クラウド、SaaS、BPO、開発、保守、物流、AIサービスまで、外部委託先の安全管理を法務・プライバシー・内部統制・情報セキュリティの視点で統合して確認するための実務整理です。
外部委託はリスクを手放す行為ではなく、委託元が説明できる形でリスクを共有・管理する活動です。
外部委託はリスクを手放す行為ではなく、委託元が説明できる形でリスクを共有・管理する活動です。
企業活動は、クラウドサービス、SaaS、システム開発、保守運用、BPO、コールセンター、給与計算、物流、広告配信、データ分析、決済、AIサービスなど、多数の外部事業者に支えられています。委託先が個人情報、営業秘密、認証情報、業務システム、顧客接点、基幹業務に触れる場合、事故は外注先だけの問題では終わりません。委託元の個人情報保護法上の監督責任、契約上の債務不履行、顧客・取引先への説明責任、内部統制上の説明責任、行政対応、レピュテーション、事業継続に直結します。
この評価は、質問票を送って点数を付ける作業だけではありません。委託先が扱う情報、接続するシステム、業務の重要性、再委託、所在国、業法規制、障害時影響、代替可能性を踏まえ、委託元が受容できる水準まで安全管理措置を設計・確認・契約化・継続監視する統制活動です。
次の要点一覧は、委託先のセキュリティ水準評価の実務で最初に確認すべき五つの考え方を表します。各項目は、評価の深さ、証拠の読み方、契約への反映、継続監視、取引適正化のどこに注意するかを示しており、以降の章を読むときの軸になります。
データ感度、権限、業務重要度、可用性、規制、再委託、国・地域、代替可能性からリスク階層を設定します。
ISMS、プライバシーマーク、SOC 2、ISMAP、CSA CAIQは証拠になりますが、対象範囲、時点、例外、委託業務との対応を確認します。
秘密保持、個人データ取扱い、再委託、事故通知、監査権、ログ、削除・返却、SLA、責任制限、解除、移行支援へ落とし込みます。
高度な対策要求は重要ですが、費用を無視した価格据置き、過大要求、特定サービスの購入強制には取引法務上の注意が必要です。
このページの中心は、評価を一回限りの審査ではなく、入口、契約、運用、有事、出口までつなげることです。次の重要ポイントは、その結論を短く整理したものです。何を確認し、どこに記録し、誰が残余リスクを承認するかを読み取ってください。
データ、権限、業務、証拠、契約、監視、終了時処理をつなげて管理することで、平時の選定と有事の説明責任を支えます。
同じ言葉でも、法務、情報システム、購買、監査で意味がずれるため、評価開始前に定義をそろえます。
委託先のセキュリティ水準評価を部門横断で進めるには、対象、評価する水準、評価活動、運用責任の意味をそろえる必要があります。次の一覧は、用語ごとに何を含めるかを整理しています。各列では、対象範囲と実務で確認すべき読み方を分けています。
| 用語 | 意味 | 実務での読み方 |
|---|---|---|
| 委託先 | 委託元企業から業務の全部または一部を受託し、サービス、作業、処理、保守、運用、開発、保管、分析、顧客対応、配送、印刷、廃棄などを行う外部事業者です。 | 業務委託契約、準委任契約、請負契約、SaaS利用契約、クラウド利用契約、保守契約、BPO契約、共同処理契約などを広く含めて確認します。 |
| セキュリティ水準 | 情報資産、システム、業務プロセスを保護する管理策の成熟度、実効性、証跡、運用状況です。 | 機密性、完全性、可用性、プライバシー保護、追跡可能性、説明可能性、復旧可能性を含めて確認します。 |
| 評価 | 質問票だけでなく、統制目標の設定、証拠収集、ギャップ分析、契約反映、残余リスク承認、継続監視、終了時確認までを含む活動です。 | どの証拠で何を確認し、問題を誰が承認するかまで記録します。 |
| 実務 | 抽象的な依頼ではなく、誰が、いつ、何を、どの証拠で、どの基準により、どの契約条項へ結び付けるかを定めた運用です。 | 法務、プライバシー、情報システム、購買、事業部、内部監査、経営層の役割分担を明確にします。 |
評価の範囲を狭く見ると、個人情報を扱う委託先だけが対象のように見えます。しかし、システム権限や事業継続に関わる委託先も重要です。次の三つの観点は、どの部門が見ても同じ判断に近づけるための分類です。
個人データ、要配慮個人情報、営業秘密、認証情報、決済情報、未公表重要情報を扱うかを見ます。
本番環境、管理者権限、API、VPN、SSO、ソースコード、バックアップ基盤に触れるかを見ます。
停止時に顧客対応、売上、法令対応、安全、行政報告、取締役会報告へ影響するかを見ます。
外部委託は専門性やスピードを得る手段ですが、委託元の説明責任は残ります。
外部委託は、専門性、コスト、スピード、拡張性を得るための重要な経営手段です。ただし、委託先の情報漏えい、設定ミス、ランサムウェア感染、内部不正、認証情報漏えいは、顧客から見ると委託元企業の事故として受け止められやすいです。個人データの取扱いを委託する場合、委託元は委託先に対して必要かつ適切な監督を行うことが求められます。
次の一覧は、委託先事故が企業法務上の論点に発展しやすい局面を整理しています。左から委託先の関与、発生しやすい問題、委託元が読み取るべき管理ポイントの順に並べています。
| 局面 | 主な問題 | 委託元の管理ポイント |
|---|---|---|
| 個人データの保管・閲覧・加工 | 漏えい等報告、本人通知、監督責任が問題になります。 | 取扱データ、処理場所、保存期間、削除、事故通知を確認します。 |
| 高権限でのシステム接続 | 侵入経路、権限悪用、ログ不足が問題になります。 | 最小権限、MFA、承認、操作ログ、権限棚卸を確認します。 |
| 顧客対応・請求・決済・配送 | 顧客接点の停止や誤対応が委託元の信用に影響します。 | 業務手順、本人確認、SLA、障害連絡、代替手段を確認します。 |
| 開発・運用システムの脆弱性 | 委託元サービスへの攻撃、停止、情報流出につながります。 | 脆弱性管理、コードレビュー、OSS管理、リリース承認を確認します。 |
| 再委託先の利用 | 情報や権限の流れが深くなり、監督が難しくなります。 | 再委託先一覧、所在国、同等義務、変更通知、事故連絡を確認します。 |
| 国外クラウド・海外拠点処理 | 外国法、越境移転、政府アクセス、言語・時差対応が問題になります。 | 保存国、アクセス国、DPA、SCC、鍵管理、準拠法を確認します。 |
| 契約終了後の残存 | データ、バックアップ、ログ、アカウント、API接続が残ることがあります。 | 返却、削除証明、アカウント停止、接続遮断、再委託先対応を確認します。 |
委託先評価は、個人情報保護だけでなくサプライチェーン・サイバーリスクの問題でもあります。経済産業省のサイバーセキュリティ経営ガイドラインやNIST CSF 2.0の関連ガイドは、委託先やサプライヤー要件を経営・ガバナンスの論点として扱っています。
一方で、委託元が強い立場で高度な対策を求める場合、取引条件の適正も問題になります。次の比較一覧は、正当なセキュリティ要求と、取引法務上の注意が必要になる要求の違いを示しています。左右の違いから、要求の根拠、費用負担、代替策、交渉機会を読み取ってください。
取り扱うデータや権限に応じて、MFA、ログ、事故通知、削除証明、再委託管理などを求めることは重要です。
委託業務と関係の薄い認証取得や高額ツール導入を一律に求める場合は、必要性を説明できるか確認します。
個人データの有無だけでなく、システム接続、権限、業務停止時の影響、再委託まで見ます。
評価対象を個人情報取扱いのあるBPOやコールセンターに限定すると、重要な委託先を見落とします。次の表は、評価対象になりやすい委託の区分、具体例、主なリスクを横並びで整理したものです。区分ごとに、データ、権限、可用性、物理管理のどこが問題になるかを読み取ってください。
| 区分 | 例 | 主なリスク |
|---|---|---|
| クラウド・SaaS | CRM、MA、会計、電子契約、チャット、ストレージ、IDaaS | データ保管、認証連携、API接続、国外処理、可用性です。 |
| システム開発 | アプリ開発、保守、テスト、DevOps支援 | ソースコード流出、脆弱性混入、本番環境アクセス、OSSリスクです。 |
| 運用・保守 | インフラ運用、監視、ヘルプデスク、SOC | 特権ID、ログ、障害対応、委託先端末感染です。 |
| BPO | 給与、経理、人事、顧客対応、審査 | 個人データ、大量処理、本人確認、誤送付です。 |
| 印刷・発送・物流 | 請求書、DM、通知、カード類、医療・金融通知 | 宛名情報、誤配送、廃棄、物理セキュリティです。 |
| データ分析・広告 | 顧客分析、DMP、広告配信、AI分析 | プロファイリング、目的外利用、第三者提供、再識別です。 |
| 決済・金融 | 決済代行、収納、与信、口座振替 | 金融情報、不正取引、規制、可用性です。 |
| 専門家・コンサル | 法律、会計、M&A、危機管理の支援者 | 秘密情報、インサイダー情報、訴訟資料です。 |
| 廃棄・リサイクル | 書類溶解、HDD破壊、端末廃棄 | 残存データ、証明書、再委託、物理持出しです。 |
| セキュリティ事業者 | 診断、SOC、MDR、CSIRT支援 | 脆弱性情報、侵害調査情報、高権限アクセスです。 |
個人データを渡さない場合でも、本番環境、ソースコード、営業秘密、社内ネットワーク、ID基盤、バックアップ基盤、重要な顧客向けサービスに関わる委託先は高リスクになり得ます。次の判断の流れは、個人情報の有無で止まらず、権限と業務影響まで確認する順番を示しています。上から順に確認し、分岐先で追加評価の要否を読み取ってください。
データ、端末、クラウド、紙媒体、アカウント、APIを含めて確認します。
該当する場合はデータリスク評価へ進みます。
該当する場合はシステムリスク評価へ進みます。
該当する場合は業務継続リスク評価へ進みます。
リスク階層を設定し、証拠と契約条項を確認します。
台帳に残し、変更時に再確認します。
再委託先やサブプロセッサが存在する場合、情報と権限の流れは一段深くなります。再委託を禁止するか、事前承諾制にするか、重要再委託先の通知・異議権を置くか、同等義務を課すかを契約で整理します。国外再委託では、所在国、処理内容、アクセス権限、事故時の連絡経路、データ削除の実効性も確認します。
法令、契約、セキュリティ標準、内部統制、調達の観点を一つの評価体系にまとめます。
委託先評価では、一つの基準だけですべてを判断することは難しいです。法務上は個人情報保護法や業法、契約上は秘密保持・監査・責任制限、セキュリティ上はアクセス制御・暗号化・脆弱性管理、内部統制上は証跡・承認・定期レビュー、調達上は費用・交渉・取引適正化が問題になります。次の表は、どの参照先をどの実務場面で使うかを整理しています。
| 領域 | 主な参照先 | 実務上の使い方 |
|---|---|---|
| 個人情報保護 | 個人情報保護委員会ガイドライン | 委託先選定、契約、取扱状況把握、安全管理措置、漏えい対応に使います。 |
| 経営・サプライチェーン | 経済産業省サイバーセキュリティ経営ガイドライン | 経営課題としての委託先・サプライチェーン管理に使います。 |
| 中小企業・段階評価 | IPA SCS評価制度、IPA中小企業向け資料 | 委託元と委託先の要求水準をすり合わせる材料にします。 |
| 国際的枠組み | NIST CSF 2.0、ISO/IEC 27036 | サプライチェーンリスク管理、供給者関係管理に使います。 |
| サービスプロバイダ管理 | CIS Controls Control 15 | 委託先台帳、分類、契約要件、評価、監視、終了処理に使います。 |
| 認証・保証 | ISMS、プライバシーマーク、SOC 2、ISMAP | 第三者証拠として活用し、範囲・例外・時点を確認します。 |
| クラウド評価 | CSA CCM/CAIQ、ISMAP、SOC、ISO/IEC 27017 | SaaS・クラウド固有の管理策確認に使います。 |
| 取引適正化 | 公正取引委員会・経済産業省の考え方、取適法 | セキュリティ要求と費用負担・交渉の合理性確保に使います。 |
CIS Controls Control 15は、サービスプロバイダ管理を独立の管理策として位置付け、棚卸、管理方針、分類、契約への要件、評価、監視、終了処理を重視します。ISO/IEC 27036は、供給者関係における情報セキュリティを扱い、ソフトウェア、クラウド、開発、運用の多層的な供給関係まで視野に入れます。
IPAのSCS評価制度は、各社独自の長大な質問票による負担を減らし、委託業務に応じた段階的な要求水準を提示する方向性を示します。2026年時点では制度詳細の検討・更新が継続しているため、利用時には最新資料を確認します。
基準を多く並べるだけでは評価は進みません。次の三つの観点は、基準を社内運用に落とし込む際の読み替え方を示しています。左から根拠、確認、契約化の順に読み、各部門が同じ基準で会話できる状態を目指します。
法令、ガイドライン、標準、契約、社内規程のどれに基づく要求かを明確にします。
法務監査質問票、認証証明、SOC報告書、規程、図面、ログ設定、診断結果など、どの資料で確認するかを決めます。
証拠範囲確認事故通知、再委託、削除、監査、ログ、脆弱性対応など、運用で守るべき事項を契約や別紙に反映します。
契約継続監視台帳、リスク分類、証拠、契約、残余リスク承認、監視、終了処理を一つのライフサイクルにします。
委託先評価は、情報システム部門だけでも、法務部門だけでも完結しません。次の表は、各部門が担う責任を整理したものです。役割ごとに、誰が情報を持ち、誰が契約・証拠・承認をつなぐかを読み取ってください。
| 役割 | 主な責任 |
|---|---|
| 事業部門・委託元部門 | 委託目的、業務範囲、使用データ、必要可用性、代替手段を説明します。 |
| 購買・調達部門 | 委託先候補の選定プロセス、見積、価格交渉、取引条件管理を担います。 |
| 法務部門 | 契約条項、責任制限、監査権、再委託、解除、損害賠償、準拠法、紛争解決を設計します。 |
| 個人情報保護・プライバシー担当 | 個人データ該当性、利用目的、第三者提供・委託・共同利用・越境移転、漏えい対応を確認します。 |
| 情報セキュリティ部門 | 技術的・組織的管理策、証拠、脆弱性、アクセス制御、ログ、暗号化、インシデント対応を評価します。 |
| 情報システム部門 | 接続方式、ID管理、API、運用設計、バックアップ、移行、終了時処理を確認します。 |
| 内部監査部門 | 委託先評価プロセスが規程どおり運用されているかを独立的に確認します。 |
| 経営層・リスク委員会 | 高リスク委託先の残余リスク、例外承認、投資判断を行います。 |
| 外部専門家 | 高リスク案件、海外法、重大インシデント、監査・保証、フォレンジックで支援します。 |
責任分担を抽象的に書くだけでは、評価の抜け漏れが残ります。次の表は、RACIの考え方に沿って、活動ごとの実行責任者、説明責任者、協議先、報告先を示しています。列の違いを見ることで、承認すべき人と相談すべき人を混同しないようにできます。
| 活動 | R | A | C | I |
|---|---|---|---|---|
| 委託先台帳登録 | 事業部門 | 事業部長 | 購買、法務 | 情シス、監査 |
| リスク分類 | 情報セキュリティ | CISOまたはリスク責任者 | 法務、プライバシー、事業部 | 購買 |
| 個人データ該当性確認 | プライバシー担当 | 個人情報管理責任者 | 法務、事業部 | 情報セキュリティ |
| 契約条項レビュー | 法務 | 法務責任者 | 情報セキュリティ、プライバシー、購買 | 事業部 |
| 例外承認 | リスク委員会 | 担当役員 | 法務、CISO、事業責任者 | 内部監査 |
| 年次レビュー | 情報セキュリティ | CISO | 事業部、法務 | 経営層 |
| 終了時データ削除確認 | 事業部門 | 事業責任者 | 情シス、法務、プライバシー | 内部監査 |
評価の手順は、契約締結前の一回の審査ではなく、台帳化から終了処理まで続きます。次の判断の流れは、十個の工程を上から順に示しています。どの工程で証拠を集め、どの工程で契約に反映し、どの工程で承認・監視するかを読み取ってください。
誰に何を委託しているかを把握します。
情報、権限、接続、処理場所、再委託を可視化します。
管理策を考慮する前のリスクを分類します。
質問票、認証、監査報告書、規程、図面、テスト結果を取得します。
必要な統制目標とのギャップを確認します。
ギャップ、補完統制、期限を決めます。
契約、DPA、セキュリティ別紙、SLAに反映します。
未解消リスクを誰が受容したか記録します。
年次、変更時、インシデント時に見直します。
返却、削除、アカウント停止、接続遮断、証明書取得を確認します。
台帳は評価の出発点です。次の表は、委託先台帳に最低限入れる項目と、各項目から何を判断するかを整理しています。行ごとに、契約情報、データ、接続、証拠、有事連絡、終了時処理が一つの記録につながることを確認してください。
| 項目 | 内容 |
|---|---|
| 委託先名 | 法人名、サービス名、グループ会社名を記録します。 |
| 契約主体 | 委託元側契約当事者、委託先側契約当事者を記録します。 |
| 事業部門 | 利用部門、業務責任者を記録します。 |
| 委託業務 | 業務内容、サービス概要を記録します。 |
| データ種別・量 | 個人データ、要配慮情報、営業秘密、認証情報、決済情報、件数、月間処理量を記録します。 |
| システム接続・権限 | API、VPN、SSO、管理画面、ファイル転送、管理者権限、本番DBアクセスを記録します。 |
| 処理場所・再委託 | 国内外、クラウドリージョン、再委託先名、処理内容、所在国を記録します。 |
| 契約期間 | 開始日、満了日、自動更新、終了条件を記録します。 |
| 評価結果・証拠 | リスク階層、評価日、次回評価日、未解消課題、ISMS、SOC、Pマーク、ISMAP、質問票、診断結果を記録します。 |
| 連絡先・終了時処理 | 24時間窓口、法務窓口、技術窓口、削除証明、返却方法、ログ保存、アカウント停止を記録します。 |
固有リスクは、委託先の管理策を考慮する前に委託内容そのものが持つリスクです。次の表は、低リスク例と高リスク例を評価軸ごとに対比しています。右側に近いほど、質問票、証拠、契約条項、承認の深さを上げる必要があります。
| 評価軸 | 低リスク例 | 高リスク例 |
|---|---|---|
| データ感度 | 公開情報、匿名統計 | 要配慮個人情報、決済情報、営業秘密 |
| データ量 | 少数、単発 | 数万件以上、継続処理 |
| 権限 | 閲覧不可、限定閲覧 | 管理者権限、本番DB、ソースコード |
| 接続 | 独立環境 | VPN、API、SSO、常時接続 |
| 業務重要度 | 代替容易 | 基幹業務、顧客向けサービス、法定業務 |
| 可用性要求 | 停止を許容しやすい | 停止で売上・法令対応・安全に影響 |
| 再委託 | なし | 多層再委託、国外再委託 |
| 所在国 | 国内完結 | 複数国、法制度・監督環境が不明 |
| 規制 | 一般業務 | 金融、医療、公共、重要インフラ |
| 代替可能性 | 即時代替可能 | ベンダーロックイン、移行困難 |
| 事故時影響 | 社内限定 | 顧客通知、行政報告、報道、業務停止 |
| 変更頻度 | 静的 | 継続的開発、頻繁なAPI変更 |
リスク階層を決めると、評価の深さを揃えやすくなります。次の表は、Tier 0から記録のみまでの典型例と評価水準です。階層は機械的に固定せず、M&A情報や未公表決算情報など、データ量が少なくても重要性が高い事情では上方修正します。
| 階層 | 典型例 | 評価水準 |
|---|---|---|
| Tier 0 ― 極めて高リスク | 大量の個人データ、要配慮情報、金融・医療・公共領域、特権ID、基幹システム運用、事業停止リスクが大きい委託 | 詳細質問票、独立第三者報告、契約上の監査権、年次以上の再評価、役員承認、DR確認、インシデント訓練を行います。 |
| Tier 1 ― 高リスク | 顧客データ、営業秘密、本番環境接続、重要SaaS、継続BPO | 詳細質問票、証拠確認、契約別紙、年次レビュー、再委託管理を行います。 |
| Tier 2 ― 中リスク | 限定的な個人データ、社内業務支援、限定権限 | 簡易質問票、基本証拠、標準セキュリティ条項、2年ごとまたは変更時レビューを行います。 |
| Tier 3 ― 低リスク | 公開情報のみ、個人データなし、システム接続なし、単発業務 | 基本契約、秘密保持、必要に応じた簡易確認を行います。 |
| 評価対象外または記録のみ | 情報・システム・業務への実質的アクセスなし | 台帳記録と契約管理に留めます。 |
質問票は委託先を困らせる書類ではなく、統制目標とギャップを明らかにするための道具です。
質問票の目的は、委託業務に必要な統制目標が満たされているかを確認し、不足があれば是正または代替策を設計することです。低リスク委託先に過大な質問を送らず、はい・いいえだけでなく証拠を確認し、質問と契約条項を連動させ、開発、BPO、クラウド、印刷発送、廃棄など業務固有の質問を加えます。中小委託先には、過大な認証取得要求より実効的な基本対策が合理的な場合があります。
次の表は、Tier 0からTier 1の委託先で標準的に確認する質問領域です。左から領域、確認事項、証拠例の順に並べており、各行が契約条項や是正計画へつながる確認単位になります。
| 領域 | 確認事項 | 証拠例 |
|---|---|---|
| ガバナンス | 情報セキュリティ責任者、規程、リスク評価、内部監査、経営報告 | 規程目次、組織図、監査計画、マネジメントレビュー記録 |
| 認証・保証 | ISMS、プライバシーマーク、SOC 2、ISMAP、ISO/IEC 27017等 | 登録証、適用範囲、報告書、例外事項 |
| データ管理 | 取扱データ、保存場所、保存期間、削除方法、バックアップ | 情報の流れを示す図、保存期間表、削除手順 |
| アクセス制御 | 最小権限、権限承認、棚卸、退職者削除、MFA | アクセス管理規程、棚卸記録、MFA設定方針 |
| 認証 | パスワード、MFA、SSO、特権ID管理 | ID管理手順、特権ID台帳 |
| 暗号化 | 保存時・通信時暗号化、鍵管理 | 暗号化方式説明、鍵管理方針 |
| ログ・監視 | アクセスログ、操作ログ、保存期間、監視体制 | ログ設計書、監視手順、アラート例 |
| 脆弱性管理 | パッチ、診断、ペネトレーションテスト、脆弱性対応期限 | 診断サマリー、パッチ方針、CVE対応記録 |
| 開発管理 | セキュア開発、コードレビュー、OSS管理、CI/CD権限 | SDLC手順、レビュー記録、SBOMまたはOSS台帳 |
| 端末管理 | EDR、マルウェア対策、暗号化、USB制限 | 端末管理方針、MDM/EDR導入状況 |
| 物理セキュリティ | 入退室、媒体保管、印刷物管理、廃棄 | 入退室管理説明、廃棄証明手順 |
| 人的管理 | 教育、秘密保持、退職時手続、懲戒 | 教育記録、誓約書様式 |
| 再委託 | 再委託先一覧、処理内容、所在国、同等義務 | サブプロセッサ一覧、契約義務の説明 |
| インシデント対応 | 検知、報告、封じ込め、原因調査、通知協力 | インシデント対応規程、連絡網、訓練記録 |
| BCP/DR | RTO、RPO、バックアップ、復旧訓練 | DR計画、テスト結果、バックアップ方式 |
| クラウド設定 | 共有責任、管理画面権限、ログ、リージョン | 共有責任表、クラウド設定基準 |
| プライバシー | 利用目的、本人対応、漏えい時報告、越境移転 | 個人情報管理規程、委託処理説明 |
| 監査対応 | 委託元監査、第三者報告、是正計画 | 監査条項案、是正管理表 |
| 終了時処理 | 返却、削除、バックアップ削除、証明書 | 削除証明書様式、終了手順 |
| 変更管理 | システム変更、再委託先変更、データ処理場所変更 | 変更通知手順、リリース管理方針 |
個人情報保護法の安全管理措置と接続する場合、質問票は基本方針、取扱規程、組織的・人的・物理的・技術的安全管理措置に対応するよう設計します。アクセス制御、アクセス者識別、不正アクセス対策、ログ、暗号化、パスワード保護は技術的安全管理措置に、教育や秘密保持は人的安全管理措置に、入退室・媒体管理・廃棄は物理的安全管理措置に関係します。
認証や第三者報告書は強力な証拠ですが、それだけで委託業務の安全を保証するわけではありません。次の一覧は、主要な証拠ごとに見るべきポイントを整理しています。各項目では、対象範囲、時点、例外、委託元側の設定を読み取ってください。
適用範囲に対象サービス・部署・拠点が含まれるか、有効期限、ISO/IEC 27017等の追加証拠、重大な適用除外、可用性・ログ・事故通知・削除証明まで確認します。
範囲例外個人情報取扱いの証拠として有用ですが、実際の委託業務、再委託、国外処理、事故通知、削除・返却、技術的管理策は別途確認します。
個人情報追加確認対象サービス、対象期間、Security以外の基準、例外事項、補完的ユーザー主体統制、サブサービス組織の扱いを確認します。
保証報告CUEC公共領域や高いセキュリティ要求を持つクラウド利用で重要ですが、委託元自身の設定、権限、ログ、契約、障害対応は別途確認します。
クラウド利用者設定グローバルSaaSでは、CAIQ回答、SOC 2、ISO認証、ホワイトペーパー、セキュリティポータルを組み合わせると現実的です。
SaaS組合せ証拠を読む際の限界も記録します。認証は対象範囲外のサービスを保証せず、報告書は過去の一定期間を対象とし、将来の安全を保証しません。監査人が確認した管理策と委託元が必要とする管理策が一致しないこともあります。委託元側の設定不備は委託先の認証では補えず、インシデント通知、責任制限、削除証明、再委託承認は契約で補う必要があります。報告書全文が提供されない場合も、ブリッジレター、要約版、セキュリティポータル、第三者閲覧、NDA下閲覧などの代替手段を検討できます。
評価で確認した要件を契約、DPA、セキュリティ別紙、SLAに写して初めて統制として機能します。
評価で「概ね問題なし」と判断しても、その結果が契約に反映されなければ、事故時の通知、調査協力、削除、再委託停止、ログ提供、損害分担を求める根拠が弱くなります。次の表は、セキュリティ別紙やDPAに含めるべき条項、目的、実務上の注意を整理しています。各行を契約レビュー時の確認項目として読み取ってください。
| 条項 | 目的 | 実務上の注意 |
|---|---|---|
| データ・業務範囲 | 処理対象と目的を限定します。 | 目的外利用、学習利用、広告利用を明確に制限します。 |
| 法令遵守 | 個人情報保護法、業法、輸出管理、労働法等の遵守を求めます。 | 抽象条項だけにせず、具体的義務を別紙化します。 |
| 秘密保持 | 委託元情報の不正開示を防ぎます。 | 退職者、再委託先、グループ会社への情報の流れを含めます。 |
| 安全管理措置 | 最低限の技術的・組織的措置を義務化します。 | アクセス制御、暗号化、ログ、脆弱性管理等を明記します。 |
| アクセス権限 | 最小権限・承認・棚卸を求めます。 | 高権限アクセスは個別承認・ログ取得を求めます。 |
| 再委託 | 再委託先の管理を可能にします。 | 事前承諾、通知・異議、同等義務、一覧開示を検討します。 |
| 処理場所 | 国内外の保管・処理場所を把握します。 | 国外処理、クラウドリージョン変更、外的環境把握に注意します。 |
| 事故通知 | 漏えい・侵害・障害を早期に把握します。 | 24時間、48時間等の期限、速報・続報、連絡窓口を定めます。 |
| 調査協力 | 原因究明、証拠保全、行政報告、本人通知を支援します。 | ログ提供、フォレンジック協力、再発防止策を含めます。 |
| 監査・情報提供 | 委託元が取扱状況を把握します。 | 現地監査、書面監査、第三者報告書、頻度、費用を調整します。 |
| 脆弱性対応 | セキュリティ欠陥の修正を求めます。 | 重大度別SLA、通知義務、緊急修正を定めます。 |
| バックアップ・DR | 障害時の復旧を確保します。 | RTO、RPO、復旧訓練、データ復元手順を明確にします。 |
| 削除・返却 | 契約終了時の残存データを防ぎます。 | バックアップ、再委託先、媒体廃棄、証明書を含めます。 |
| 変更通知 | セキュリティ水準低下を把握します。 | 再委託、処理場所、主要機能、認証失効、重大脆弱性を対象にします。 |
| 保険 | サイバー保険等により損害填補の一部を確認します。 | 保険は安全管理措置の代替にはなりません。 |
| 責任制限 | 損害分担を設計します。 | 情報漏えい、故意重過失、秘密保持違反等の例外を検討します。 |
| 解除・停止 | 高リスク時の契約終了・利用停止を可能にします。 | 重大違反、事故、是正不履行、監査拒否を対象にします。 |
| 移行支援 | ベンダーロックイン対策を行います。 | データエクスポート、形式、期間、費用を定めます。 |
事故通知条項では、委託先が事故を認識してから委託元に通知するまでの期限、速報に含める事項、続報の頻度、ログ・証拠保全、本人通知・行政報告への協力を具体化します。次の時系列は、初動通知から最終報告までの情報更新の順番を示しています。時点ごとに、判明している範囲で何を受け取り、次に何を確認するかを読み取ってください。
連絡者、対象システム、データ種別、件数見込み、初動対応、再委託先関与の有無を確認します。
攻撃継続有無、システム停止、顧客影響、法定報告要否、ログ保全状況を確認します。
原因、侵入経路、影響範囲、復旧見込み、再発防止策、関係者通知、規制当局対応を更新します。
契約条項不足、監視不足、台帳不備、委託先継続可否、是正完了条件を確認します。
監査権は強い条項ですが、濫用的に設計すると交渉が難航し、委託先の他顧客情報やセキュリティ機密を侵害するおそれがあります。リスク階層に応じて、第三者報告書、書面監査、重大事故時の特別監査、必要に応じた現地監査を組み合わせます。監査範囲、頻度、通知期間、費用負担、秘密保持、第三者監査人の条件、他顧客情報の保護、リモート監査、是正計画の提出期限を定めます。
責任制限は、単に強く要求するだけでは解決しません。情報漏えい、営業秘密漏えい、業務停止では損害が委託料を上回る可能性があります。秘密保持違反、個人データ漏えい、故意・重過失、知財侵害、法令違反を責任制限の例外にするか、例外を認めない場合にサイバー保険、追加料金、限定的上限引上げ、補償範囲で調整するかを検討します。
クラウド、開発、BPO、印刷発送、廃棄、国外委託では、同じ質問票だけでは足りません。
クラウド・SaaSでは、サービス提供者がすべてを管理するわけではなく、利用者である委託元が担う領域があります。次の一覧は、類型ごとに特に確認すべき事項を並べたものです。各項目では、委託先側の管理策と委託元側の設定責任を切り分けて読むことが重要です。
共有責任モデル、MFA、管理者権限、ログ取得、データエクスポート、削除、APIキー、Webhook、OAuth連携、AI機能や学習利用の設定を確認します。
共有責任設定責任個別回答が難しい場合でも、SOC 2、ISO、CSA CAIQ、DPA、サブプロセッサ一覧、リージョン、SLA、ステータスページ、管理者設定ガイド、ログ仕様、ISMAP登録の有無を組み合わせます。
標準資料代替証拠本番データの利用制限、匿名化、リポジトリ権限、入退場管理、OSS、SAST、DAST、依存関係スキャン、シークレット管理、本番変更承認、生成AI入力制限を確認します。
開発本番権限入退室、私物スマートフォン・カメラ・USB・紙の持出し制限、画面コピー、印刷・ダウンロード、権限分離、教育、誓約書、本人確認、誤送信報告、在宅勤務管理を確認します。
人的管理物理管理暗号化されたデータ授受、保管期間、宛名・本文の突合、誤封入防止、残紙・損紙・テスト印刷物の廃棄、作業場所の監視、配送記録、削除証明を確認します。
物理物追跡引渡し記録、輸送中の施錠・追跡、溶解・破砕・消磁・物理破壊・上書き消去、再委託、廃棄証明、立会い、保管場所、紛失時通知を確認します。
削除証明ソフトウェアサプライチェーンでは、委託先企業そのものの管理策だけでなく、開発プロセスに組み込まれる外部部品・外部サービスも確認します。次の比較表は、開発委託で見落としやすい対象と、確認内容を整理しています。列の違いから、ソースコード、ビルド、外部部品、開発者端末のどこにリスクが残るかを読み取ってください。
| 対象 | 確認事項 | 契約・運用への反映 |
|---|---|---|
| OSS・ライブラリ | 利用申請、ライセンス確認、脆弱性情報の継続監視、依存関係スキャン | 重大脆弱性発見時の修正期限、SBOM提供可否を定めます。 |
| CI/CD・ビルド環境 | アクセス制御、承認手順、成果物の完全性確認、コード署名 | 本番反映の承認、緊急リリース時のログを定めます。 |
| 外部API・外部サービス | 委託先のさらに先の依存先、障害時影響、認証情報管理 | 重要変更通知、サプライチェーン攻撃時の通知義務を定めます。 |
| 開発者端末 | EDR、暗号化、権限、退職・異動時削除、生成AI入力制限 | 端末管理義務、秘密情報入力禁止、アカウント削除手順を定めます。 |
国外委託・越境移転では、国内委託とは異なる確認が必要です。次の一覧は、保存国、アクセス国、外国法、移転規制、暗号化、言語・時差、有事対応をまとめています。順に確認することで、個人情報保護法、GDPR型のDPA、サブプロセッサ管理、準拠法・裁判管轄まで抜けなく見られます。
データ保存国とアクセス国、外国法による政府アクセス、開示命令、監督制度を確認します。
個人情報保護法上の越境移転、GDPR、SCC、DPA、移転影響評価の要否を確認します。
所在国、処理内容、変更通知、異議申立権、同等義務、事故時協力を確認します。
暗号化方式、鍵の所在、委託先と委託元の管理分担を確認します。
時差、言語、法域、ログ提供、証拠保全、データ返却・削除の実効性を確認します。
準拠法、裁判管轄、執行可能性、監査・情報提供の実務的な実行可能性を確認します。
合否だけで終わらせず、ギャップ、是正、補完統制、承認、KRI、オフボーディングまで記録します。
委託先評価を合格・不合格だけで処理すると、実務は硬直化します。重要なのは、統制目標、必要水準、委託先回答、証拠、ギャップ、リスク、是正策、補完統制、承認者、次回確認を結び付けることです。次の表は、残余リスク管理の記録例です。左列の項目を埋めることで、未解消リスクを誰がどう受け入れたかを説明できます。
| 項目 | 内容 |
|---|---|
| 統制目標 | 特権IDは個別承認され、操作ログが取得される状態です。 |
| 必要水準 | Tier 1以上ではMFA、四半期棚卸、90日以上ログ保存を求めます。 |
| 委託先回答 | MFA導入済み、棚卸は年1回、ログ保存30日です。 |
| 証拠 | ID管理規程、画面キャプチャ、ログ設定説明です。 |
| ギャップ | 棚卸頻度とログ保存期間が不足しています。 |
| リスク | 退職者ID残存、事故時追跡困難が残ります。 |
| 是正策 | 棚卸四半期化、ログ180日保存へ変更します。 |
| 期限 | 契約開始後3か月以内です。 |
| 補完統制 | 委託元側でSSOログを保管します。 |
| 残余リスク承認者 | CISO、事業責任者です。 |
| 次回確認 | 次回年次レビューで確認します。 |
成熟度モデルは、委託先を一方的に格付けするためだけでなく、必要な水準、理由、改善期間を対話する共通言語として使います。次の表は、Level 0からLevel 5までの状態と評価上の意味を示しています。レベルが上がるほど、文書化、運用証跡、検証、継続改善が増えることを読み取ってください。
| レベル | 状態 | 評価上の意味 |
|---|---|---|
| Level 0 ― 不明 | 管理策の有無が確認できない状態です。 | 高リスク委託では原則として採用困難です。低リスクでも契約上の最低義務が必要です。 |
| Level 1 ― 場当たり | 担当者依存で、規程・証跡が乏しい状態です。 | 小規模・低リスクなら補完統制付きで検討できます。 |
| Level 2 ― 文書化 | 基本規程・手順はありますが、運用証跡が限定的です。 | 中リスクでは改善計画が必要です。 |
| Level 3 ― 運用管理 | 規程、証跡、定期レビュー、教育、インシデント対応が運用されています。 | 多くの委託で標準的に期待される水準です。 |
| Level 4 ― 測定・検証 | KPI、内部監査、第三者認証、診断、訓練で有効性を確認しています。 | 高リスク委託で期待される水準です。 |
| Level 5 ― 継続改善 | 脅威情報、継続監視、自動化、経営報告、サプライチェーン全体最適を行っています。 | 極めて高リスクまたは重要インフラ相当で期待される水準です。 |
契約期間中の監視では、年次または隔年の質問票更新、認証・SOC報告書の更新、再委託先一覧、重大脆弱性・インシデント情報、SLA、障害・事故報告、アクセス権限棚卸、処理場所変更、契約更新前レビュー、重要委託先とのレビュー会議を行います。次の表は、経営報告に使いやすい指標例です。数値の増減から、台帳整備、評価遅延、未解消課題、有事対応、終了時管理の弱点を読み取ります。
| 指標 | 例 |
|---|---|
| 台帳整備率 | 契約中委託先のうち、台帳登録済みの割合です。 |
| リスク分類完了率 | 評価対象委託先のうち、Tier分類済みの割合です。 |
| 契約前評価完了率 | 新規委託先のうち、契約前評価が完了した割合です。 |
| 未解消高リスク件数 | Tier 0/1で重大ギャップが残る件数です。 |
| 是正期限超過件数 | 是正期限を過ぎた未完了課題です。 |
| 再評価遅延件数 | 年次レビュー期限を過ぎた件数です。 |
| 事故通知遅延件数 | 契約上の通知期限を超過した件数です。 |
| 再委託未承認件数 | 承認前の再委託が発見された件数です。 |
| 終了時削除未確認件数 | 契約終了後、削除証明が未取得の件数です。 |
臨時レビューは、委託先インシデント、新たな再委託先利用、保存国変更、委託範囲拡大、データ種類・量の増加、API接続・SSO・管理者権限の追加、委託先のM&A・事業譲渡・倒産、重要認証の失効、重大脆弱性公表、法令・ガイドライン改正を契機に行います。
委託先起因のインシデントでは、短時間で事実関係、影響範囲、法定報告、本人通知、顧客説明、取締役会報告、復旧、再発防止を進めます。次の表は、有事の時点ごとに確認する事項です。時系列に沿って、初動で不足しやすいログ保全、再委託先関与、法定報告要否を確認してください。
| 時点 | 委託元が確認すべき事項 |
|---|---|
| 発覚直後 | 通知時刻、連絡者、対象サービス、発生事象、暫定影響を確認します。 |
| 数時間以内 | 対象データ、件数見込み、システム停止有無、攻撃継続有無、封じ込め状況を確認します。 |
| 当日中 | 再委託先関与、ログ保全、証拠保全、顧客影響、法定報告要否を確認します。 |
| 速報段階 | 個人情報保護委員会への報告要否、本人通知方針、取引先説明を確認します。 |
| 調査段階 | 原因、侵入経路、権限悪用、データ持出し有無、復旧見込みを確認します。 |
| 再発防止 | 技術対策、運用変更、契約見直し、委託先継続可否を確認します。 |
| 事後評価 | 評価プロセスの不備、監視不足、契約条項不足、台帳不備を確認します。 |
契約終了時の盲点は、データとアカウントが残ることです。次の表は、終了時に確認する対象を並べています。返却、削除、証明、停止、遮断、媒体返却、成果物、ログ、移行支援、契約後義務を一つずつ確認してください。
| 項目 | 確認事項 |
|---|---|
| データ返却 | 形式、期限、完全性、暗号化、受領確認を確認します。 |
| データ削除 | 本番、検証、バックアップ、ログ、再委託先、端末を確認します。 |
| 削除証明 | 対象、方法、日付、責任者、再委託先分を含むかを確認します。 |
| アカウント停止 | 委託先担当者、管理者、APIキー、VPN、SSOを確認します。 |
| 接続遮断 | IP許可、ファイアウォール、Webhook、連携アプリを確認します。 |
| 媒体返却 | 紙、USB、HDD、貸与端末、入館証を確認します。 |
| 成果物 | ソースコード、設計書、マニュアル、権利帰属を確認します。 |
| ログ保存 | 事故調査・監査・法令上必要な期間を確認します。 |
| 移行支援 | 後継委託先への引継ぎ、データ形式、期間を確認します。 |
| 契約後義務 | 秘密保持、問い合わせ対応、監査協力を確認します。 |
中小委託先には過大要求を避け、リスクに応じた段階的改善と費用協議を組み合わせます。
委託元が大企業で委託先が中小企業の場合、長大な質問票は重い負担になり得ます。セキュリティ水準の向上は必要ですが、委託業務のリスクに比べて過大な要求を行い、費用上昇を無視して価格を据え置くと、取引適正化の問題が生じ得ます。最低限の必須対策、業務に直接関係する対策、標準資料、改善期限、追加費用の協議、委託元側の安全な基盤提供を組み合わせます。
次の表は、固有リスク評価シートの例です。点数1、点数3、点数5の列を見比べ、各評価項目がどの水準に近いかを評点欄に入れます。合計点は階層の目安になりますが、企業規模、業種、リスク許容度に応じて閾値を調整します。
| 評価項目 | 点数1 | 点数3 | 点数5 | 評点 |
|---|---|---|---|---|
| 個人データ | なし | 限定的 | 大量・要配慮・機微 | |
| 秘密情報 | 公開情報中心 | 社内限定情報 | 営業秘密・未公表重要情報 | |
| システム権限 | なし | 限定閲覧 | 管理者・本番DB | |
| 接続方式 | なし | 手動ファイル授受 | API/VPN/常時接続 | |
| 業務重要度 | 停止影響小 | 部門影響 | 全社・顧客・法令影響 | |
| 可用性 | 代替容易 | 数日停止許容 | 数時間停止で重大影響 | |
| 再委託 | なし | 一部あり | 多層・国外あり | |
| 所在国 | 国内 | 一部国外 | 複数国外・不明 | |
| 事故時影響 | 社内限定 | 一部顧客影響 | 行政報告・報道・重大損害 | |
| 代替可能性 | 容易 | 中程度 | ロックイン・移行困難 |
判定例として、40点以上をTier 0、30点以上をTier 1、18点以上をTier 2、17点以下をTier 3と置くことができます。ただし、取締役会資料、M&A情報、未公表決算情報、訴訟戦略資料などを扱う場合は、点数だけでなく機密性により上方修正します。
評価依頼文では、委託先の内部情報を不必要に取得する目的ではなく、委託業務に必要な管理策、事故時連絡、再委託管理、データ削除等を相互に明確化する目的であることを伝えると、回答負担と警戒感を下げやすくなります。認証証明書、SOC報告書、セキュリティホワイトペーパーなどで代替できる項目は、資料提供や閲覧方法の提示でも差し支えないと明示します。
次の表は、是正計画表の例です。ギャップ、リスク、是正策、担当、期限、補完統制、状態を一行で管理します。期限と補完統制の列を見ることで、契約開始前に解消すべき事項と、開始後に追跡する事項を区別できます。
| No. | ギャップ | リスク | 是正策 | 担当 | 期限 | 補完統制 | 状態 |
|---|---|---|---|---|---|---|---|
| 1 | 管理者MFA未導入 | 認証情報漏えい時の不正アクセス | MFA導入 | 委託先情シス | 2026/9/30 | 委託元IP制限 | 進行中 |
| 2 | ログ保存30日 | 事故調査に不足 | 180日保存へ変更 | 委託先運用 | 2026/8/31 | 委託元SIEM転送 | 未着手 |
| 3 | 再委託先一覧未提供 | 監督困難 | 重要再委託先一覧提供 | 委託先法務 | 契約締結前 | 再委託変更通知条項 | 対応済 |
残余リスク承認メモでは、案件名、委託先、リスク階層、未解消事項、補完統制、契約上の措置、残余リスク、承認者、承認期限を記録します。たとえば、SOC 2 Type II報告書は提供可能だが現地監査は不可、ログ保存期間が標準より短い場合、委託元側で管理者操作ログをSIEMに転送し、管理者権限を限定し、四半期棚卸を行うなどの補完統制を明記します。
回答は一般的な制度・実務の整理です。個別事情によって結論は変わるため、具体的には専門家へ確認する必要があります。
一般的には、まず拒否理由を確認し、大規模クラウド事業者やSaaS事業者であれば、SOC 2、ISO認証、CSA CAIQ、セキュリティホワイトペーパー、DPA、サブプロセッサ一覧、セキュリティポータルなどの代替証拠で統制目標を満たせるかを評価します。ただし、重要な委託先であるにもかかわらず、認証も報告書もなく、質問にも回答せず、事故通知や再委託管理にも応じない場合は、委託範囲の縮小、データ最小化、補完統制、契約上の解除権、別委託先の検討が必要となる可能性があります。具体的な対応は、契約内容、委託範囲、データの性質を整理したうえで専門家へ相談する必要があります。
一般的には、不要にはなりません。ISMSやプライバシーマークは重要な証拠になり得ますが、対象範囲、委託対象業務との関係、再委託、国外処理、事故通知、削除、ログ、可用性、委託元側の設定までは個別に確認する必要があります。認証は評価の代替ではなく、評価の一部として扱うのが基本です。
一般的には、どの統制目標が未達なのかを具体化し、データの匿名化、アクセス権限の限定、委託元環境でのログ取得、専用端末、安全なファイル授受基盤、段階的改善、契約上の事故通知、責任条項などで補完できるかを検討します。それでも重大なリスクが残る場合は、経営層またはリスク委員会による期限付きの例外承認が必要となる可能性があります。個別の可否判断は、事業上の必要性とリスクの内容によって変わります。
一般的には、一律禁止が現実的でない場合があります。クラウド、物流、コールセンター、保守運用では、再委託やサブプロセッサが不可避なことがあります。実務上は、重要再委託先の事前承認、一覧開示、変更通知、異議申立権、同等義務の流し込み、事故時の協力義務を組み合わせます。高リスクデータや規制業務では、再委託の範囲をより厳格に管理する必要があります。
一般的には、どちらか一方だけでは不十分です。法務部門は契約、責任、法令、監査権、再委託、事故通知を扱い、情報セキュリティ部門は技術的・組織的管理策を評価します。事業部門、購買、プライバシー担当も関与し、高リスク案件では経営層が残余リスクを承認します。具体的な主導部門は、社内規程と組織体制によって変わります。
一般的には、必要性があり、リスクに見合い、費用や納期について十分協議されていれば、セキュリティ対策を求めること自体は合理的です。ただし、費用上昇を無視した一方的な価格据置き、合理的根拠のない過大要求、特定サービスの購入強制は、独占禁止法・取適法上の問題になり得ます。具体的には、要求の理由、リスク、代替策、費用負担を説明できる状態にする必要があります。
一般的には、契約上、返却・削除の対象、方法、期限、バックアップの扱い、再委託先の削除、削除証明書の提出を定めます。高リスク案件では、削除証明書だけでなく、サンプル監査、ログ確認、媒体破壊証明、再委託先証明、委託元側アカウント停止・接続遮断を組み合わせることがあります。具体的な確認方法は、データの性質、委託先環境、契約条項によって変わります。
企業規模・業種・M&Aの場面に応じ、最初は見える化から始め、標準化、継続監視、経営報告へ進めます。
チェックリストは、評価の抜け漏れを防ぐための最終確認に使います。次の表は、25項目を確認ポイントとセットで並べたものです。上から順に、業務範囲、データ、接続、証拠、契約、継続監視、終了時管理まで一通り確認できます。
| No. | チェック項目 | 確認ポイント |
|---|---|---|
| 1 | 委託業務の範囲 | 委託先が何を行い、何を行わないか明確かを確認します。 |
| 2 | データ項目 | 個人データ、要配慮情報、営業秘密、認証情報を扱うかを確認します。 |
| 3 | 情報の流れ | 取得、送信、保存、加工、返却、削除の流れが図示されているかを確認します。 |
| 4 | 処理場所 | 国内外の保存・アクセス場所を把握しているかを確認します。 |
| 5 | 再委託 | 再委託先、処理内容、同等義務、変更通知があるかを確認します。 |
| 6 | セキュリティ責任者 | 委託先に責任者と連絡窓口があるかを確認します。 |
| 7 | 規程・方針 | 情報セキュリティ、個人情報、アクセス管理、事故対応の規程があるかを確認します。 |
| 8 | 認証・報告書 | ISMS、Pマーク、SOC、ISMAP等の範囲と有効性を確認します。 |
| 9 | アクセス制御 | 最小権限、承認、棚卸、退職者削除があるかを確認します。 |
| 10 | MFA | 管理者・リモートアクセスに多要素認証があるかを確認します。 |
| 11 | 暗号化 | 通信時・保存時の暗号化、鍵管理が適切かを確認します。 |
| 12 | ログ | アクセスログ、操作ログ、保存期間、提供可否が明確かを確認します。 |
| 13 | 脆弱性管理 | パッチ、診断、重大脆弱性対応期限があるかを確認します。 |
| 14 | 端末管理 | EDR、暗号化、MDM、持出し制御があるかを確認します。 |
| 15 | 人的管理 | 教育、秘密保持、退職時手続があるかを確認します。 |
| 16 | 物理管理 | 入退室、媒体保管、印刷物管理、廃棄があるかを確認します。 |
| 17 | バックアップ | RTO、RPO、復旧テストがあるかを確認します。 |
| 18 | 事故通知 | 期限、連絡先、速報項目、協力義務が契約化されているかを確認します。 |
| 19 | 監査・情報提供 | 書面監査、第三者報告、現地監査の条件があるかを確認します。 |
| 20 | 削除・返却 | 終了時の返却、削除、証明、再委託先対応があるかを確認します。 |
| 21 | AI・二次利用 | 委託元データの学習利用、分析利用、広告利用を制御しているかを確認します。 |
| 22 | 変更通知 | 再委託、処理場所、セキュリティ水準、重大障害の変更通知があるかを確認します。 |
| 23 | 契約責任 | 損害賠償、責任制限、補償、保険がリスクに見合うかを確認します。 |
| 24 | 継続監視 | 年次レビュー、認証更新、未解消課題管理があるかを確認します。 |
| 25 | 終了時管理 | アカウント停止、接続遮断、データ削除証明まで完了するかを確認します。 |
企業規模・業種によって、優先順位は変わります。次の比較一覧は、スタートアップ・中小企業、上場企業・大企業、金融・医療・公共・重要インフラ、M&A・事業譲渡・グループ再編の場面で重視するポイントを整理しています。組織の成熟度と規制環境に応じて、どこから着手するかを読み取ってください。
最低限の台帳、個人データを扱う委託先、SaaS管理、事故連絡先、終了時削除、管理者MFAを優先します。
全社台帳、標準契約条項、リスク分類、例外承認、KPI、内部監査を統合します。
金融、医療、公共、重要インフラでは、可用性、障害報告、外部委託先管理、再委託、データ所在地、監査対応を厳格に評価します。
対象会社の重要SaaS、契約譲渡可否、再委託先、終了時データ回収、評価未実施の委託先を確認します。
失敗例を把握すると、評価プロセスの弱点を見つけやすくなります。次の一覧は、委託先評価でよくある失敗を並べています。各項目は、質問票、契約前評価、部門連携、標準約款、終了時処理のどこに不足があったかを示します。
証拠がなく、委託業務と質問が対応していないと、確認したことになりません。
事故後にログ提出や調査協力を求めても、契約根拠や保存ログがないことがあります。
個人データだけ、技術項目だけを見ると、本番接続や越境移転を見落としやすくなります。
DPA、サブプロセッサ、SLA、ログ、削除、通知、責任制限、解約条件の読み込みが不足します。
契約締結時の審査があっても、削除・返却確認がないと情報が残存します。
実装は一度に完成させるより、段階を分ける方が現実的です。次の時系列は、初期段階、整備段階、高度化段階の順に、何を整えるかを示しています。左の段階名から順に、見える化、標準化、継続監視・経営報告へ進む流れを読み取ってください。
契約書、支払先、SaaS利用、購買台帳を突合し、個人データ、営業秘密、本番環境、基幹業務に関わる委託先を抽出します。高リスク委託先の契約条項、事故連絡先、契約終了済みなのに残るアカウント・データを確認します。
委託先管理規程、リスク階層、質問票、標準セキュリティ条項、DPA、再委託条項、事故通知条項、例外承認手順を整備し、高リスク委託先から年次レビューを始めます。
KRIを経営会議またはリスク委員会へ報告し、委託先インシデント訓練、重要委託先とのレビュー会議、外部ニュース・脆弱性情報の監視、調達プロセスへの費用協議、内部監査を進めます。
委託先のセキュリティ水準評価の実務は、IT部門のチェックリスト業務だけではありません。個人情報保護法上の委託先監督、契約法務、サイバーセキュリティ、サプライチェーン管理、内部統制、取引適正化、危機管理を横断する企業法務上の重要テーマです。委託元は、何のデータを、どの業務で、どのシステムにより、どの国で、誰が、どの再委託先を使って処理するのかを把握し、リスク階層に応じて証拠を確認し、ギャップを是正し、契約に反映し、残余リスクを承認し、契約期間中と終了時まで監視する必要があります。
優れた委託先評価とは、委託先を排除するための審査ではなく、委託元と委託先が相互にリスクを理解し、必要な統制を契約と運用に落とし込み、事故時にも説明できる状態を作ることです。法務、プライバシー、情報セキュリティ、購買、事業部、内部監査、経営層が専門性を持ち寄ることで、企業の信頼を支えるガバナンス基盤になります。