2σ Guide

委託先のセキュリティ水準評価の実務
リスクベース評価と契約・監視の進め方

クラウド、SaaS、BPO、開発、保守、物流、AIサービスまで、外部委託先の安全管理を法務・プライバシー・内部統制・情報セキュリティの視点で統合して確認するための実務整理です。

5最初に押さえる要点
10評価ライフサイクル
25最終チェック項目
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

委託先のセキュリティ水準評価の実務 リスクベース評価と契約・監視の進め方

外部委託はリスクを手放す行為ではなく、委託元が説明できる形でリスクを共有・管理する活動です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
委託先のセキュリティ水準評価の実務 リスクベース評価と契
約・監視の進め方
外部委託はリスクを手放す行為ではなく、委託元が説明できる形でリスクを共有・管理する活動です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 委託先のセキュリティ水準評価の実務 リスクベース評価と契約・監視の進め方
  • 外部委託はリスクを手放す行為ではなく、委託元が説明できる形でリスクを共有・管理する活動です。

POINT 1

  • 委託先のセキュリティ水準評価の実務で最初に押さえる全体像
  • 外部委託はリスクを手放す行為ではなく、委託元が説明できる形でリスクを共有・管理する活動です。
  • 同じ深さで評価しません
  • 認証だけで判断しません
  • 評価結果を契約に反映します

POINT 2

  • 委託先のセキュリティ水準評価の実務で使う用語の定義
  • データリスク
  • 個人データ、要配慮個人情報、営業秘密、認証情報、決済情報、未公表重要情報を扱うかを見ます。
  • システムリスク
  • 本番環境、管理者権限、API、VPN、SSO、ソースコード、バックアップ基盤に触れるかを見ます。

POINT 3

  • 委託先のセキュリティ水準評価の実務が企業法務で重要になる理由
  • 外部委託は専門性やスピードを得る手段ですが、委託元の説明責任は残ります。
  • リスクに応じた必須対策を求めます
  • 費用を無視した一方的な据置きは避けます
  • 根拠のない過大要求は避けます

POINT 4

  • 委託先のセキュリティ水準評価の実務で評価対象に含める範囲
  • 1. 委託先が情報またはシステムに触れますか:データ、端末、クラウド、紙媒体、アカウント、APIを含めて確認します。
  • 2. 個人データ・営業秘密・認証情報を扱いますか:該当する場合はデータリスク評価へ進みます。
  • 3. 本番環境や高権限へ接続しますか:該当する場合はシステムリスク評価へ進みます。
  • 4. 停止や誤処理が顧客・法令・売上に影響しますか:該当する場合は業務継続リスク評価へ進みます。
  • 5. 評価対象に含めます:リスク階層を設定し、証拠と契約条項を確認します。
  • 6. 記録管理に留めます:台帳に残し、変更時に再確認します。

POINT 5

  • 委託先のセキュリティ水準評価の実務を動かす体制と手順
  • 1. 委託先台帳化
  • 台帳、リスク分類、証拠、契約、残余リスク承認、監視、終了処理を一つのライフサイクルにします。

POINT 6

  • 委託先のセキュリティ水準評価の実務で使う質問票と証拠の読み方
  • 質問票は委託先を困らせる書類ではなく、統制目標とギャップを明らかにするための道具です。
  • 質問票の目的は、委託業務に必要な統制目標が満たされているかを確認し、不足があれば是正または代替策を設計することです。
  • 中小委託先には、過大な認証取得要求より実効的な基本対策が合理的な場合があります。
  • 左から領域、確認事項、証拠例の順に並べており、各行が契約条項や是正計画へつながる確認単位になります。

POINT 7

  • 委託先のセキュリティ水準評価の実務を契約条項に落とし込む
  • 1. 発生日・発覚日・対象サービスを把握します:連絡者、対象システム、データ種別、件数見込み、初動対応、再委託先関与の有無を確認します。
  • 2. 影響範囲と封じ込めを更新します:攻撃継続有無、システム停止、顧客影響、法定報告要否、ログ保全状況を確認します。
  • 3. 原因調査と復旧を追います:原因、侵入経路、影響範囲、復旧見込み、再発防止策、関係者通知、規制当局対応を更新します。
  • 4. 契約・評価プロセスへ戻します:契約条項不足、監視不足、台帳不備、委託先継続可否、是正完了条件を確認します。

POINT 8

  • 委託先のセキュリティ水準評価の実務で類型別に見る確認事項
  • 国・法制度
  • データ保存国とアクセス国、外国法による政府アクセス、開示命令、監督制度を確認します。
  • 移転規制
  • 個人情報保護法上の越境移転、GDPR、SCC、DPA、移転影響評価の要否を確認します。

まとめ

  • 委託先のセキュリティ水準評価の実務 リスクベース評価と契
  • 委託先のセキュリティ水準評価の実務で最初に押さえる全体像:外部委託はリスクを手放す行為ではなく、委託元が説明できる形でリスクを共有・管理する活動です。
  • 委託先のセキュリティ水準評価の実務で使う用語の定義:同じ言葉でも、法務、情報システム、購買、監査で意味がずれるため、評価開始前に定義をそろえます。
  • 委託先のセキュリティ水準評価の実務が企業法務で重要になる理由:外部委託は専門性やスピードを得る手段ですが、委託元の説明責任は残ります。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

委託先のセキュリティ水準評価の実務で最初に押さえる全体像

外部委託はリスクを手放す行為ではなく、委託元が説明できる形でリスクを共有・管理する活動です。

企業活動は、クラウドサービス、SaaS、システム開発、保守運用、BPO、コールセンター、給与計算、物流、広告配信、データ分析、決済、AIサービスなど、多数の外部事業者に支えられています。委託先が個人情報、営業秘密、認証情報、業務システム、顧客接点、基幹業務に触れる場合、事故は外注先だけの問題では終わりません。委託元の個人情報保護法上の監督責任、契約上の債務不履行、顧客・取引先への説明責任、内部統制上の説明責任、行政対応、レピュテーション、事業継続に直結します。

この評価は、質問票を送って点数を付ける作業だけではありません。委託先が扱う情報、接続するシステム、業務の重要性、再委託、所在国、業法規制、障害時影響、代替可能性を踏まえ、委託元が受容できる水準まで安全管理措置を設計・確認・契約化・継続監視する統制活動です。

次の要点一覧は、委託先のセキュリティ水準評価の実務で最初に確認すべき五つの考え方を表します。各項目は、評価の深さ、証拠の読み方、契約への反映、継続監視、取引適正化のどこに注意するかを示しており、以降の章を読むときの軸になります。

Point 01

同じ深さで評価しません

データ感度、権限、業務重要度、可用性、規制、再委託、国・地域、代替可能性からリスク階層を設定します。

Point 02

認証だけで判断しません

ISMS、プライバシーマーク、SOC 2、ISMAP、CSA CAIQは証拠になりますが、対象範囲、時点、例外、委託業務との対応を確認します。

Point 03

評価結果を契約に反映します

秘密保持、個人データ取扱い、再委託、事故通知、監査権、ログ、削除・返却、SLA、責任制限、解除、移行支援へ落とし込みます。

Point 04

開始後も見直します

組織変更、システム変更、再委託先変更、脆弱性、M&A、障害、インシデントにより水準が変動するため、期間中と終了時にも確認します。

Point 05

合理性と取引適正化を両立します

高度な対策要求は重要ですが、費用を無視した価格据置き、過大要求、特定サービスの購入強制には取引法務上の注意が必要です。

このページの中心は、評価を一回限りの審査ではなく、入口、契約、運用、有事、出口までつなげることです。次の重要ポイントは、その結論を短く整理したものです。何を確認し、どこに記録し、誰が残余リスクを承認するかを読み取ってください。

委託先評価は「安全ですか」という確認ではなく、説明可能な委託先管理の設計です

データ、権限、業務、証拠、契約、監視、終了時処理をつなげて管理することで、平時の選定と有事の説明責任を支えます。

Section 01

委託先のセキュリティ水準評価の実務で使う用語の定義

同じ言葉でも、法務、情報システム、購買、監査で意味がずれるため、評価開始前に定義をそろえます。

委託先のセキュリティ水準評価を部門横断で進めるには、対象、評価する水準、評価活動、運用責任の意味をそろえる必要があります。次の一覧は、用語ごとに何を含めるかを整理しています。各列では、対象範囲と実務で確認すべき読み方を分けています。

用語意味実務での読み方
委託先委託元企業から業務の全部または一部を受託し、サービス、作業、処理、保守、運用、開発、保管、分析、顧客対応、配送、印刷、廃棄などを行う外部事業者です。業務委託契約、準委任契約、請負契約、SaaS利用契約、クラウド利用契約、保守契約、BPO契約、共同処理契約などを広く含めて確認します。
セキュリティ水準情報資産、システム、業務プロセスを保護する管理策の成熟度、実効性、証跡、運用状況です。機密性、完全性、可用性、プライバシー保護、追跡可能性、説明可能性、復旧可能性を含めて確認します。
評価質問票だけでなく、統制目標の設定、証拠収集、ギャップ分析、契約反映、残余リスク承認、継続監視、終了時確認までを含む活動です。どの証拠で何を確認し、問題を誰が承認するかまで記録します。
実務抽象的な依頼ではなく、誰が、いつ、何を、どの証拠で、どの基準により、どの契約条項へ結び付けるかを定めた運用です。法務、プライバシー、情報システム、購買、事業部、内部監査、経営層の役割分担を明確にします。

評価の範囲を狭く見ると、個人情報を扱う委託先だけが対象のように見えます。しかし、システム権限や事業継続に関わる委託先も重要です。次の三つの観点は、どの部門が見ても同じ判断に近づけるための分類です。

データリスク

個人データ、要配慮個人情報、営業秘密、認証情報、決済情報、未公表重要情報を扱うかを見ます。

システムリスク

本番環境、管理者権限、API、VPN、SSO、ソースコード、バックアップ基盤に触れるかを見ます。

業務継続リスク

停止時に顧客対応、売上、法令対応、安全、行政報告、取締役会報告へ影響するかを見ます。

Section 02

委託先のセキュリティ水準評価の実務が企業法務で重要になる理由

外部委託は専門性やスピードを得る手段ですが、委託元の説明責任は残ります。

外部委託は、専門性、コスト、スピード、拡張性を得るための重要な経営手段です。ただし、委託先の情報漏えい、設定ミス、ランサムウェア感染、内部不正、認証情報漏えいは、顧客から見ると委託元企業の事故として受け止められやすいです。個人データの取扱いを委託する場合、委託元は委託先に対して必要かつ適切な監督を行うことが求められます。

次の一覧は、委託先事故が企業法務上の論点に発展しやすい局面を整理しています。左から委託先の関与、発生しやすい問題、委託元が読み取るべき管理ポイントの順に並べています。

局面主な問題委託元の管理ポイント
個人データの保管・閲覧・加工漏えい等報告、本人通知、監督責任が問題になります。取扱データ、処理場所、保存期間、削除、事故通知を確認します。
高権限でのシステム接続侵入経路、権限悪用、ログ不足が問題になります。最小権限、MFA、承認、操作ログ、権限棚卸を確認します。
顧客対応・請求・決済・配送顧客接点の停止や誤対応が委託元の信用に影響します。業務手順、本人確認、SLA、障害連絡、代替手段を確認します。
開発・運用システムの脆弱性委託元サービスへの攻撃、停止、情報流出につながります。脆弱性管理、コードレビュー、OSS管理、リリース承認を確認します。
再委託先の利用情報や権限の流れが深くなり、監督が難しくなります。再委託先一覧、所在国、同等義務、変更通知、事故連絡を確認します。
国外クラウド・海外拠点処理外国法、越境移転、政府アクセス、言語・時差対応が問題になります。保存国、アクセス国、DPA、SCC、鍵管理、準拠法を確認します。
契約終了後の残存データ、バックアップ、ログ、アカウント、API接続が残ることがあります。返却、削除証明、アカウント停止、接続遮断、再委託先対応を確認します。

委託先評価は、個人情報保護だけでなくサプライチェーン・サイバーリスクの問題でもあります。経済産業省のサイバーセキュリティ経営ガイドラインやNIST CSF 2.0の関連ガイドは、委託先やサプライヤー要件を経営・ガバナンスの論点として扱っています。

一方で、委託元が強い立場で高度な対策を求める場合、取引条件の適正も問題になります。次の比較一覧は、正当なセキュリティ要求と、取引法務上の注意が必要になる要求の違いを示しています。左右の違いから、要求の根拠、費用負担、代替策、交渉機会を読み取ってください。

合理的要求

リスクに応じた必須対策を求めます

取り扱うデータや権限に応じて、MFA、ログ、事故通知、削除証明、再委託管理などを求めることは重要です。

注意が必要

費用を無視した一方的な据置きは避けます

対策費用の増加を考慮せず著しく低い対価を定めると、独占禁止法・取適法上の問題になり得ます。

注意が必要

根拠のない過大要求は避けます

委託業務と関係の薄い認証取得や高額ツール導入を一律に求める場合は、必要性を説明できるか確認します。

Section 03

委託先のセキュリティ水準評価の実務で評価対象に含める範囲

個人データの有無だけでなく、システム接続、権限、業務停止時の影響、再委託まで見ます。

評価対象を個人情報取扱いのあるBPOやコールセンターに限定すると、重要な委託先を見落とします。次の表は、評価対象になりやすい委託の区分、具体例、主なリスクを横並びで整理したものです。区分ごとに、データ、権限、可用性、物理管理のどこが問題になるかを読み取ってください。

区分主なリスク
クラウド・SaaSCRM、MA、会計、電子契約、チャット、ストレージ、IDaaSデータ保管、認証連携、API接続、国外処理、可用性です。
システム開発アプリ開発、保守、テスト、DevOps支援ソースコード流出、脆弱性混入、本番環境アクセス、OSSリスクです。
運用・保守インフラ運用、監視、ヘルプデスク、SOC特権ID、ログ、障害対応、委託先端末感染です。
BPO給与、経理、人事、顧客対応、審査個人データ、大量処理、本人確認、誤送付です。
印刷・発送・物流請求書、DM、通知、カード類、医療・金融通知宛名情報、誤配送、廃棄、物理セキュリティです。
データ分析・広告顧客分析、DMP、広告配信、AI分析プロファイリング、目的外利用、第三者提供、再識別です。
決済・金融決済代行、収納、与信、口座振替金融情報、不正取引、規制、可用性です。
専門家・コンサル法律、会計、M&A、危機管理の支援者秘密情報、インサイダー情報、訴訟資料です。
廃棄・リサイクル書類溶解、HDD破壊、端末廃棄残存データ、証明書、再委託、物理持出しです。
セキュリティ事業者診断、SOC、MDR、CSIRT支援脆弱性情報、侵害調査情報、高権限アクセスです。

個人データを渡さない場合でも、本番環境、ソースコード、営業秘密、社内ネットワーク、ID基盤、バックアップ基盤、重要な顧客向けサービスに関わる委託先は高リスクになり得ます。次の判断の流れは、個人情報の有無で止まらず、権限と業務影響まで確認する順番を示しています。上から順に確認し、分岐先で追加評価の要否を読み取ってください。

評価対象を決める判断の流れ

委託先が情報またはシステムに触れますか

データ、端末、クラウド、紙媒体、アカウント、APIを含めて確認します。

個人データ・営業秘密・認証情報を扱いますか

該当する場合はデータリスク評価へ進みます。

本番環境や高権限へ接続しますか

該当する場合はシステムリスク評価へ進みます。

停止や誤処理が顧客・法令・売上に影響しますか

該当する場合は業務継続リスク評価へ進みます。

該当あり
評価対象に含めます

リスク階層を設定し、証拠と契約条項を確認します。

該当なし
記録管理に留めます

台帳に残し、変更時に再確認します。

再委託先やサブプロセッサが存在する場合、情報と権限の流れは一段深くなります。再委託を禁止するか、事前承諾制にするか、重要再委託先の通知・異議権を置くか、同等義務を課すかを契約で整理します。国外再委託では、所在国、処理内容、アクセス権限、事故時の連絡経路、データ削除の実効性も確認します。

Section 04

委託先のセキュリティ水準評価の実務で組み合わせる基準

法令、契約、セキュリティ標準、内部統制、調達の観点を一つの評価体系にまとめます。

委託先評価では、一つの基準だけですべてを判断することは難しいです。法務上は個人情報保護法や業法、契約上は秘密保持・監査・責任制限、セキュリティ上はアクセス制御・暗号化・脆弱性管理、内部統制上は証跡・承認・定期レビュー、調達上は費用・交渉・取引適正化が問題になります。次の表は、どの参照先をどの実務場面で使うかを整理しています。

領域主な参照先実務上の使い方
個人情報保護個人情報保護委員会ガイドライン委託先選定、契約、取扱状況把握、安全管理措置、漏えい対応に使います。
経営・サプライチェーン経済産業省サイバーセキュリティ経営ガイドライン経営課題としての委託先・サプライチェーン管理に使います。
中小企業・段階評価IPA SCS評価制度、IPA中小企業向け資料委託元と委託先の要求水準をすり合わせる材料にします。
国際的枠組みNIST CSF 2.0、ISO/IEC 27036サプライチェーンリスク管理、供給者関係管理に使います。
サービスプロバイダ管理CIS Controls Control 15委託先台帳、分類、契約要件、評価、監視、終了処理に使います。
認証・保証ISMS、プライバシーマーク、SOC 2、ISMAP第三者証拠として活用し、範囲・例外・時点を確認します。
クラウド評価CSA CCM/CAIQ、ISMAP、SOC、ISO/IEC 27017SaaS・クラウド固有の管理策確認に使います。
取引適正化公正取引委員会・経済産業省の考え方、取適法セキュリティ要求と費用負担・交渉の合理性確保に使います。

CIS Controls Control 15は、サービスプロバイダ管理を独立の管理策として位置付け、棚卸、管理方針、分類、契約への要件、評価、監視、終了処理を重視します。ISO/IEC 27036は、供給者関係における情報セキュリティを扱い、ソフトウェア、クラウド、開発、運用の多層的な供給関係まで視野に入れます。

IPAのSCS評価制度は、各社独自の長大な質問票による負担を減らし、委託業務に応じた段階的な要求水準を提示する方向性を示します。2026年時点では制度詳細の検討・更新が継続しているため、利用時には最新資料を確認します。

基準を多く並べるだけでは評価は進みません。次の三つの観点は、基準を社内運用に落とし込む際の読み替え方を示しています。左から根拠、確認、契約化の順に読み、各部門が同じ基準で会話できる状態を目指します。

01

根拠を決めます

法令、ガイドライン、標準、契約、社内規程のどれに基づく要求かを明確にします。

法務監査
02

証拠を決めます

質問票、認証証明、SOC報告書、規程、図面、ログ設定、診断結果など、どの資料で確認するかを決めます。

証拠範囲確認
03

契約へ写します

事故通知、再委託、削除、監査、ログ、脆弱性対応など、運用で守るべき事項を契約や別紙に反映します。

契約継続監視
Section 05

委託先のセキュリティ水準評価の実務を動かす体制と手順

台帳、リスク分類、証拠、契約、残余リスク承認、監視、終了処理を一つのライフサイクルにします。

委託先評価は、情報システム部門だけでも、法務部門だけでも完結しません。次の表は、各部門が担う責任を整理したものです。役割ごとに、誰が情報を持ち、誰が契約・証拠・承認をつなぐかを読み取ってください。

役割主な責任
事業部門・委託元部門委託目的、業務範囲、使用データ、必要可用性、代替手段を説明します。
購買・調達部門委託先候補の選定プロセス、見積、価格交渉、取引条件管理を担います。
法務部門契約条項、責任制限、監査権、再委託、解除、損害賠償、準拠法、紛争解決を設計します。
個人情報保護・プライバシー担当個人データ該当性、利用目的、第三者提供・委託・共同利用・越境移転、漏えい対応を確認します。
情報セキュリティ部門技術的・組織的管理策、証拠、脆弱性、アクセス制御、ログ、暗号化、インシデント対応を評価します。
情報システム部門接続方式、ID管理、API、運用設計、バックアップ、移行、終了時処理を確認します。
内部監査部門委託先評価プロセスが規程どおり運用されているかを独立的に確認します。
経営層・リスク委員会高リスク委託先の残余リスク、例外承認、投資判断を行います。
外部専門家高リスク案件、海外法、重大インシデント、監査・保証、フォレンジックで支援します。

責任分担を抽象的に書くだけでは、評価の抜け漏れが残ります。次の表は、RACIの考え方に沿って、活動ごとの実行責任者、説明責任者、協議先、報告先を示しています。列の違いを見ることで、承認すべき人と相談すべき人を混同しないようにできます。

活動RACI
委託先台帳登録事業部門事業部長購買、法務情シス、監査
リスク分類情報セキュリティCISOまたはリスク責任者法務、プライバシー、事業部購買
個人データ該当性確認プライバシー担当個人情報管理責任者法務、事業部情報セキュリティ
契約条項レビュー法務法務責任者情報セキュリティ、プライバシー、購買事業部
例外承認リスク委員会担当役員法務、CISO、事業責任者内部監査
年次レビュー情報セキュリティCISO事業部、法務経営層
終了時データ削除確認事業部門事業責任者情シス、法務、プライバシー内部監査

評価の手順は、契約締結前の一回の審査ではなく、台帳化から終了処理まで続きます。次の判断の流れは、十個の工程を上から順に示しています。どの工程で証拠を集め、どの工程で契約に反映し、どの工程で承認・監視するかを読み取ってください。

委託先評価の十工程

1. 委託先台帳化

誰に何を委託しているかを把握します。

2. 委託内容・情報の流れ確認

情報、権限、接続、処理場所、再委託を可視化します。

3. 固有リスク評価

管理策を考慮する前のリスクを分類します。

4. 証拠収集

質問票、認証、監査報告書、規程、図面、テスト結果を取得します。

5. 管理策評価

必要な統制目標とのギャップを確認します。

6. 是正計画・代替策

ギャップ、補完統制、期限を決めます。

7. 契約反映

契約、DPA、セキュリティ別紙、SLAに反映します。

8. 残余リスク承認

未解消リスクを誰が受容したか記録します。

9. 契約期間中監視

年次、変更時、インシデント時に見直します。

10. 終了時処理

返却、削除、アカウント停止、接続遮断、証明書取得を確認します。

台帳は評価の出発点です。次の表は、委託先台帳に最低限入れる項目と、各項目から何を判断するかを整理しています。行ごとに、契約情報、データ、接続、証拠、有事連絡、終了時処理が一つの記録につながることを確認してください。

項目内容
委託先名法人名、サービス名、グループ会社名を記録します。
契約主体委託元側契約当事者、委託先側契約当事者を記録します。
事業部門利用部門、業務責任者を記録します。
委託業務業務内容、サービス概要を記録します。
データ種別・量個人データ、要配慮情報、営業秘密、認証情報、決済情報、件数、月間処理量を記録します。
システム接続・権限API、VPN、SSO、管理画面、ファイル転送、管理者権限、本番DBアクセスを記録します。
処理場所・再委託国内外、クラウドリージョン、再委託先名、処理内容、所在国を記録します。
契約期間開始日、満了日、自動更新、終了条件を記録します。
評価結果・証拠リスク階層、評価日、次回評価日、未解消課題、ISMS、SOC、Pマーク、ISMAP、質問票、診断結果を記録します。
連絡先・終了時処理24時間窓口、法務窓口、技術窓口、削除証明、返却方法、ログ保存、アカウント停止を記録します。

固有リスクは、委託先の管理策を考慮する前に委託内容そのものが持つリスクです。次の表は、低リスク例と高リスク例を評価軸ごとに対比しています。右側に近いほど、質問票、証拠、契約条項、承認の深さを上げる必要があります。

評価軸低リスク例高リスク例
データ感度公開情報、匿名統計要配慮個人情報、決済情報、営業秘密
データ量少数、単発数万件以上、継続処理
権限閲覧不可、限定閲覧管理者権限、本番DB、ソースコード
接続独立環境VPN、API、SSO、常時接続
業務重要度代替容易基幹業務、顧客向けサービス、法定業務
可用性要求停止を許容しやすい停止で売上・法令対応・安全に影響
再委託なし多層再委託、国外再委託
所在国国内完結複数国、法制度・監督環境が不明
規制一般業務金融、医療、公共、重要インフラ
代替可能性即時代替可能ベンダーロックイン、移行困難
事故時影響社内限定顧客通知、行政報告、報道、業務停止
変更頻度静的継続的開発、頻繁なAPI変更

リスク階層を決めると、評価の深さを揃えやすくなります。次の表は、Tier 0から記録のみまでの典型例と評価水準です。階層は機械的に固定せず、M&A情報や未公表決算情報など、データ量が少なくても重要性が高い事情では上方修正します。

階層典型例評価水準
Tier 0 ― 極めて高リスク大量の個人データ、要配慮情報、金融・医療・公共領域、特権ID、基幹システム運用、事業停止リスクが大きい委託詳細質問票、独立第三者報告、契約上の監査権、年次以上の再評価、役員承認、DR確認、インシデント訓練を行います。
Tier 1 ― 高リスク顧客データ、営業秘密、本番環境接続、重要SaaS、継続BPO詳細質問票、証拠確認、契約別紙、年次レビュー、再委託管理を行います。
Tier 2 ― 中リスク限定的な個人データ、社内業務支援、限定権限簡易質問票、基本証拠、標準セキュリティ条項、2年ごとまたは変更時レビューを行います。
Tier 3 ― 低リスク公開情報のみ、個人データなし、システム接続なし、単発業務基本契約、秘密保持、必要に応じた簡易確認を行います。
評価対象外または記録のみ情報・システム・業務への実質的アクセスなし台帳記録と契約管理に留めます。
Section 06

委託先のセキュリティ水準評価の実務で使う質問票と証拠の読み方

質問票は委託先を困らせる書類ではなく、統制目標とギャップを明らかにするための道具です。

質問票の目的は、委託業務に必要な統制目標が満たされているかを確認し、不足があれば是正または代替策を設計することです。低リスク委託先に過大な質問を送らず、はい・いいえだけでなく証拠を確認し、質問と契約条項を連動させ、開発、BPO、クラウド、印刷発送、廃棄など業務固有の質問を加えます。中小委託先には、過大な認証取得要求より実効的な基本対策が合理的な場合があります。

次の表は、Tier 0からTier 1の委託先で標準的に確認する質問領域です。左から領域、確認事項、証拠例の順に並べており、各行が契約条項や是正計画へつながる確認単位になります。

領域確認事項証拠例
ガバナンス情報セキュリティ責任者、規程、リスク評価、内部監査、経営報告規程目次、組織図、監査計画、マネジメントレビュー記録
認証・保証ISMS、プライバシーマーク、SOC 2、ISMAP、ISO/IEC 27017等登録証、適用範囲、報告書、例外事項
データ管理取扱データ、保存場所、保存期間、削除方法、バックアップ情報の流れを示す図、保存期間表、削除手順
アクセス制御最小権限、権限承認、棚卸、退職者削除、MFAアクセス管理規程、棚卸記録、MFA設定方針
認証パスワード、MFA、SSO、特権ID管理ID管理手順、特権ID台帳
暗号化保存時・通信時暗号化、鍵管理暗号化方式説明、鍵管理方針
ログ・監視アクセスログ、操作ログ、保存期間、監視体制ログ設計書、監視手順、アラート例
脆弱性管理パッチ、診断、ペネトレーションテスト、脆弱性対応期限診断サマリー、パッチ方針、CVE対応記録
開発管理セキュア開発、コードレビュー、OSS管理、CI/CD権限SDLC手順、レビュー記録、SBOMまたはOSS台帳
端末管理EDR、マルウェア対策、暗号化、USB制限端末管理方針、MDM/EDR導入状況
物理セキュリティ入退室、媒体保管、印刷物管理、廃棄入退室管理説明、廃棄証明手順
人的管理教育、秘密保持、退職時手続、懲戒教育記録、誓約書様式
再委託再委託先一覧、処理内容、所在国、同等義務サブプロセッサ一覧、契約義務の説明
インシデント対応検知、報告、封じ込め、原因調査、通知協力インシデント対応規程、連絡網、訓練記録
BCP/DRRTO、RPO、バックアップ、復旧訓練DR計画、テスト結果、バックアップ方式
クラウド設定共有責任、管理画面権限、ログ、リージョン共有責任表、クラウド設定基準
プライバシー利用目的、本人対応、漏えい時報告、越境移転個人情報管理規程、委託処理説明
監査対応委託元監査、第三者報告、是正計画監査条項案、是正管理表
終了時処理返却、削除、バックアップ削除、証明書削除証明書様式、終了手順
変更管理システム変更、再委託先変更、データ処理場所変更変更通知手順、リリース管理方針

個人情報保護法の安全管理措置と接続する場合、質問票は基本方針、取扱規程、組織的・人的・物理的・技術的安全管理措置に対応するよう設計します。アクセス制御、アクセス者識別、不正アクセス対策、ログ、暗号化、パスワード保護は技術的安全管理措置に、教育や秘密保持は人的安全管理措置に、入退室・媒体管理・廃棄は物理的安全管理措置に関係します。

認証や第三者報告書は強力な証拠ですが、それだけで委託業務の安全を保証するわけではありません。次の一覧は、主要な証拠ごとに見るべきポイントを整理しています。各項目では、対象範囲、時点、例外、委託元側の設定を読み取ってください。

IS

ISMS

適用範囲に対象サービス・部署・拠点が含まれるか、有効期限、ISO/IEC 27017等の追加証拠、重大な適用除外、可用性・ログ・事故通知・削除証明まで確認します。

範囲例外
PM

プライバシーマーク

個人情報取扱いの証拠として有用ですが、実際の委託業務、再委託、国外処理、事故通知、削除・返却、技術的管理策は別途確認します。

個人情報追加確認
SOC

SOC 2等

対象サービス、対象期間、Security以外の基準、例外事項、補完的ユーザー主体統制、サブサービス組織の扱いを確認します。

保証報告CUEC
IM

ISMAP

公共領域や高いセキュリティ要求を持つクラウド利用で重要ですが、委託元自身の設定、権限、ログ、契約、障害対応は別途確認します。

クラウド利用者設定
CA

CSA CCM/CAIQ

グローバルSaaSでは、CAIQ回答、SOC 2、ISO認証、ホワイトペーパー、セキュリティポータルを組み合わせると現実的です。

SaaS組合せ

証拠を読む際の限界も記録します。認証は対象範囲外のサービスを保証せず、報告書は過去の一定期間を対象とし、将来の安全を保証しません。監査人が確認した管理策と委託元が必要とする管理策が一致しないこともあります。委託元側の設定不備は委託先の認証では補えず、インシデント通知、責任制限、削除証明、再委託承認は契約で補う必要があります。報告書全文が提供されない場合も、ブリッジレター、要約版、セキュリティポータル、第三者閲覧、NDA下閲覧などの代替手段を検討できます。

Section 07

委託先のセキュリティ水準評価の実務を契約条項に落とし込む

評価で確認した要件を契約、DPA、セキュリティ別紙、SLAに写して初めて統制として機能します。

評価で「概ね問題なし」と判断しても、その結果が契約に反映されなければ、事故時の通知、調査協力、削除、再委託停止、ログ提供、損害分担を求める根拠が弱くなります。次の表は、セキュリティ別紙やDPAに含めるべき条項、目的、実務上の注意を整理しています。各行を契約レビュー時の確認項目として読み取ってください。

条項目的実務上の注意
データ・業務範囲処理対象と目的を限定します。目的外利用、学習利用、広告利用を明確に制限します。
法令遵守個人情報保護法、業法、輸出管理、労働法等の遵守を求めます。抽象条項だけにせず、具体的義務を別紙化します。
秘密保持委託元情報の不正開示を防ぎます。退職者、再委託先、グループ会社への情報の流れを含めます。
安全管理措置最低限の技術的・組織的措置を義務化します。アクセス制御、暗号化、ログ、脆弱性管理等を明記します。
アクセス権限最小権限・承認・棚卸を求めます。高権限アクセスは個別承認・ログ取得を求めます。
再委託再委託先の管理を可能にします。事前承諾、通知・異議、同等義務、一覧開示を検討します。
処理場所国内外の保管・処理場所を把握します。国外処理、クラウドリージョン変更、外的環境把握に注意します。
事故通知漏えい・侵害・障害を早期に把握します。24時間、48時間等の期限、速報・続報、連絡窓口を定めます。
調査協力原因究明、証拠保全、行政報告、本人通知を支援します。ログ提供、フォレンジック協力、再発防止策を含めます。
監査・情報提供委託元が取扱状況を把握します。現地監査、書面監査、第三者報告書、頻度、費用を調整します。
脆弱性対応セキュリティ欠陥の修正を求めます。重大度別SLA、通知義務、緊急修正を定めます。
バックアップ・DR障害時の復旧を確保します。RTO、RPO、復旧訓練、データ復元手順を明確にします。
削除・返却契約終了時の残存データを防ぎます。バックアップ、再委託先、媒体廃棄、証明書を含めます。
変更通知セキュリティ水準低下を把握します。再委託、処理場所、主要機能、認証失効、重大脆弱性を対象にします。
保険サイバー保険等により損害填補の一部を確認します。保険は安全管理措置の代替にはなりません。
責任制限損害分担を設計します。情報漏えい、故意重過失、秘密保持違反等の例外を検討します。
解除・停止高リスク時の契約終了・利用停止を可能にします。重大違反、事故、是正不履行、監査拒否を対象にします。
移行支援ベンダーロックイン対策を行います。データエクスポート、形式、期間、費用を定めます。

事故通知条項では、委託先が事故を認識してから委託元に通知するまでの期限、速報に含める事項、続報の頻度、ログ・証拠保全、本人通知・行政報告への協力を具体化します。次の時系列は、初動通知から最終報告までの情報更新の順番を示しています。時点ごとに、判明している範囲で何を受け取り、次に何を確認するかを読み取ってください。

初動通知

発生日・発覚日・対象サービスを把握します

連絡者、対象システム、データ種別、件数見込み、初動対応、再委託先関与の有無を確認します。

速報

影響範囲と封じ込めを更新します

攻撃継続有無、システム停止、顧客影響、法定報告要否、ログ保全状況を確認します。

続報

原因調査と復旧を追います

原因、侵入経路、影響範囲、復旧見込み、再発防止策、関係者通知、規制当局対応を更新します。

最終報告

契約・評価プロセスへ戻します

契約条項不足、監視不足、台帳不備、委託先継続可否、是正完了条件を確認します。

監査権は強い条項ですが、濫用的に設計すると交渉が難航し、委託先の他顧客情報やセキュリティ機密を侵害するおそれがあります。リスク階層に応じて、第三者報告書、書面監査、重大事故時の特別監査、必要に応じた現地監査を組み合わせます。監査範囲、頻度、通知期間、費用負担、秘密保持、第三者監査人の条件、他顧客情報の保護、リモート監査、是正計画の提出期限を定めます。

責任制限は、単に強く要求するだけでは解決しません。情報漏えい、営業秘密漏えい、業務停止では損害が委託料を上回る可能性があります。秘密保持違反、個人データ漏えい、故意・重過失、知財侵害、法令違反を責任制限の例外にするか、例外を認めない場合にサイバー保険、追加料金、限定的上限引上げ、補償範囲で調整するかを検討します。

Section 08

委託先のセキュリティ水準評価の実務で類型別に見る確認事項

クラウド、開発、BPO、印刷発送、廃棄、国外委託では、同じ質問票だけでは足りません。

クラウド・SaaSでは、サービス提供者がすべてを管理するわけではなく、利用者である委託元が担う領域があります。次の一覧は、類型ごとに特に確認すべき事項を並べたものです。各項目では、委託先側の管理策と委託元側の設定責任を切り分けて読むことが重要です。

SaaS

クラウド・SaaS

共有責任モデル、MFA、管理者権限、ログ取得、データエクスポート、削除、APIキー、Webhook、OAuth連携、AI機能や学習利用の設定を確認します。

共有責任設定責任
GL

グローバルSaaS

個別回答が難しい場合でも、SOC 2、ISO、CSA CAIQ、DPA、サブプロセッサ一覧、リージョン、SLA、ステータスページ、管理者設定ガイド、ログ仕様、ISMAP登録の有無を組み合わせます。

標準資料代替証拠
DEV

開発・保守委託

本番データの利用制限、匿名化、リポジトリ権限、入退場管理、OSS、SAST、DAST、依存関係スキャン、シークレット管理、本番変更承認、生成AI入力制限を確認します。

開発本番権限
BPO

BPO・コールセンター

入退室、私物スマートフォン・カメラ・USB・紙の持出し制限、画面コピー、印刷・ダウンロード、権限分離、教育、誓約書、本人確認、誤送信報告、在宅勤務管理を確認します。

人的管理物理管理
PRINT

印刷発送

暗号化されたデータ授受、保管期間、宛名・本文の突合、誤封入防止、残紙・損紙・テスト印刷物の廃棄、作業場所の監視、配送記録、削除証明を確認します。

物理物追跡
DISP

廃棄委託

引渡し記録、輸送中の施錠・追跡、溶解・破砕・消磁・物理破壊・上書き消去、再委託、廃棄証明、立会い、保管場所、紛失時通知を確認します。

削除証明

ソフトウェアサプライチェーンでは、委託先企業そのものの管理策だけでなく、開発プロセスに組み込まれる外部部品・外部サービスも確認します。次の比較表は、開発委託で見落としやすい対象と、確認内容を整理しています。列の違いから、ソースコード、ビルド、外部部品、開発者端末のどこにリスクが残るかを読み取ってください。

対象確認事項契約・運用への反映
OSS・ライブラリ利用申請、ライセンス確認、脆弱性情報の継続監視、依存関係スキャン重大脆弱性発見時の修正期限、SBOM提供可否を定めます。
CI/CD・ビルド環境アクセス制御、承認手順、成果物の完全性確認、コード署名本番反映の承認、緊急リリース時のログを定めます。
外部API・外部サービス委託先のさらに先の依存先、障害時影響、認証情報管理重要変更通知、サプライチェーン攻撃時の通知義務を定めます。
開発者端末EDR、暗号化、権限、退職・異動時削除、生成AI入力制限端末管理義務、秘密情報入力禁止、アカウント削除手順を定めます。

国外委託・越境移転では、国内委託とは異なる確認が必要です。次の一覧は、保存国、アクセス国、外国法、移転規制、暗号化、言語・時差、有事対応をまとめています。順に確認することで、個人情報保護法、GDPR型のDPA、サブプロセッサ管理、準拠法・裁判管轄まで抜けなく見られます。

国・法制度

データ保存国とアクセス国、外国法による政府アクセス、開示命令、監督制度を確認します。

移転規制

個人情報保護法上の越境移転、GDPR、SCC、DPA、移転影響評価の要否を確認します。

サブプロセッサ

所在国、処理内容、変更通知、異議申立権、同等義務、事故時協力を確認します。

暗号化と鍵管理

暗号化方式、鍵の所在、委託先と委託元の管理分担を確認します。

有事対応

時差、言語、法域、ログ提供、証拠保全、データ返却・削除の実効性を確認します。

契約の実効性

準拠法、裁判管轄、執行可能性、監査・情報提供の実務的な実行可能性を確認します。

Section 09

委託先のセキュリティ水準評価の実務で行う残余リスク管理・監視・終了処理

合否だけで終わらせず、ギャップ、是正、補完統制、承認、KRI、オフボーディングまで記録します。

委託先評価を合格・不合格だけで処理すると、実務は硬直化します。重要なのは、統制目標、必要水準、委託先回答、証拠、ギャップ、リスク、是正策、補完統制、承認者、次回確認を結び付けることです。次の表は、残余リスク管理の記録例です。左列の項目を埋めることで、未解消リスクを誰がどう受け入れたかを説明できます。

項目内容
統制目標特権IDは個別承認され、操作ログが取得される状態です。
必要水準Tier 1以上ではMFA、四半期棚卸、90日以上ログ保存を求めます。
委託先回答MFA導入済み、棚卸は年1回、ログ保存30日です。
証拠ID管理規程、画面キャプチャ、ログ設定説明です。
ギャップ棚卸頻度とログ保存期間が不足しています。
リスク退職者ID残存、事故時追跡困難が残ります。
是正策棚卸四半期化、ログ180日保存へ変更します。
期限契約開始後3か月以内です。
補完統制委託元側でSSOログを保管します。
残余リスク承認者CISO、事業責任者です。
次回確認次回年次レビューで確認します。

成熟度モデルは、委託先を一方的に格付けするためだけでなく、必要な水準、理由、改善期間を対話する共通言語として使います。次の表は、Level 0からLevel 5までの状態と評価上の意味を示しています。レベルが上がるほど、文書化、運用証跡、検証、継続改善が増えることを読み取ってください。

レベル状態評価上の意味
Level 0 ― 不明管理策の有無が確認できない状態です。高リスク委託では原則として採用困難です。低リスクでも契約上の最低義務が必要です。
Level 1 ― 場当たり担当者依存で、規程・証跡が乏しい状態です。小規模・低リスクなら補完統制付きで検討できます。
Level 2 ― 文書化基本規程・手順はありますが、運用証跡が限定的です。中リスクでは改善計画が必要です。
Level 3 ― 運用管理規程、証跡、定期レビュー、教育、インシデント対応が運用されています。多くの委託で標準的に期待される水準です。
Level 4 ― 測定・検証KPI、内部監査、第三者認証、診断、訓練で有効性を確認しています。高リスク委託で期待される水準です。
Level 5 ― 継続改善脅威情報、継続監視、自動化、経営報告、サプライチェーン全体最適を行っています。極めて高リスクまたは重要インフラ相当で期待される水準です。

契約期間中の監視では、年次または隔年の質問票更新、認証・SOC報告書の更新、再委託先一覧、重大脆弱性・インシデント情報、SLA、障害・事故報告、アクセス権限棚卸、処理場所変更、契約更新前レビュー、重要委託先とのレビュー会議を行います。次の表は、経営報告に使いやすい指標例です。数値の増減から、台帳整備、評価遅延、未解消課題、有事対応、終了時管理の弱点を読み取ります。

指標
台帳整備率契約中委託先のうち、台帳登録済みの割合です。
リスク分類完了率評価対象委託先のうち、Tier分類済みの割合です。
契約前評価完了率新規委託先のうち、契約前評価が完了した割合です。
未解消高リスク件数Tier 0/1で重大ギャップが残る件数です。
是正期限超過件数是正期限を過ぎた未完了課題です。
再評価遅延件数年次レビュー期限を過ぎた件数です。
事故通知遅延件数契約上の通知期限を超過した件数です。
再委託未承認件数承認前の再委託が発見された件数です。
終了時削除未確認件数契約終了後、削除証明が未取得の件数です。

臨時レビューは、委託先インシデント、新たな再委託先利用、保存国変更、委託範囲拡大、データ種類・量の増加、API接続・SSO・管理者権限の追加、委託先のM&A・事業譲渡・倒産、重要認証の失効、重大脆弱性公表、法令・ガイドライン改正を契機に行います。

委託先起因のインシデントでは、短時間で事実関係、影響範囲、法定報告、本人通知、顧客説明、取締役会報告、復旧、再発防止を進めます。次の表は、有事の時点ごとに確認する事項です。時系列に沿って、初動で不足しやすいログ保全、再委託先関与、法定報告要否を確認してください。

時点委託元が確認すべき事項
発覚直後通知時刻、連絡者、対象サービス、発生事象、暫定影響を確認します。
数時間以内対象データ、件数見込み、システム停止有無、攻撃継続有無、封じ込め状況を確認します。
当日中再委託先関与、ログ保全、証拠保全、顧客影響、法定報告要否を確認します。
速報段階個人情報保護委員会への報告要否、本人通知方針、取引先説明を確認します。
調査段階原因、侵入経路、権限悪用、データ持出し有無、復旧見込みを確認します。
再発防止技術対策、運用変更、契約見直し、委託先継続可否を確認します。
事後評価評価プロセスの不備、監視不足、契約条項不足、台帳不備を確認します。

契約終了時の盲点は、データとアカウントが残ることです。次の表は、終了時に確認する対象を並べています。返却、削除、証明、停止、遮断、媒体返却、成果物、ログ、移行支援、契約後義務を一つずつ確認してください。

項目確認事項
データ返却形式、期限、完全性、暗号化、受領確認を確認します。
データ削除本番、検証、バックアップ、ログ、再委託先、端末を確認します。
削除証明対象、方法、日付、責任者、再委託先分を含むかを確認します。
アカウント停止委託先担当者、管理者、APIキー、VPN、SSOを確認します。
接続遮断IP許可、ファイアウォール、Webhook、連携アプリを確認します。
媒体返却紙、USB、HDD、貸与端末、入館証を確認します。
成果物ソースコード、設計書、マニュアル、権利帰属を確認します。
ログ保存事故調査・監査・法令上必要な期間を確認します。
移行支援後継委託先への引継ぎ、データ形式、期間を確認します。
契約後義務秘密保持、問い合わせ対応、監査協力を確認します。
Section 10

委託先のセキュリティ水準評価の実務で使える様式と取引適正化の考え方

中小委託先には過大要求を避け、リスクに応じた段階的改善と費用協議を組み合わせます。

委託元が大企業で委託先が中小企業の場合、長大な質問票は重い負担になり得ます。セキュリティ水準の向上は必要ですが、委託業務のリスクに比べて過大な要求を行い、費用上昇を無視して価格を据え置くと、取引適正化の問題が生じ得ます。最低限の必須対策、業務に直接関係する対策、標準資料、改善期限、追加費用の協議、委託元側の安全な基盤提供を組み合わせます。

次の表は、固有リスク評価シートの例です。点数1、点数3、点数5の列を見比べ、各評価項目がどの水準に近いかを評点欄に入れます。合計点は階層の目安になりますが、企業規模、業種、リスク許容度に応じて閾値を調整します。

評価項目点数1点数3点数5評点
個人データなし限定的大量・要配慮・機微
秘密情報公開情報中心社内限定情報営業秘密・未公表重要情報
システム権限なし限定閲覧管理者・本番DB
接続方式なし手動ファイル授受API/VPN/常時接続
業務重要度停止影響小部門影響全社・顧客・法令影響
可用性代替容易数日停止許容数時間停止で重大影響
再委託なし一部あり多層・国外あり
所在国国内一部国外複数国外・不明
事故時影響社内限定一部顧客影響行政報告・報道・重大損害
代替可能性容易中程度ロックイン・移行困難

判定例として、40点以上をTier 0、30点以上をTier 1、18点以上をTier 2、17点以下をTier 3と置くことができます。ただし、取締役会資料、M&A情報、未公表決算情報、訴訟戦略資料などを扱う場合は、点数だけでなく機密性により上方修正します。

評価依頼文では、委託先の内部情報を不必要に取得する目的ではなく、委託業務に必要な管理策、事故時連絡、再委託管理、データ削除等を相互に明確化する目的であることを伝えると、回答負担と警戒感を下げやすくなります。認証証明書、SOC報告書、セキュリティホワイトペーパーなどで代替できる項目は、資料提供や閲覧方法の提示でも差し支えないと明示します。

次の表は、是正計画表の例です。ギャップ、リスク、是正策、担当、期限、補完統制、状態を一行で管理します。期限と補完統制の列を見ることで、契約開始前に解消すべき事項と、開始後に追跡する事項を区別できます。

No.ギャップリスク是正策担当期限補完統制状態
1管理者MFA未導入認証情報漏えい時の不正アクセスMFA導入委託先情シス2026/9/30委託元IP制限進行中
2ログ保存30日事故調査に不足180日保存へ変更委託先運用2026/8/31委託元SIEM転送未着手
3再委託先一覧未提供監督困難重要再委託先一覧提供委託先法務契約締結前再委託変更通知条項対応済

残余リスク承認メモでは、案件名、委託先、リスク階層、未解消事項、補完統制、契約上の措置、残余リスク、承認者、承認期限を記録します。たとえば、SOC 2 Type II報告書は提供可能だが現地監査は不可、ログ保存期間が標準より短い場合、委託元側で管理者操作ログをSIEMに転送し、管理者権限を限定し、四半期棚卸を行うなどの補完統制を明記します。

FAQ

委託先のセキュリティ水準評価の実務でよくある悩み

回答は一般的な制度・実務の整理です。個別事情によって結論は変わるため、具体的には専門家へ確認する必要があります。

Q1. 委託先が質問票への回答を拒否した場合はどう考えますか

一般的には、まず拒否理由を確認し、大規模クラウド事業者やSaaS事業者であれば、SOC 2、ISO認証、CSA CAIQ、セキュリティホワイトペーパー、DPA、サブプロセッサ一覧、セキュリティポータルなどの代替証拠で統制目標を満たせるかを評価します。ただし、重要な委託先であるにもかかわらず、認証も報告書もなく、質問にも回答せず、事故通知や再委託管理にも応じない場合は、委託範囲の縮小、データ最小化、補完統制、契約上の解除権、別委託先の検討が必要となる可能性があります。具体的な対応は、契約内容、委託範囲、データの性質を整理したうえで専門家へ相談する必要があります。

Q2. ISMSやプライバシーマークがあれば評価は不要ですか

一般的には、不要にはなりません。ISMSやプライバシーマークは重要な証拠になり得ますが、対象範囲、委託対象業務との関係、再委託、国外処理、事故通知、削除、ログ、可用性、委託元側の設定までは個別に確認する必要があります。認証は評価の代替ではなく、評価の一部として扱うのが基本です。

Q3. 委託先のセキュリティ水準が低いが、事業上利用したい場合はどう考えますか

一般的には、どの統制目標が未達なのかを具体化し、データの匿名化、アクセス権限の限定、委託元環境でのログ取得、専用端末、安全なファイル授受基盤、段階的改善、契約上の事故通知、責任条項などで補完できるかを検討します。それでも重大なリスクが残る場合は、経営層またはリスク委員会による期限付きの例外承認が必要となる可能性があります。個別の可否判断は、事業上の必要性とリスクの内容によって変わります。

Q4. 再委託はすべて禁止すべきですか

一般的には、一律禁止が現実的でない場合があります。クラウド、物流、コールセンター、保守運用では、再委託やサブプロセッサが不可避なことがあります。実務上は、重要再委託先の事前承認、一覧開示、変更通知、異議申立権、同等義務の流し込み、事故時の協力義務を組み合わせます。高リスクデータや規制業務では、再委託の範囲をより厳格に管理する必要があります。

Q5. 委託先評価は法務部門と情報セキュリティ部門のどちらが主導しますか

一般的には、どちらか一方だけでは不十分です。法務部門は契約、責任、法令、監査権、再委託、事故通知を扱い、情報セキュリティ部門は技術的・組織的管理策を評価します。事業部門、購買、プライバシー担当も関与し、高リスク案件では経営層が残余リスクを承認します。具体的な主導部門は、社内規程と組織体制によって変わります。

Q6. 委託先に高額なセキュリティ対策を求めることは問題ですか

一般的には、必要性があり、リスクに見合い、費用や納期について十分協議されていれば、セキュリティ対策を求めること自体は合理的です。ただし、費用上昇を無視した一方的な価格据置き、合理的根拠のない過大要求、特定サービスの購入強制は、独占禁止法・取適法上の問題になり得ます。具体的には、要求の理由、リスク、代替策、費用負担を説明できる状態にする必要があります。

Q7. 契約終了後に委託先がデータを削除したかはどう確認しますか

一般的には、契約上、返却・削除の対象、方法、期限、バックアップの扱い、再委託先の削除、削除証明書の提出を定めます。高リスク案件では、削除証明書だけでなく、サンプル監査、ログ確認、媒体破壊証明、再委託先証明、委託元側アカウント停止・接続遮断を組み合わせることがあります。具体的な確認方法は、データの性質、委託先環境、契約条項によって変わります。

Section 11

委託先のセキュリティ水準評価の実務チェックリストと実装ロードマップ

企業規模・業種・M&Aの場面に応じ、最初は見える化から始め、標準化、継続監視、経営報告へ進めます。

チェックリストは、評価の抜け漏れを防ぐための最終確認に使います。次の表は、25項目を確認ポイントとセットで並べたものです。上から順に、業務範囲、データ、接続、証拠、契約、継続監視、終了時管理まで一通り確認できます。

No.チェック項目確認ポイント
1委託業務の範囲委託先が何を行い、何を行わないか明確かを確認します。
2データ項目個人データ、要配慮情報、営業秘密、認証情報を扱うかを確認します。
3情報の流れ取得、送信、保存、加工、返却、削除の流れが図示されているかを確認します。
4処理場所国内外の保存・アクセス場所を把握しているかを確認します。
5再委託再委託先、処理内容、同等義務、変更通知があるかを確認します。
6セキュリティ責任者委託先に責任者と連絡窓口があるかを確認します。
7規程・方針情報セキュリティ、個人情報、アクセス管理、事故対応の規程があるかを確認します。
8認証・報告書ISMS、Pマーク、SOC、ISMAP等の範囲と有効性を確認します。
9アクセス制御最小権限、承認、棚卸、退職者削除があるかを確認します。
10MFA管理者・リモートアクセスに多要素認証があるかを確認します。
11暗号化通信時・保存時の暗号化、鍵管理が適切かを確認します。
12ログアクセスログ、操作ログ、保存期間、提供可否が明確かを確認します。
13脆弱性管理パッチ、診断、重大脆弱性対応期限があるかを確認します。
14端末管理EDR、暗号化、MDM、持出し制御があるかを確認します。
15人的管理教育、秘密保持、退職時手続があるかを確認します。
16物理管理入退室、媒体保管、印刷物管理、廃棄があるかを確認します。
17バックアップRTO、RPO、復旧テストがあるかを確認します。
18事故通知期限、連絡先、速報項目、協力義務が契約化されているかを確認します。
19監査・情報提供書面監査、第三者報告、現地監査の条件があるかを確認します。
20削除・返却終了時の返却、削除、証明、再委託先対応があるかを確認します。
21AI・二次利用委託元データの学習利用、分析利用、広告利用を制御しているかを確認します。
22変更通知再委託、処理場所、セキュリティ水準、重大障害の変更通知があるかを確認します。
23契約責任損害賠償、責任制限、補償、保険がリスクに見合うかを確認します。
24継続監視年次レビュー、認証更新、未解消課題管理があるかを確認します。
25終了時管理アカウント停止、接続遮断、データ削除証明まで完了するかを確認します。

企業規模・業種によって、優先順位は変わります。次の比較一覧は、スタートアップ・中小企業、上場企業・大企業、金融・医療・公共・重要インフラ、M&A・事業譲渡・グループ再編の場面で重視するポイントを整理しています。組織の成熟度と規制環境に応じて、どこから着手するかを読み取ってください。

中小・スタートアップ

高リスク委託先を絞ります

最低限の台帳、個人データを扱う委託先、SaaS管理、事故連絡先、終了時削除、管理者MFAを優先します。

上場・大企業

全社統合と内部監査を進めます

全社台帳、標準契約条項、リスク分類、例外承認、KPI、内部監査を統合します。

規制業種

業法・監督指針を重ねます

金融、医療、公共、重要インフラでは、可用性、障害報告、外部委託先管理、再委託、データ所在地、監査対応を厳格に評価します。

M&A

重要委託先台帳を確認します

対象会社の重要SaaS、契約譲渡可否、再委託先、終了時データ回収、評価未実施の委託先を確認します。

失敗例を把握すると、評価プロセスの弱点を見つけやすくなります。次の一覧は、委託先評価でよくある失敗を並べています。各項目は、質問票、契約前評価、部門連携、標準約款、終了時処理のどこに不足があったかを示します。

質問票を送っただけで終わります

証拠がなく、委託業務と質問が対応していないと、確認したことになりません。

契約前に評価しません

事故後にログ提出や調査協力を求めても、契約根拠や保存ログがないことがあります。

部門ごとに別々に評価します

個人データだけ、技術項目だけを見ると、本番接続や越境移転を見落としやすくなります。

高リスク委託先を標準約款のまま使います

DPA、サブプロセッサ、SLA、ログ、削除、通知、責任制限、解約条件の読み込みが不足します。

終了時処理を忘れます

契約締結時の審査があっても、削除・返却確認がないと情報が残存します。

実装は一度に完成させるより、段階を分ける方が現実的です。次の時系列は、初期段階、整備段階、高度化段階の順に、何を整えるかを示しています。左の段階名から順に、見える化、標準化、継続監視・経営報告へ進む流れを読み取ってください。

初期段階

見える化

契約書、支払先、SaaS利用、購買台帳を突合し、個人データ、営業秘密、本番環境、基幹業務に関わる委託先を抽出します。高リスク委託先の契約条項、事故連絡先、契約終了済みなのに残るアカウント・データを確認します。

整備段階

標準化

委託先管理規程、リスク階層、質問票、標準セキュリティ条項、DPA、再委託条項、事故通知条項、例外承認手順を整備し、高リスク委託先から年次レビューを始めます。

高度化段階

継続監視と経営報告

KRIを経営会議またはリスク委員会へ報告し、委託先インシデント訓練、重要委託先とのレビュー会議、外部ニュース・脆弱性情報の監視、調達プロセスへの費用協議、内部監査を進めます。

委託先のセキュリティ水準評価の実務は、IT部門のチェックリスト業務だけではありません。個人情報保護法上の委託先監督、契約法務、サイバーセキュリティ、サプライチェーン管理、内部統制、取引適正化、危機管理を横断する企業法務上の重要テーマです。委託元は、何のデータを、どの業務で、どのシステムにより、どの国で、誰が、どの再委託先を使って処理するのかを把握し、リスク階層に応じて証拠を確認し、ギャップを是正し、契約に反映し、残余リスクを承認し、契約期間中と終了時まで監視する必要があります。

優れた委託先評価とは、委託先を排除するための審査ではなく、委託元と委託先が相互にリスクを理解し、必要な統制を契約と運用に落とし込み、事故時にも説明できる状態を作ることです。法務、プライバシー、情報セキュリティ、購買、事業部、内部監査、経営層が専門性を持ち寄ることで、企業の信頼を支えるガバナンス基盤になります。

Reference

参考文献・資料

公的機関・制度資料

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 経済産業省「サイバーセキュリティ経営ガイドライン Ver.3.0」
  • 独立行政法人情報処理推進機構(IPA)「サプライチェーンにおけるサイバーセキュリティ対策評価制度(SCS評価制度)」
  • 公正取引委員会「サイバーセキュリティ対策の強化に係る発注者・受注者間における取引上の問題に関する考え方」
  • 公正取引委員会「中小受託取引適正化法(取適法)」
  • ISMAPポータル「ISMAP概要」
  • 公益財団法人金融情報システムセンター(FISC)公式資料

国際標準・セキュリティ管理資料

  • National Institute of Standards and Technology, “NIST Cybersecurity Framework 2.0 Quick-Start Guide for Cybersecurity Supply Chain Risk Management”
  • Center for Internet Security, “CIS Critical Security Control 15 Service Provider Management”
  • Center for Internet Security, “CIS Controls v8.1 Navigator, Control 15”
  • International Electrotechnical Commission, “ISO/IEC 27036-3 Cybersecurity Supplier relationships Part 3”
  • Cloud Security Alliance, “Cloud Controls Matrix v4.1 / Consensus Assessments Initiative Questionnaire”
  • AICPA & CIMA, “System and Organization Controls SOC Suite of Services”
  • Regulation (EU) 2016/679, General Data Protection Regulation, Article 28

認証・保証制度

  • ISMS適合性評価制度「ISMSとは」
  • 一般財団法人日本情報経済社会推進協会(JIPDEC)「プライバシーマーク制度」