2σ Guide

セキュリティ質問票SIGの活用
企業法務と監査をつなぐ実務

委託先、クラウド、SaaS、AIサービスを評価する質問票を、契約・個人情報保護・監査・経営判断へ接続するための実務ポイントを整理します。

21 SIGが扱うリスク領域
207 CAIQ v4.1の統制数
7 導入から監視までの段階
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

セキュリティ質問票SIGの活用 企業法務と監査をつなぐ実務

委託先、クラウド、SaaS、AIサービスを評価する質問票を、契約・個人情報保護・監査・経営判断へ接続するための実務ポイントを整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
セキュリティ質問票SIGの活用 企業法務と監査をつなぐ実務
委託先、クラウド、SaaS、AIサービスを評価する質問票を、契約・個人情報保護・監査・経営判断へ接続するための実務ポイントを整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • セキュリティ質問票SIGの活用 企業法務と監査をつなぐ実務
  • 委託先、クラウド、SaaS、AIサービスを評価する質問票を、契約・個人情報保護・監査・経営判断へ接続するための実務ポイントを整理します。

POINT 1

  • セキュリティ質問票SIGの活用で第三者リスクを見える化します
  • 委託先監督、契約、個人情報保護、監査、経営判断を同じ証拠でつなぐ考え方を確認します。
  • 質問票から統制装置へ
  • セキュリティ質問票SIGの活用は、委託先やクラウド事業者へ質問票を送って終わる作業ではありません。
  • SIGは、この問いに法務、セキュリティ、調達、事業部門、監査部門が共通言語で回答するための手段になります。

POINT 2

  • セキュリティ質問票SIGの活用に必要な基本用語
  • SIG、TPRM、委託先監督、固有リスク、残余リスクを同じ前提で読みます。
  • 標準化された情報収集質問票
  • 統制状況を確認する入口
  • 第三者リスク管理

POINT 3

  • セキュリティ質問票SIGの活用とNIST・ISO・SOC 2・CAIQ
  • 外部基準を、質問票回答の証拠や契約上の義務へ読み替える視点を整理します。
  • SIGは委託先の現状把握を実務に落とし込みます。
  • サイバーセキュリティ・サプライチェーン・リスクの識別、評価、軽減、方針、手続を扱います。
  • SIGのスコープ設計や継続監視の裏づけになります。

POINT 4

  • セキュリティ質問票SIGの活用を部門横断で進める手順
  • 1. 第三者台帳を作る
  • 2. 固有リスクを分類する:データ感度、データ量、基幹接続、事業影響、法域、再委託、AI利用、規制業種をもとに、確認の深さを決めます。
  • 3. SIGのスコープを決める
  • 4. 回答と証拠を取得する:自己申告だけで終えず、ポリシー、運用手順、教育記録、SOC 2、ISO認証、監査要約などをリスクに応じて確認します。
  • 5. ギャップを分類する:未対応、一部対応、予定あり、非該当の回答を、拒否条件、契約補強、運用補完、受容可能、誤回答へ分けます。
  • 6. 契約に反映する:安全管理、目的外利用禁止、AI学習利用、再委託、通知期限、ログ保全、監査権、削除証明、責任制限へ反映します。
  • 7. 継続監視する:年次再評価、SOC 2・ISO更新、サブプロセッサ変更、事故情報、契約更新、是正計画、終了時削除を管理します。

POINT 5

  • セキュリティ質問票SIGの活用を契約条項へ反映する
  • 1. SIG回答と証拠を確認:自己申告、認証、報告書、補足説明を照合します。
  • 2. 重大な拒否条件に当たるか:個人データ、基幹システム、事故時協力などの中核リスクを見ます。
  • 3. 契約前解消または代替先検討:経営承認を含めて判断します。
  • 4. 補強方法を選ぶ:契約、運用、是正計画、受容記録へ進めます。
  • 5. 契約条項と監視項目へ反映:通知期限、監査権、削除証明、責任制限、次回レビューを記録します。

POINT 6

  • セキュリティ質問票SIGの活用をAI・クラウド・越境移転・監査に広げる
  • 新しい技術や国際処理でも、質問票を契約・監査・継続監視へ接続します。
  • 入力データとモデル利用
  • 責任共有モデル
  • 国外処理・国外委託

POINT 7

  • セキュリティ質問票SIGの活用で避けたい失敗とベンダー側対応
  • 質問して終わる
  • 回答を受領して保存するだけでは、委託先監督にも契約管理にもつながりません。
  • 全ベンダーに同じ深さで送る
  • 低リスク先に詳細確認を行い、高リスク先のレビューが遅れると管理が逆転します。

POINT 8

  • セキュリティ質問票SIGの活用を企業規模別に実装する
  • 優越的地位・下請関係
  • 営業秘密と質問票

まとめ

  • セキュリティ質問票SIGの活用 企業法務と監査をつなぐ実務
  • セキュリティ質問票SIGの活用で第三者リスクを見える化します:委託先監督、契約、個人情報保護、監査、経営判断を同じ証拠でつなぐ考え方を確認します。
  • セキュリティ質問票SIGの活用に必要な基本用語:SIG、TPRM、委託先監督、固有リスク、残余リスクを同じ前提で読みます。
  • セキュリティ質問票SIGの活用とNIST・ISO・SOC 2・CAIQ:外部基準を、質問票回答の証拠や契約上の義務へ読み替える視点を整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

セキュリティ質問票SIGの活用で第三者リスクを見える化します

委託先監督、契約、個人情報保護、監査、経営判断を同じ証拠でつなぐ考え方を確認します。

セキュリティ質問票SIGの活用は、委託先やクラウド事業者へ質問票を送って終わる作業ではありません。委託先選定、契約交渉、個人情報保護、インシデント対応、再委託管理、監査権、損害賠償、解除、事業継続、取締役・経営陣によるリスク監督を、証拠と手順に落とし込むための実務基盤です。

SIGは、Shared Assessmentsが提供するStandardized Information Gathering Questionnaireの略称です。第三者リスク管理、すなわちTPRMにおいて、委託先、ベンダー、クラウドサービス、業務提携先などの統制状況を、標準化された質問群で把握する仕組みです。SIG EVは、従来のSIG Questionnaireをクラウド型に発展させ、第三者リスク評価の作成、配布、レビュー、追跡を支援するものと説明されています。

企業法務の中心論点は、委託先のセキュリティをどの基準で、どの程度まで、いつ、誰が、どの証拠に基づいて確認し、その結果を契約、稟議、リスク受容、監査、改善計画へどう反映したかです。SIGは、この問いに法務、セキュリティ、調達、事業部門、監査部門が共通言語で回答するための手段になります。

前提この記事は一般的な情報提供です。個別案件の法律意見、監査意見、セキュリティ保証、特定製品の推奨ではありません。具体的な判断は、事実関係と契約内容を整理したうえで専門家へ相談する必要があります。

次の重要ポイントは、SIGを単なる確認作業として扱う場合と、企業法務の統制に組み込む場合の違いを示しています。読者にとって重要なのは、質問票の有無ではなく、回答を契約・監査・経営判断へつなげているかを読み取ることです。

質問票から統制装置へ

SIG回答は、委託先の現状を記録し、ギャップを見つけ、契約条項や是正計画に変換し、残余リスクを承認するための材料です。

個人情報保護法制では、個人データの取扱いを委託する場合、委託先に対して必要かつ適切な監督を行うことが求められます。通則ガイドラインは、適切な委託先の選定、委託契約の締結、委託先における個人データ取扱状況の把握を示しています。サイバーセキュリティ経営ガイドラインも、ビジネスパートナーや委託先を含むサプライチェーン全体の状況把握、役割・責任範囲の明確化、監査または自己点検、第三者評価の活用を重視しています。

Section 01

セキュリティ質問票SIGの活用に必要な基本用語

SIG、TPRM、委託先監督、固有リスク、残余リスクを同じ前提で読みます。

SIGを法務実務に組み込むには、質問項目そのものだけでなく、統制領域、根拠資料、リスク判断、契約反映、継続監視という流れで理解することが重要です。次の一覧は主要用語の関係を示しており、各用語がどの判断場面で使われるかを読み取ると、部門間の議論がそろいやすくなります。

SIG

標準化された情報収集質問票

ベンダーやサービスプロバイダーのリスク統制を評価するための質問群です。SIG Lite、SIG Core、SIG Detailのような階層があり、取引リスクに応じて深さを変えます。

質問票

統制状況を確認する入口

アクセス管理、暗号化、ログ監視、脆弱性管理、インシデント対応、事業継続、再委託、プライバシー、従業員教育、クラウド管理などを確認します。

TPRM

第三者リスク管理

委託先、再委託先、SaaS、システム開発会社、BPO、代理店、AIサービス提供者、共同研究先などをライフサイクルで管理します。

監督

委託先監督

委託先を選定し、契約で義務を定め、個人データなどの取扱状況を把握する実務です。質問票と証跡は、その監督を説明する材料になります。

固有リスク

統制前のリスク

データの機微性、システム接続、特権アクセス、国外移転、AI利用、事業停止時の影響など、取引の性質から生じるリスクです。

残余リスク

対策後に残るリスク

委託先の統制、契約条件、監査権、保険、暗号化、アクセス制限、代替手段を踏まえてなお残るリスクです。承認権限に従って記録します。

SIGの特徴は、質問が標準化されていることだけではありません。次の比較表は、SIGの機能と企業法務上の読み替えを対応させたものです。どの機能が選定、契約、監督、紛争予防に効くのかを確認することが重要です。

観点SIGの意味企業法務上の意味
標準化共通の質問体系でベンダーを評価します。個別担当者の属人的判断を減らし、選定・契約・監督の説明可能性を高めます。
網羅性複数のリスクドメインを扱います。個人情報、機密情報、事業継続、再委託、インシデントなどを横断して確認できます。
リスクベースSIG Lite、Core、Detailなどを使い分けます。低リスク取引には過剰な要求を避け、高リスク取引には深い確認を行います。
証跡化回答、根拠資料、レビュー結果を残します。行政対応、紛争、監査、取締役会説明に耐える記録を作ります。
契約接続ギャップを是正計画や条項へつなげます。義務、保証、監査権、解除権、責任分界へ変換します。

Shared Assessmentsは、SIGが21のリスク領域を測定すると説明しています。次の一覧は、狭義のITだけでなく、契約、再委託、AI、プライバシー、事業継続まで確認対象が広がる点を示しています。自社の委託内容がどの領域に当たるかを読み取ることが、スコープ設計の出発点になります。

分類主なリスク領域法務・監査での読み取り方
アクセスと技術アクセス管理、アプリケーション管理、エンドポイント、IT運用、ネットワーク、サーバー権限、ログ、脆弱性、設定、運用証跡を契約と監査で確認します。
データとクラウド資産・情報管理、クラウド、プライバシー、情報保証個人データ、営業秘密、暗号化、責任共有、DPA、サブプロセッサを確認します。
ガバナンスコンプライアンス、エンタープライズリスク、ESG、人事セキュリティ規程、教育、リスク受容、経営報告、従業員統制との接続を見ます。
事故と継続性インシデント管理、オペレーショナルレジリエンス、物理・環境、脅威管理通知、調査協力、証拠保全、復旧、代替手段を契約化します。
外部連鎖Nth Party Management、サプライチェーン、AI再委託先、AI学習利用、国外処理、第三者依存の連鎖を確認します。

SIGは、リスクを消す魔法ではありません。回答が良好でも事故は起こり得ますし、ギャップがあっても補完統制、契約、是正計画、監査権、承認記録により、実務上許容できる場合があります。

Section 02

セキュリティ質問票SIGの活用とNIST・ISO・SOC 2・CAIQ

外部基準を、質問票回答の証拠や契約上の義務へ読み替える視点を整理します。

信頼できる基準との関係を把握すると、SIG回答をどの程度信用できるか、追加資料をどこまで求めるか、契約に何を反映するかを判断しやすくなります。次の一覧は主要基準の役割を示しており、各基準が代替関係ではなく補完関係にある点を読み取ることが重要です。

01

NIST CSF 2.0

GOVERN、IDENTIFY、PROTECT、DETECT、RESPOND、RECOVERで構成され、GOVERNにはCybersecurity Supply Chain Risk Managementが含まれます。SIGは委託先の現状把握を実務に落とし込みます。

供給網統治
02

NIST SP 800-161 Rev.1とSP 1305

サイバーセキュリティ・サプライチェーン・リスクの識別、評価、軽減、方針、手続を扱います。SIGのスコープ設計や継続監視の裏づけになります。

C-SCRM
03

ISO/IEC 27001・27036・27005

ISMS、サプライヤー関係、情報セキュリティリスク管理を扱います。認証の有無だけでなく、範囲、対象サービス、適用宣言書、是正状況を確認します。

ISMS
04

SOC 2

セキュリティ、可用性、処理のインテグリティ、機密保持、プライバシーに関する統制評価です。Type II報告書は有力な証拠になり得ますが、対象期間、例外事項、補完的ユーザー主体統制を読みます。

保証報告
05

CSA CAIQ

Cloud Controls Matrix and CAIQ v4.1は、207の統制、17のセキュリティドメイン、Yes/No質問を含むと説明されています。クラウドサービスの透明性確認に有用です。

クラウド
06

日本法・政策動向

個人情報保護法上の委託先監督、業法上の委託管理、内部統制、開示、営業秘密が重なります。SCS評価制度は2026年度末頃の制度開始を目指す予定と説明されています。

国内実務

次の比較表は、認証や報告書を受け取った後に確認する読みどころを整理しています。証拠の名称だけで安心せず、自社の委託業務に当てはまる範囲かを読み取ることが、過大評価を避けるうえで重要です。

資料・基準確認できること追加で見る点
ISO/IEC 27001認証ISMSの要求事項に沿った管理体制を確認できます。認証範囲、対象組織、対象サービス、除外事項、是正状況を確認します。
SOC 2 Type II一定期間における統制の運用状況を確認できます。対象システム、対象期間、例外事項、補完的ユーザー主体統制を確認します。
CAIQクラウドセキュリティとプライバシーの自己回答を確認できます。SOC 2、ISO/IEC 27017/27018、DPA、サブプロセッサ一覧と合わせます。
ペネトレーションテスト要約脆弱性検査の実施状況や修正傾向を確認できます。詳細報告の開示可否、修正期限、再検査結果、機密情報の扱いを確認します。
公開セキュリティ資料基本方針や標準機能を把握できます。当該契約、当該サービス、当該データ処理に直結するかを確認します。

クラウドサービスでは、SIG、CAIQ、SOC 2、ISO認証、責任共有モデル、DPA、サブプロセッサ一覧を組み合わせて読みます。どれか一つを万能の証拠として扱うのではなく、取引の性質に合わせて不足箇所を補う設計が大切です。

Section 03

セキュリティ質問票SIGの活用を部門横断で進める手順

誰が何を判断し、どの記録を残すかを明確にして、質問票を運用へつなげます。

SIGを有効に使うには、セキュリティ部門だけ、法務部門だけ、調達部門だけに任せない役割設計が必要です。次の比較表は、各部門の責任とSIGで確認する点を示しています。どの部門が承認し、どの部門が証拠を読むかを明確にすることが重要です。

役割主な責任SIG活用上の着眼点
事業部門利用目的、業務要件、委託内容の定義何の業務を委託し、どの情報・システムにアクセスさせるかを明確にします。
調達部門ベンダー選定、価格、調達手続SIGを選定要件、RFP、評価基準へ組み込みます。
法務部門契約、責任分界、法令、紛争予防回答ギャップを契約条項、表明保証、是正計画、監査権へ反映します。
個人情報保護担当個人データ、越境移転、委託先監督APPI、GDPR、DPA、再委託、漏えい通知を確認します。
情報セキュリティ部門技術統制、脆弱性、ログ、アクセス回答の技術的妥当性と証拠の信頼性を評価します。
内部監査統制の有効性、証跡、独立評価SIGプロセス自体が形骸化していないかを確認します。
経営・取締役会リスク許容度、重要委託先の監督高リスク取引の残余リスクを承認・監督します。
外部専門家高リスク契約、事故対応、監査報告、証拠分析契約交渉、規制対応、インシデント、SOC報告、ログ保全を支援します。

次の時系列は、SIG活用を契約前の台帳整備から運用中の監視まで進める順番を示しています。各段階で成果物が変わるため、質問票の送付だけで止まらず、契約・承認・監査へつながっているかを読み取ることが重要です。

第1段階

第三者台帳を作る

委託先名、サービス名、契約主体、利用部門、委託業務、情報種類、システム接続、再委託、国外処理、更新日、評価日を整理します。

第2段階

固有リスクを分類する

データ感度、データ量、基幹接続、事業影響、法域、再委託、AI利用、規制業種をもとに、確認の深さを決めます。

第3段階

SIGのスコープを決める

会社全体か特定サービスか、サブプロセッサを含めるか、過去12か月の運用実績を見るか、根拠資料をどこまで求めるかを決めます。

第4段階

回答と証拠を取得する

自己申告だけで終えず、ポリシー、運用手順、教育記録、SOC 2、ISO認証、監査要約などをリスクに応じて確認します。

第5段階

ギャップを分類する

未対応、一部対応、予定あり、非該当の回答を、拒否条件、契約補強、運用補完、受容可能、誤回答へ分けます。

第6段階

契約に反映する

安全管理、目的外利用禁止、AI学習利用、再委託、通知期限、ログ保全、監査権、削除証明、責任制限へ反映します。

第7段階

継続監視する

年次再評価、SOC 2・ISO更新、サブプロセッサ変更、事故情報、契約更新、是正計画、終了時削除を管理します。

次の比較表は、固有リスクを高める要素と代表例をまとめたものです。すべての委託先に同じ深さの質問票を送るのではなく、リスクが高い領域にレビュー資源を集中するために使います。

固有リスク要素高リスクとなる例
データ感度要配慮個人情報、決済情報、認証情報、営業秘密、未公開財務情報を扱います。
データ量大量の顧客情報、従業員情報、会員情報を処理します。
システム接続本番環境、基幹システム、VPN、API、特権IDにアクセスします。
事業影響停止時に売上、決済、物流、医療、金融、顧客対応が止まります。
法域国外処理、国外再委託、複数法域でのデータ移転を伴います。
再委託重要処理をサブプロセッサに依存します。
AI利用入力データが学習、推論、モデル改善に使われる可能性があります。
規制業種金融、医療、通信、公共、教育、重要インフラに関係します。

次の比較表は、SIG回答の証拠をどこまで求めるかを段階化したものです。証拠を増やすほど確認精度は上がりますが、委託先の機密情報を受け取るリスクも高まるため、NDAや閲覧制限と合わせて判断します。

証拠レベル留意点
公開セキュリティホワイトペーパー、FAQ汎用的で、当該契約に直結しない場合があります。
ポリシー抜粋、運用手順、教育記録、脆弱性管理概要機密情報をマスキングしたうえで受領します。
SOC 2 Type II、ISO/IEC 27001認証書・適用範囲、監査報告要約対象範囲、対象期間、例外事項を確認します。
最高個別監査、オンサイト確認、ログ・設定証跡、第三者評価高リスク先に限定し、NDA、閲覧制限、保管ルールを設計します。

次の比較表は、回答ギャップをどのように処理するかを示しています。未対応項目を一律に否定するのではなく、拒否、契約補強、運用補完、受容、再質問へ分けることで、取引判断の説明可能性が高まります。

ギャップ区分意味対応
重大な拒否条件取引開始不可または即時是正が必要な状態です。契約前解消、代替先検討、経営承認を行います。
契約で補強可能回答は弱いものの、義務化や監査権で管理できる状態です。契約条項、SLA、是正期限、報告義務へ反映します。
運用で補完可能委託元側の設定や利用制限で低減できる状態です。権限制限、暗号化、データ最小化、監視を行います。
受容可能影響が小さく、リスク許容度内に収まる状態です。判断理由と承認者を記録します。
誤回答・非該当質問理解やスコープ違いがある状態です。再質問し、説明記録を残します。
Section 04

セキュリティ質問票SIGの活用を契約条項へ反映する

回答ギャップを、抽象的な努力義務ではなく具体的な契約義務へ変換します。

SIGを送付してレビューしても、契約に反映しなければ法務上の実効性は弱まります。次の一覧は、回答で見つかった論点を契約上の義務へ変換する対象を示しています。どの項目を義務、期限、報告、監査、解除、責任制限へつなげるかを読み取ることが重要です。

A

アクセス管理

必要最小限の権限、個人別特権ID、共有IDの制限、多要素認証、権限変更記録、退職・異動時の削除期限、アクセスログ保持を具体化します。

権限ログ
B

インシデント通知

漏えい等、漏えいのおそれ、秘密情報影響、サービス停止、サブプロセッサ事故、調査中の初報・続報・最終報告を分けて定めます。

通知期限
C

再委託・Nth Party管理

事前承認または通知、再委託先リスト、変更時の異議申立て、同等義務、事故時協力、所在地、処理国、終了時削除を定めます。

再委託
D

データ返還・削除

返還形式、削除期限、バックアップ、削除証明、法令保存時の隔離・利用禁止、終了後の確認権を定めます。

終了管理
E

責任制限

個人情報漏えい、秘密情報漏えい、故意・重過失、目的外利用、通知遅延、調査非協力、フォレンジック費用などを責任上限の例外にするか検討します。

賠償例外

次の判断の流れは、SIGで見つかったギャップをどの処理へ進めるかを示しています。分岐の順番は、重大な拒否条件を先に除外し、その後に契約補強、運用補完、リスク受容を検討する流れを表します。

回答ギャップの処理順序

SIG回答と証拠を確認

自己申告、認証、報告書、補足説明を照合します。

重大な拒否条件に当たるか

個人データ、基幹システム、事故時協力などの中核リスクを見ます。

はい
契約前解消または代替先検討

経営承認を含めて判断します。

いいえ
補強方法を選ぶ

契約、運用、是正計画、受容記録へ進めます。

契約条項と監視項目へ反映

通知期限、監査権、削除証明、責任制限、次回レビューを記録します。

個人情報保護法との接続

次の比較表は、個人情報保護法上の委託先監督に関する実務と、SIGで支援できる対応を示しています。選定、契約、把握、漏えい時対応のどこに証拠が残るかを確認することが重要です。

APPI上の実務SIGでの対応
適切な委託先の選定契約前SIG、固有リスク評価、証拠確認により、選定根拠を残します。
委託契約の締結SIGギャップを契約条項、是正計画、監査権、報告義務へ反映します。
取扱状況の把握年次SIG、監査、SOC・ISO更新確認、サブプロセッサ監視を行います。
漏えい時対応通知期限、ログ保全、調査協力、本人通知・当局報告支援を定めます。

データ最小化も、SIG評価の前提になります。委託業務に不要な項目を渡していないか、本番データをテスト環境で使っていないか、仮名化・匿名化・マスキング・トークナイゼーションが可能か、AI分析に不要な識別子を削除できるか、委託先が独自目的で利用しないかを確認します。

漏えい等事案では、委託元が迅速に事実を取得し、影響範囲を特定し、本人通知や当局報告に必要な情報を整理する必要があります。SIG評価時には、インシデントの定義、通知期限、24時間連絡先、初報・続報・最終報告の様式、ログ保全期間、フォレンジック協力、サブプロセッサ事故時の報告経路、再発防止策の提出期限を確認します。

Section 05

セキュリティ質問票SIGの活用をAI・クラウド・越境移転・監査に広げる

新しい技術や国際処理でも、質問票を契約・監査・継続監視へ接続します。

AI、クラウド、国外処理、内部監査では、従来の委託先確認だけでは足りない論点が出ます。次の一覧は、それぞれの場面でSIGを使って確認する事項を示しています。読者は、技術名ではなく、データの使われ方、責任分界、証拠の残り方を読み取ることが重要です。

AI

入力データとモデル利用

入力データが学習に使われるか、学習除外が契約上保証されるか、プロンプト・出力・添付ファイルの保存期間、人間レビュー、モデル提供者との関係を確認します。

クラウド

責任共有モデル

SSO・MFA、ログ取得、暗号鍵、バックアップ、設定ミス検知、サービス停止時の代替手段について、委託先と委託元の責任を分けます。

越境

国外処理・国外委託

データ保存国、処理国、サブプロセッサ所在地、移転の法的根拠、政府アクセス要求、暗号化、データ主体権利対応、DPAを確認します。

監査

統制の有効性確認

SIGが形式的な送付に終わらず、リスク分類、証拠確認、例外処理、契約反映、継続監視、リスク受容承認まで機能しているかを確認します。

次の比較表は、内部監査や監査役監査で確認するSIGプロセスの検証項目です。証拠があるかだけでなく、重要委託先が網羅され、リスクに応じて深い確認が行われているかを読み取ることが重要です。

監査上の検証項目確認の観点
重要委託先の台帳委託先、SaaS、クラウド、保守会社、再委託先を網羅しているかを確認します。
リスク分類基準高リスク先と低リスク先の区別が明文化されているかを確認します。
高リスク先の深い評価SIG CoreまたはDetail相当の確認と証拠検証が行われているかを確認します。
未回答・不十分回答のフォロー再質問、是正期限、リスク受容承認が残っているかを確認します。
契約反映ギャップが通知義務、監査権、削除、責任制限へ反映されているかを確認します。
年次再評価SOC 2・ISO更新、サブプロセッサ変更、事故情報を再確認しているかを確認します。
終了時確認データ返還、削除証明、APIキー・VPN権限の削除が行われているかを確認します。
経営報告重大リスクや残余リスクが適切な権限者へ報告されているかを確認します。

財務報告に影響する委託先、例えば決済、売上計上、会計システム、給与、基幹ERP、IT全般統制に関わるクラウドでは、J-SOXや会計監査との接点も生じます。SOC 1、SOC 2、ISAE 3402、監査人への証跡提供も、SIGと合わせて整理します。

Section 06

セキュリティ質問票SIGの活用で避けたい失敗とベンダー側対応

質問して終わる、Yesを信じすぎる、更新しないといった形骸化を防ぎます。

次の注意点一覧は、SIG運用で起こりやすい失敗をまとめたものです。どれも質問票の有無では見えにくく、レビュー、証拠、契約、更新、委託元側の設定まで確認して初めて防げます。

質問して終わる

回答を受領して保存するだけでは、委託先監督にも契約管理にもつながりません。レビュー、ギャップ評価、契約反映、是正、リスク受容へ接続します。

全ベンダーに同じ深さで送る

低リスク先に詳細確認を行い、高リスク先のレビューが遅れると管理が逆転します。リスクベースで確認の深さを変えます。

Yesを信用しすぎる

Yesは実装、運用、証拠、効果を常に意味しません。頻度、範囲、例外、対象システム、特権IDの扱いを確認します。

認証やSOC報告書を読み込まない

認証範囲外、対象期間外、例外事項、補完的ユーザー主体統制を見落とすと、過大評価につながります。

法務が遅れて関与する

契約交渉の最終段階で重大ギャップが判明すると、開始日、価格、代替先、事業計画へ影響します。RFPや稟議の段階から関与します。

毎年更新しない

クラウド移行、サブプロセッサ追加、M&A、組織変更、インシデント、認証失効を見落とすおそれがあります。

委託元側の責任を見落とす

SaaSでは、委託元のID設定、権限管理、ログ確認、データ最小化、契約遵守が事故原因になる場合があります。

次の比較表は、回答するベンダー側が整える体制を示しています。回答の正確性は、契約上の表明保証、顧客信頼、監査対応、事故時責任に直結するため、現在の実装と予定を分けて説明することが重要です。

ベンダー側の準備実務上の意味
標準回答集を作る顧客ごとの回答ブレを減らし、審査時間を短縮します。
根拠資料を整理するポリシー、認証、監査報告、証跡を回答と対応させます。
部門横断でレビューする法務、セキュリティ、プロダクト、クラウド運用、プライバシー担当で確認します。
未対応項目をYesにしない過大な法的コミットメントや信頼低下を避けます。
予定と実装を分けるロードマップ上の対応と現在の統制を区別します。
契約コミットメントを管理する顧客ごとの義務やSLAの矛盾を避けます。
秘密区分を管理する提出資料の閲覧者、保存場所、転送制限、削除を管理します。

「全データを暗号化しています」「全てのログを監視しています」「全従業員に定期教育を実施しています」といった説明は、範囲、例外、頻度を明確にしないと、過大な約束になり得ます。SIG回答と契約条項の矛盾を避ける運用が必要です。

Section 07

セキュリティ質問票SIGの活用を企業規模別に実装する

大企業、中堅企業、中小企業で、導入範囲と優先順位を変えて現実的に進めます。

次の比較表は、企業規模に応じたSIG実装モデルを示しています。読者にとって重要なのは、全社一律の完成形を急ぐのではなく、重要委託先、契約ひな形、年次レビュー、経営報告から段階的に整えることです。

企業規模実装モデル優先事項
大企業・上場企業リーガルオペレーション、GRCツール、調達システム、契約管理システムとSIGを連携します。TPRM委員会、契約稟議添付、CISO・CLO・DPO・内部監査報告、取締役会報告、M&A・海外・AIの特別評価を整えます。
中堅企業重要委託先から段階的に導入します。個人データ、基幹システム、売上影響の大きい委託先を抽出し、簡易固有リスク分類、詳細確認、セキュリティ別紙、年1回レビューを進めます。
中小企業最低限のリスク管理を確実に行います。顧客情報・従業員情報を扱う委託先を優先し、契約条項、公開資料、ISO、SOC、CAIQ、MFA、権限管理、ログを確認します。

次の比較表は、導入前、契約前、運用中、終了時に確認するチェック項目をまとめたものです。各段階で何を確認し、どの証拠を残せば次の段階へ進めるかを読み取ることが重要です。

段階主なチェック項目
導入前第三者台帳、リスク分類基準、個人データ・営業秘密・基幹システムに関わる委託先の識別、送付者・レビュー者・承認者、証拠保管ルール、契約ひな形、リスク受容権限を確認します。
契約前委託業務の範囲、取扱データの種類と量、SIGスコープ、重大未対応項目、是正期限、再委託、インシデント通知期限、監査権、データ返還・削除、責任制限を確認します。
運用中年次再評価、SOC 2・ISO更新、サブプロセッサ変更、事故時連絡先、是正計画期限、高リスク先の経営報告、契約更新時の再評価を確認します。
終了時データ返還、削除証明、アカウント・APIキー・VPN権限削除、バックアップ・ログ内データ、再委託先の残存データ、移行支援と事業継続リスクを確認します。

次の記録例は、SIGレビュー後にリスクを受容する場合に残す要素を示しています。単なる承認ではなく、対象、資料、ギャップ、補完措置、残余リスク、承認者、次回レビューを一体で残すことが、後日の説明に役立ちます。

項目記録例
案件名〇〇SaaS導入
委託先〇〇株式会社
評価日20XX年X月X日
評価対象顧客管理SaaS、本番環境、国内リージョン
取扱情報顧客氏名、メールアドレス、契約履歴。決済情報は含めません。
固有リスク
SIG種別Core相当
主な確認資料SOC 2 Type II報告書、ISO/IEC 27001認証書、DPA、サブプロセッサ一覧、BCP要約
主なギャップ脆弱性診断報告書の詳細は非開示です。ただしSOC 2報告書で脆弱性管理統制を確認しています。
補完措置SSO/MFAを必須化し、管理者権限を2名に限定し、四半期ごとに権限棚卸を行い、契約に24時間以内通知義務を追加します。
残余リスク低から中
承認者CISO、法務責任者、事業責任者
次回レビュー20XX年X月

次の論点一覧は、SIG活用が高度化した場面で追加検討が必要になりやすいテーマを示しています。要求水準、情報開示、調査文書、M&A、規制業種の違いを読み取り、通常の質問票運用だけで処理しないことが重要です。

優越的地位・下請関係

発注元が過大なセキュリティ要求を一方的に課し、費用負担や納期影響を考慮しない場合、取引法務上の問題が生じる可能性があります。

営業秘密と質問票

SIG回答にはセキュリティ体制、ネットワーク、脆弱性管理、監査結果など機微情報が含まれるため、秘密区分、閲覧者、保存期間、返還・削除を定めます。

弁護士関与と調査文書

重大インシデント、行政報告、海外当局対応が想定される場合、調査報告書やフォレンジック報告書の取扱いを慎重に設計します。

M&A・カーブアウト・PMI

対象会社の重要委託先、クラウド契約、SaaS、再委託、データ移転、事故履歴を短期間で評価し、買収後のTPRMへ組み込みます。

公共・金融・医療・重要インフラ

業法上の委託管理、当局ガイドライン、監督指針、事故報告、重要業務継続、システムリスク管理を追加します。

Section 08

セキュリティ質問票SIGの活用は企業法務のリスク統制装置です

質問票の送付ではなく、残余リスクを説明できる状態まで接続することが本質です。

セキュリティ質問票SIGの活用の本質は、第三者リスクを法務、セキュリティ、調達、監査、経営の共通言語に変換し、委託先選定、契約、監督、事故対応、継続監視、取締役会報告へ接続することです。

SIGは万能の安全証明ではありません。回答が良好でも事故は起こり得ます。反対に、回答に一部ギャップがあっても、契約、補完統制、是正計画、監査権、リスク受容により、実務上許容できる場合もあります。

次の結論は、このページ全体の読み取り方をまとめたものです。質問票を保存するだけでなく、技術的事実を契約上の義務、監査可能な証跡、経営判断可能な残余リスクに翻訳できているかを確認することが重要です。

契約書レビューの外側を法務が扱うための道具

SIGは、法務部門が情報セキュリティを専門外として遠ざけるためのものではありません。セキュリティ、監査、経営と協働し、リスクを説明できる形へ整えるための実務基盤です。

Reference

参考文献・公的資料・一次情報

第三者リスク管理・SIG関連

  • Shared Assessments, SIG Third Party Risk Management Standard / SIG EV Questionnaire
  • Shared Assessments, SIG Lite vs. SIG Core, Which Questionnaire Should I Use?
  • Shared Assessments, SIG 2025 User References and Regulations
  • Shared Assessments, Guide To Risk Domains
  • Office of the Comptroller of the Currency, Third-Party Relationships, Interagency Guidance on Risk Management

サイバーセキュリティ・クラウド標準

  • NIST, The NIST Cybersecurity Framework 2.0
  • NIST, SP 800-161 Rev. 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations
  • NIST, SP 1305, Quick-Start Guide for Cybersecurity Supply Chain Risk Management
  • ISO/IEC 27001:2022 Information security management systems Requirements
  • ISO/IEC 27036-1:2021 Cybersecurity Supplier relationships Overview and concepts
  • ISO/IEC 27005:2022 Guidance on managing information security risks
  • Cloud Security Alliance, Cloud Controls Matrix and CAIQ v4.1
  • Cloud Security Alliance, STAR Level 1 Security Questionnaire CAIQ v4

個人情報保護・国内政策・保証報告

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「委託先を監督してますか?」
  • 個人情報保護委員会「漏えい等の報告等」
  • 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
  • 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針案」
  • AICPA & CIMA, 2017 Trust Services Criteria With Revised Points of Focus 2022
  • AICPA & CIMA, System and Organization Controls SOC Suite of Services
  • 日本公認会計士協会「AICPA Trustサービス規準の翻訳の公表について」
  • European Commission, What is a data controller or a data processor?
  • Regulation (EU) 2016/679