト・出力・添付ファイルの保存期間、人間レビュー、モデル提供者との関係を確認します。
SSO・MFA、ログ取得、暗号鍵、バックアップ、設定ミス検知、サービス停止時の代替手段について、委託先と委託元の責任を分けます。
データ保存国、処理国、サブプロセッサ所在地、移転の法的根拠、政府アクセス要求、暗号化、データ主体権利対応、DPAを確認します。
SIGが形式的な送付に終わらず、リスク分類、証拠確認、例外処理、契約反映、継続監視、リスク受容承認まで機能しているかを確認します。
次の比較表は、内部監査や監査役監査で確認するSIGプロセスの検証項目です。証拠があるかだけでなく、重要委託先が網羅され、リスクに応じて深い確認が行われているかを読み取ることが重要です。
| 監査上の検証項目 | 確認の観点 |
|---|---|
| 重要委託先の台帳 | 委託先、SaaS、クラウド、保守会社、再委託先を網羅しているかを確認します。 |
| リスク分類基準 | 高リスク先と低リスク先の区別が明文化されているかを確認します。 |
| 高リスク先の深い評価 | SIG CoreまたはDetail相当の確認と証拠検証が行われているかを確認します。 |
| 未回答・不十分回答のフォロー | 再質問、是正期限、リスク受容承認が残っているかを確認します。 |
| 契約反映 | ギャップが通知義務、監査権、削除、責任制限へ反映されているかを確認します。 |
| 年次再評価 | SOC 2・ISO更新、サブプロセッサ変更、事故情報を再確認しているかを確認します。 |
| 終了時確認 | データ返還、削除証明、APIキー・VPN権限の削除が行われているかを確認します。 |
| 経営報告 | 重大リスクや残余リスクが適切な権限者へ報告されているかを確認します。 |
財務報告に影響する委託先、例えば決済、売上計上、会計システム、給与、基幹ERP、IT全般統制に関わるクラウドでは、J-SOXや会計監査との接点も生じます。SOC 1、SOC 2、ISAE 3402、監査人への証跡提供も、SIGと合わせて整理します。
質問して終わる、Yesを信じすぎる、更新しないといった形骸化を防ぎます。
次の注意点一覧は、SIG運用で起こりやすい失敗をまとめたものです。どれも質問票の有無では見えにくく、レビュー、証拠、契約、更新、委託元側の設定まで確認して初めて防げます。
回答を受領して保存するだけでは、委託先監督にも契約管理にもつながりません。レビュー、ギャップ評価、契約反映、是正、リスク受容へ接続します。
低リスク先に詳細確認を行い、高リスク先のレビューが遅れると管理が逆転します。リスクベースで確認の深さを変えます。
Yesは実装、運用、証拠、効果を常に意味しません。頻度、範囲、例外、対象システム、特権IDの扱いを確認します。
認証範囲外、対象期間外、例外事項、補完的ユーザー主体統制を見落とすと、過大評価につながります。
契約交渉の最終段階で重大ギャップが判明すると、開始日、価格、代替先、事業計画へ影響します。RFPや稟議の段階から関与します。
クラウド移行、サブプロセッサ追加、M&A、組織変更、インシデント、認証失効を見落とすおそれがあります。
SaaSでは、委託元のID設定、権限管理、ログ確認、データ最小化、契約遵守が事故原因になる場合があります。
次の比較表は、回答するベンダー側が整える体制を示しています。回答の正確性は、契約上の表明保証、顧客信頼、監査対応、事故時責任に直結するため、現在の実装と予定を分けて説明することが重要です。
| ベンダー側の準備 | 実務上の意味 |
|---|---|
| 標準回答集を作る | 顧客ごとの回答ブレを減らし、審査時間を短縮します。 |
| 根拠資料を整理する | ポリシー、認証、監査報告、証跡を回答と対応させます。 |
| 部門横断でレビューする | 法務、セキュリティ、プロダクト、クラウド運用、プライバシー担当で確認します。 |
| 未対応項目をYesにしない | 過大な法的コミットメントや信頼低下を避けます。 |
| 予定と実装を分ける | ロードマップ上の対応と現在の統制を区別します。 |
| 契約コミットメントを管理する | 顧客ごとの義務やSLAの矛盾を避けます。 |
| 秘密区分を管理する | 提出資料の閲覧者、保存場所、転送制限、削除を管理します。 |
「全データを暗号化しています」「全てのログを監視しています」「全従業員に定期教育を実施しています」といった説明は、範囲、例外、頻度を明確にしないと、過大な約束になり得ます。SIG回答と契約条項の矛盾を避ける運用が必要です。
大企業、中堅企業、中小企業で、導入範囲と優先順位を変えて現実的に進めます。
次の比較表は、企業規模に応じたSIG実装モデルを示しています。読者にとって重要なのは、全社一律の完成形を急ぐのではなく、重要委託先、契約ひな形、年次レビュー、経営報告から段階的に整えることです。
| 企業規模 | 実装モデル | 優先事項 |
|---|---|---|
| 大企業・上場企業 | リーガルオペレーション、GRCツール、調達システム、契約管理システムとSIGを連携します。 | TPRM委員会、契約稟議添付、CISO・CLO・DPO・内部監査報告、取締役会報告、M&A・海外・AIの特別評価を整えます。 |
| 中堅企業 | 重要委託先から段階的に導入します。 | 個人データ、基幹システム、売上影響の大きい委託先を抽出し、簡易固有リスク分類、詳細確認、セキュリティ別紙、年1回レビューを進めます。 |
| 中小企業 | 最低限のリスク管理を確実に行います。 | 顧客情報・従業員情報を扱う委託先を優先し、契約条項、公開資料、ISO、SOC、CAIQ、MFA、権限管理、ログを確認します。 |
次の比較表は、導入前、契約前、運用中、終了時に確認するチェック項目をまとめたものです。各段階で何を確認し、どの証拠を残せば次の段階へ進めるかを読み取ることが重要です。
| 段階 | 主なチェック項目 |
|---|---|
| 導入前 | 第三者台帳、リスク分類基準、個人データ・営業秘密・基幹システムに関わる委託先の識別、送付者・レビュー者・承認者、証拠保管ルール、契約ひな形、リスク受容権限を確認します。 |
| 契約前 | 委託業務の範囲、取扱データの種類と量、SIGスコープ、重大未対応項目、是正期限、再委託、インシデント通知期限、監査権、データ返還・削除、責任制限を確認します。 |
| 運用中 | 年次再評価、SOC 2・ISO更新、サブプロセッサ変更、事故時連絡先、是正計画期限、高リスク先の経営報告、契約更新時の再評価を確認します。 |
| 終了時 | データ返還、削除証明、アカウント・APIキー・VPN権限削除、バックアップ・ログ内データ、再委託先の残存データ、移行支援と事業継続リスクを確認します。 |
次の記録例は、SIGレビュー後にリスクを受容する場合に残す要素を示しています。単なる承認ではなく、対象、資料、ギャップ、補完措置、残余リスク、承認者、次回レビューを一体で残すことが、後日の説明に役立ちます。
| 項目 | 記録例 |
|---|---|
| 案件名 | 〇〇SaaS導入 |
| 委託先 | 〇〇株式会社 |
| 評価日 | 20XX年X月X日 |
| 評価対象 | 顧客管理SaaS、本番環境、国内リージョン |
| 取扱情報 | 顧客氏名、メールアドレス、契約履歴。決済情報は含めません。 |
| 固有リスク | 中 |
| SIG種別 | Core相当 |
| 主な確認資料 | SOC 2 Type II報告書、ISO/IEC 27001認証書、DPA、サブプロセッサ一覧、BCP要約 |
| 主なギャップ | 脆弱性診断報告書の詳細は非開示です。ただしSOC 2報告書で脆弱性管理統制を確認しています。 |
| 補完措置 | SSO/MFAを必須化し、管理者権限を2名に限定し、四半期ごとに権限棚卸を行い、契約に24時間以内通知義務を追加します。 |
| 残余リスク | 低から中 |
| 承認者 | CISO、法務責任者、事業責任者 |
| 次回レビュー | 20XX年X月 |
次の論点一覧は、SIG活用が高度化した場面で追加検討が必要になりやすいテーマを示しています。要求水準、情報開示、調査文書、M&A、規制業種の違いを読み取り、通常の質問票運用だけで処理しないことが重要です。
発注元が過大なセキュリティ要求を一方的に課し、費用負担や納期影響を考慮しない場合、取引法務上の問題が生じる可能性があります。
SIG回答にはセキュリティ体制、ネットワーク、脆弱性管理、監査結果など機微情報が含まれるため、秘密区分、閲覧者、保存期間、返還・削除を定めます。
重大インシデント、行政報告、海外当局対応が想定される場合、調査報告書やフォレンジック報告書の取扱いを慎重に設計します。
対象会社の重要委託先、クラウド契約、SaaS、再委託、データ移転、事故履歴を短期間で評価し、買収後のTPRMへ組み込みます。
業法上の委託管理、当局ガイドライン、監督指針、事故報告、重要業務継続、システムリスク管理を追加します。
質問票の送付ではなく、残余リスクを説明できる状態まで接続することが本質です。
セキュリティ質問票SIGの活用の本質は、第三者リスクを法務、セキュリティ、調達、監査、経営の共通言語に変換し、委託先選定、契約、監督、事故対応、継続監視、取締役会報告へ接続することです。
SIGは万能の安全証明ではありません。回答が良好でも事故は起こり得ます。反対に、回答に一部ギャップがあっても、契約、補完統制、是正計画、監査権、リスク受容により、実務上許容できる場合もあります。
次の結論は、このページ全体の読み取り方をまとめたものです。質問票を保存するだけでなく、技術的事実を契約上の義務、監査可能な証跡、経営判断可能な残余リスクに翻訳できているかを確認することが重要です。
SIGは、法務部門が情報セキュリティを専門外として遠ざけるためのものではありません。セキュリティ、監査、経営と協働し、リスクを説明できる形へ整えるための実務基盤です。