2σ Guide

委託先セキュリティ監査の
実施方法

委託先セキュリティ監査は、委託元が預けた情報と業務のリスクを把握し、合理的な契約と証拠確認で説明可能な水準まで管理するための実務です。

9段階台帳から終了時監査まで
10〜20社90日で試行する上位委託先
5段階指摘分類の重要度
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

委託先セキュリティ監査の 実施方法

委託先セキュリティ監査は、委託元が預けた情報と業務のリスクを把握し、合理的な契約と証拠確認で説明可能な水準まで管理するための実務です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
委託先セキュリティ監査の 実施方法
委託先セキュリティ監査は、委託元が預けた情報と業務のリスクを把握し、合理的な契約と証拠確認で説明可能な水準まで管理するための実務です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 委託先セキュリティ監査の 実施方法
  • 委託先セキュリティ監査は、委託元が預けた情報と業務のリスクを把握し、合理的な契約と証拠確認で説明可能な水準まで管理するための実務です。

POINT 1

  • 委託先セキュリティ監査 ― 全体像
  • 監査を疑う儀式ではなく、リスクを説明可能にする統制プロセスとして整理します。
  • 中心命題は「説明可能なリスク管理」です
  • 次の重要ポイントは、委託先監査を一度の点検ではなく継続的な統制プロセスとして見る考え方を整理したものです。
  • 読者にとって重要なのは、委託先とともにリスクを下げ、説明可能な状態を作ることを読み取ることです。

POINT 2

  • 委託先セキュリティ監査とは何か
  • 1. リスクと取扱情報を把握します:委託先台帳、取扱データ、再委託、クラウド、アクセス権限、事故歴を確認します。
  • 2. 監査権と安全管理を契約に落とします:資料提出、事故通知、再委託、データ消去、損害賠償、解除、協力義務を具体化します。
  • 3. 証跡を確認し改善を追跡します:質問票、証跡レビュー、インタビュー、現地確認、指摘分類、CAPAを管理します。
  • 4. 返却・消去・権限削除を確認します:本番、バックアップ、ログ、媒体、再委託先、アカウント、APIキーの残存を確認します。

POINT 3

  • 委託先セキュリティ監査 ― なぜ企業法務の問題なのか
  • 契約、個人情報保護、事故時説明、リスク受容、証拠化が法務課題になります。
  • 監査権と資料提出を具体化します
  • 委託先監督が問題になります
  • 委託元にも説明責任があります

POINT 4

  • 委託先セキュリティ監査 ― 法令・標準・公的ガイドラインの基礎
  • 法令、公的ガイドライン、国際標準、第三者保証を監査基準へ落とし込みます。
  • 3.1 個人情報保護法と委託先監督
  • 3.2 安全管理措置の分類
  • 3.3 経済産業省・IPAのサイバーセキュリティ経営ガイドライン

POINT 5

  • 委託先セキュリティ監査の全体像
  • 1. 委託先台帳で対象を把握します:取扱情報、情報量、アクセス形態、データ所在、再委託、認証、契約条項を整理します。
  • 2. リスクランクを判定します:大量個人データ、基幹業務、管理者権限、多層再委託、重大事故歴があるほど監査を厚くします。
  • 3. 証跡レビュー・面談・現地確認を検討します:詳細質問票、ログ、アクセスレビュー、現地確認、経営報告を組み合わせます。
  • 4. 簡易確認と契約管理を中心にします:簡易質問票、認証確認、契約条項確認、台帳更新を中心にします。

POINT 6

  • 委託先セキュリティ監査 ― 監査体制 ― 誰が何を担うべきか
  • 実務で確認すべき要点を、手順・比較・注意点に分けて整理します。
  • 5.1 三線モデルで役割を整理する
  • 5.2 専門職ごとの視点
  • 読者にとって重要なのは、同じ資料でも担当ごとに着眼点が異なるため、役割と成果物を明確にすることを読み取ることです。

POINT 7

  • 委託先セキュリティ監査 ― 委託先リスク分類の設計
  • 委託先台帳、リスクスコア、監査頻度を一体で設計します。
  • 6.1 まず委託先台帳を作る
  • 6.2 リスクスコアリングの例
  • 6.3 監査頻度の例

POINT 8

  • 委託先セキュリティ監査 ― 契約前デューデリジェンス
  • 責任者が不明
  • 事故時の責任所在が分からず、改善が遅れるリスクがあります。
  • 再委託先を開示できない
  • 多層委託、海外移転、責任追及困難のリスクがあります。

まとめ

  • 委託先セキュリティ監査の 実施方法
  • 委託先セキュリティ監査 ― 全体像:監査を疑う儀式ではなく、リスクを説明可能にする統制プロセスとして整理します。
  • 委託先セキュリティ監査とは何か:監査、評価、点検、デューデリジェンスを区別し、証拠に基づく活動として理解します。
  • 委託先セキュリティ監査 ― なぜ企業法務の問題なのか:契約、個人情報保護、事故時説明、リスク受容、証拠化が法務課題になります。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

委託先セキュリティ監査 ― 全体像

監査を疑う儀式ではなく、リスクを説明可能にする統制プロセスとして整理します。

次の重要ポイントは、委託先監査を一度の点検ではなく継続的な統制プロセスとして見る考え方を整理したものです。読者にとって重要なのは、委託先とともにリスクを下げ、説明可能な状態を作ることを読み取ることです。

中心命題は「説明可能なリスク管理」です

委託先セキュリティ監査は、委託元が自社のリスクを説明可能にし、委託先とともにリスクを下げるための統制プロセスです。

企業活動の外部委託化、クラウドサービス利用、SaaS利用、BPO、システム運用委託、データ分析委託、コールセンター委託、開発委託、保守委託、物流委託、バックオフィス業務委託が進むほど、企業の重要情報は自社の管理領域だけで完結しなくなります。情報漏えい、ランサムウェア、権限濫用、再委託先での事故、クラウド設定不備、ログ不足、退職者アカウント残存、委託終了後のデータ消去不備などは、もはや情報システム部門だけの問題ではありません。法務、経営、内部監査、個人情報保護、調達、事業部門、コンプライアンス、危機管理が共同で設計すべき企業統治上の課題です。

このページは、「委託先セキュリティ監査の実施方法」を、単なるチェックリストの羅列ではなく、委託先選定、契約、実査、証跡確認、改善要求、再委託管理、事故対応、委託終了時対応までを含む一連の保証活動として整理します。対象読者は一般の企業担当者を想定していますが、弁護士、企業内弁護士、外部弁護士、法務担当、内部監査担当、個人情報保護担当、コンプライアンス担当、公認会計士、IT・AI・データ法務担当、デジタルフォレンジック専門家、経営者、監査役等の視点を統合し、実務上そのまま監査計画や契約条項に落とし込める水準を目指します。

このページの中心命題は明確です。委託先セキュリティ監査は、「委託先を疑うための儀式」ではなく、「委託元が自社のリスクを説明可能にし、委託先とともにリスクを下げるための統制プロセス」です。

Section 01

委託先セキュリティ監査 ― このページの前提と注意点

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

このページは、企業法務・情報セキュリティ・内部監査の実務に資する一般的解説であり、個別事案についての法的助言ではありません。実際の契約、監査、当局対応、インシデント対応、訴訟対応では、業種、取扱情報、契約構造、海外移転、再委託、規制当局の監督指針、被害範囲、証拠状況によって結論が変わり得る。重要案件では、弁護士、情報セキュリティ専門家、内部監査専門家、必要に応じて公認会計士、フォレンジック専門家、業界規制に詳しい専門家と協議する必要があります。

また、セキュリティ基準、個人情報保護法制、クラウド評価制度、ISO・NIST等の標準は更新される。委託先監査の実務では、監査基準書やチェックリストの末尾に「参照基準の確認日」を記録し、少なくとも年1回は更新確認を行うべきです。

Section 02

委託先セキュリティ監査とは何か

監査、評価、点検、デューデリジェンスを区別し、証拠に基づく活動として理解します。

次の時系列は、委託先監査を契約前から終了時まで一体化して見る考え方を整理したものです。読者にとって重要なのは、選定、契約、監査、是正、終了確認がつながることを読み取ることです。

選定前

リスクと取扱情報を把握します

委託先台帳、取扱データ、再委託、クラウド、アクセス権限、事故歴を確認します。

契約時

監査権と安全管理を契約に落とします

資料提出、事故通知、再委託、データ消去、損害賠償、解除、協力義務を具体化します。

運用中

証跡を確認し改善を追跡します

質問票、証跡レビュー、インタビュー、現地確認、指摘分類、CAPAを管理します。

終了時

返却・消去・権限削除を確認します

本番、バックアップ、ログ、媒体、再委託先、アカウント、APIキーの残存を確認します。

1.1 定義

委託先セキュリティ監査とは、委託元が、委託先に預ける情報、委託先に許すシステムアクセス、委託先が担う業務、委託先の再委託構造、委託先が利用するクラウド・拠点・人員・運用プロセスについて、契約上・法令上・社内規程上・リスク管理上求められるセキュリティ管理策が設計され、実施され、有効に機能しているかを、証拠に基づき確認する活動です。

ここでいう「監査」は、必ずしも公認会計士監査や第三者認証審査のような法定・制度上の監査だけを意味しません。企業実務では、次の活動を総称して委託先セキュリティ監査と呼ぶことが多いです。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

活動概要主な実施時点
事前評価契約前に、委託先のセキュリティ体制、認証、事故歴、再委託、データ所在を確認する委託先選定時
セキュリティ質問票委託先に統制状況を自己申告させ、必要に応じて証跡を提出させる契約前・年次
証跡レビュー規程、ログ、脆弱性診断結果、教育記録、アクセスレビュー記録、BCP訓練記録などを確認する定期・臨時
リモート監査Web会議、画面共有、証跡提出、質疑で確認する定期・リスク発生時
現地監査委託先拠点、データセンター、作業区域、媒体管理、入退室管理等を確認する高リスク委託先・重大委託
第三者保証の利用ISO/IEC 27001、SOC 2、ISMAP、プライバシーマーク等を補助証拠として使う継続評価
改善フォロー監査指摘に対し是正計画、期限、責任者、再確認を管理する監査後
委託終了時確認データ返却・消去、アカウント削除、媒体廃棄、再委託先消去を確認する契約終了時

1.2 監査、評価、点検、デューデリジェンスの違い

一般読者にとって分かりにくいのは、「監査」「評価」「点検」「デューデリジェンス」が混同される点です。実務上は以下のように整理するとよいです。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

用語分かりやすい意味証拠水準典型例
点検決められた項目を満たしているかを簡易確認する低〜中年次チェックシート
評価リスクや成熟度を判定する委託先リスクスコアリング
デューデリジェンス契約・投資・委託開始前に重要リスクを調べる中〜高新規SaaS導入前の審査
監査基準に対する適合性と有効性を、証拠に基づいて確認する中〜高証跡レビュー、現地監査、監査報告書

委託先セキュリティ監査の目的は、「委託先の全活動を完全に把握すること」ではありません。それは現実的に不可能であり、むしろ過剰監査となって委託先との関係を悪化させる。目的は、委託先に起因する自社の重要リスクを、合理的な範囲で識別し、低減し、説明可能にすることです。

Section 04

委託先セキュリティ監査 ― 法令・標準・公的ガイドラインの基礎

法令、公的ガイドライン、国際標準、第三者保証を監査基準へ落とし込みます。

3.1 個人情報保護法と委託先監督

個人情報保護法上、「個人データ」とは個人情報データベース等を構成する個人情報を指します。委託先に個人データの入力、編集、分析、保管、出力、配送、コールセンター対応、システム運用等を行わせる場合、委託元は委託先の安全管理状況を無視できません。個人情報保護委員会の通則ガイドラインは、委託先監督について、少なくとも次の3要素を実務の柱として示しています。

  1. 適切な委託先の選定。委託する業務内容に照らして、委託先の安全管理措置が必要な水準を満たすかを事前に確認します。
  2. 委託契約の締結。委託先で講じる安全管理措置、委託元が取扱状況を合理的に把握できる仕組みを契約に盛り込む。
  3. 委託先における個人データ取扱状況の把握。定期監査等により契約内容の実施状況を確認し、必要に応じて委託内容や管理方法を見直す。

この3要素は、個人データに限らず、営業秘密、技術情報、顧客情報、認証情報、ソースコード、設計図、研究データ、決済情報、役職員情報、M&A関連資料、インサイダー情報を委託先が扱う場合にも、そのまま実務原則として応用できます。

3.2 安全管理措置の分類

個人情報保護委員会の通則ガイドラインは、安全管理措置として、組織的、人的、物理的、技術的な管理措置等を示しています。例えば、組織的安全管理措置には体制整備、取扱規律に従った運用、取扱状況確認、漏えい等対応体制が含まれます。技術的安全管理措置にはアクセス制御、アクセス者の識別と認証、不正アクセス等の防止、情報システム利用に伴う漏えい等防止が含まれます。

委託先監査では、この分類をそのまま質問票や監査調書の構造にすることができます。すなわち、委託先に対し、「組織」「人」「施設・媒体」「システム」「外部環境」「再委託」「インシデント対応」という観点で確認します。

3.3 経済産業省・IPAのサイバーセキュリティ経営ガイドライン

経済産業省は、サイバーセキュリティ経営ガイドラインと支援ツールを公開しており、IPAは同ガイドラインの重要項目を実践するためのプラクティス集を公開しています。IPAのプラクティス集は、サイバーセキュリティ経営ガイドラインVer.3.0の重要10項目の実践に必要な考え方や実施手順等を、国内の実践事例に基づいて整理する資料です。

特に、委託先を含むサプライチェーン全体の対策と状況把握は、経営者がリスクとして認識すべき領域です。委託先監査を単発の法務チェックではなく、経営リスク管理として位置付けることが重要です。

3.4 中小企業向けIPAガイドラインと比例原則

IPAの「中小企業の情報セキュリティ対策ガイドライン」は、経営者が認識し実施すべき指針と、社内で対策を実践する手順・手法をまとめた資料です。第4.0版では最新の環境変化を踏まえ、基本構成を維持しつつ見直しが行われています。

中小企業や小規模委託先に対して、大企業向けの数百項目の質問票をそのまま送付すると、実務負担が過剰になり、実質的なリスク低減につながりません。委託先セキュリティ監査では、委託先の規模、委託業務、データ種類、アクセス権限、代替可能性に応じて、確認項目を階層化する比例原則が必要です。

3.5 サプライチェーン強化に向けたセキュリティ対策評価制度

IPAは、サプライチェーン強化に向けたセキュリティ対策評価制度を公表しています。同制度は、委託元からは委託先のセキュリティ対策が可視化しづらく、委託先からは複数の委託元から多様な要求事項を求められ負担が大きいという課題を背景とし、二社間取引で委託元が委託先に適切な段階を提示し、実施状況を確認することを想定しています。

この考え方は、委託先監査の設計に重要です。委託元ごとに独自の過剰質問票を乱発するのではなく、共通基準、段階評価、認証・第三者保証の活用、標準契約条項を組み合わせ、サプライチェーン全体の効率性を高めるべきです。

3.6 NIST CSF 2.0とサプライチェーンリスク管理

NIST Cybersecurity Framework 2.0は、従来のIdentify、Protect、Detect、Respond、Recoverに加え、Govern機能を明確に位置付けています。Governには、組織のサイバーセキュリティ戦略、役割、責任、方針、監督、そしてサプライチェーンリスク管理が含まれます。

特にGV.SC、すなわちCybersecurity Supply Chain Risk Managementでは、サプライヤーを重要度で把握・優先順位付けすること、契約等にリスク対応要求を統合すること、取引開始前のデューデリジェンスを行うこと、取引期間中にリスクを評価・監視すること、インシデント対応や契約終了後の活動も計画に含めることが示されています。これは、委託先セキュリティ監査の実施方法を国際的なリスク管理の文脈で説明する際に有用です。

また、NIST SP 800-161 Rev.1は、サイバーセキュリティ・サプライチェーン・リスク管理を、組織全体のリスク管理活動に統合するためのガイダンスを提供しています。製品・サービスの取得、開発、統合、展開における可視性不足や供給網由来の脆弱性・品質・完全性リスクを扱う点で、委託先管理の理論的支柱になります。

3.7 ISO 19011、ISO/IEC 27001、ISO/IEC 27036

ISO 19011:2026は、マネジメントシステム監査の指針を示す国際標準であり、監査プログラム管理、監査の計画・実施、監査員の力量評価等の共通枠組みを提供します。ただし、ISO 19011自体は認証規格ではありません。委託先セキュリティ監査では、監査計画、監査証拠、監査員の独立性・力量、報告、フォローアップの基本設計に活用できます。

ISO/IEC 27001:2022は、情報セキュリティマネジメントシステム、すなわちISMSの要求事項を定める国際標準です。組織が情報セキュリティリスクを管理する仕組みを整備・運用・改善するための要求事項を示す。委託先がISO/IEC 27001認証を取得していることは重要な補助情報ですが、委託業務の範囲が認証範囲に含まれているか、直近の審査で重大な不適合がないか、自社委託業務の特殊リスクに対応しているかを確認する必要があります。

ISO/IEC 27036-3:2023は、ハードウェア、ソフトウェア、サービスのサプライチェーンセキュリティに関し、調達者と供給者の双方に向けたガイダンスを提供します。物理的に分散し、多層化した供給網に起因する情報セキュリティリスクの可視化と管理を扱うため、再委託やクラウド利用を含む委託先監査に適しています。

3.8 ISMAP、SOC、プライバシーマーク等の位置付け

クラウドサービスについては、ISMAPが重要な参照制度となります。国家サイバー統括室の説明によれば、ISMAPはクラウドサービスに対して要求すべき情報セキュリティ管理・運用基準を定め、情報セキュリティ監査の枠組みに基づき第三者監査を経て、基準に基づいた対策を実施していることが確認されたクラウドサービスをリストに登録する制度です。政府機関等は原則としてリスト掲載サービスから調達し、民間でも参照が期待されます。

SOC報告書は、外部委託サービスに関連するリスクを評価・対応するための保証情報として利用できます。AICPAは、SOCの各種サービスが、アウトソーシングサービスに関連するリスクの評価・対応に必要な情報を利用者に提供する保証報告ですと説明しています。

プライバシーマークは、事業者の個人情報を取り扱う仕組みと運用の適切性を評価し、その証としてマーク使用を認める制度です。個人データを扱う委託先の評価資料として有用ですが、これも委託業務の範囲、事故歴、再委託、実際の統制運用を別途確認する必要があります。

Section 05

委託先セキュリティ監査の全体像

委託先台帳から事故・変更・終了時監査まで、段階的に設計します。

次の判断の流れは、リスクに応じて監査方法を変える考え方を整理したものです。読者にとって重要なのは、全委託先に同じ重い監査を行わず、重要度に応じて強弱を付けることを読み取ることです。

リスクベースで監査方法を決める確認順序

委託先台帳で対象を把握します

取扱情報、情報量、アクセス形態、データ所在、再委託、認証、契約条項を整理します。

リスクランクを判定します

大量個人データ、基幹業務、管理者権限、多層再委託、重大事故歴があるほど監査を厚くします。

高リスク
証跡レビュー・面談・現地確認を検討します

詳細質問票、ログ、アクセスレビュー、現地確認、経営報告を組み合わせます。

低リスク
簡易確認と契約管理を中心にします

簡易質問票、認証確認、契約条項確認、台帳更新を中心にします。

委託先セキュリティ監査の実施方法は、次の10段階で考えると実務化しやすい。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

段階名称主な成果物
0委託先台帳・情報資産台帳の整備委託先一覧、取扱データ一覧、再委託一覧
1リスク分類委託先リスクランク、監査頻度、監査方法
2監査基準の設定セキュリティ要求事項、質問票、証跡要求表
3契約前デューデリジェンス評価結果、条件付き承認、契約修正案
4契約・SLA・別紙の締結情報セキュリティ条項、監査権、事故通知条項
5オンボーディング確認アクセス権、環境分離、初期教育、連絡体制
6定期監査監査計画、調書、証跡、インタビュー記録
7監査報告指摘事項、リスク評価、是正要求、経営報告
8是正フォローCAPA、期限、再確認、リスク受容記録
9事故・変更・終了時監査臨時監査、データ消去証明、アカウント削除確認

重要なのは、監査を「年1回の質問票回収」で終わらせないことです。監査は委託ライフサイクルに埋め込む必要があります。契約前に確認し、契約で義務化し、運用中に証拠で確かめ、問題があれば改善させ、終了時に情報を回収・消去します。この流れが委託先監督の実効性を生みます。

Section 06

委託先セキュリティ監査 ― 監査体制 ― 誰が何を担うべきか

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

次の一覧は、専門職ごとの注目論点を整理したものです。読者にとって重要なのは、同じ資料でも担当ごとに着眼点が異なるため、役割と成果物を明確にすることを読み取ることです。

法務・外部専門家

委託先監督義務、契約条項、事故時責任、再委託、海外移転、証拠保全、紛争対応を見ます。

契約責任

個人情報保護担当

個人データ範囲、本人通知、委託先監督、越境移転、ポリシー整合性を見ます。

個人データ

情報セキュリティ担当

アクセス制御、脆弱性管理、ログ、暗号化、バックアップ、SOC連携を見ます。

技術統制

内部監査担当

監査計画、監査証拠、サンプリング、指摘分類、フォローアップ、経営報告を見ます。

独立評価

経営者・取締役

リスク受容、重要委託先承認、予算、人材、危機対応、説明責任を見ます。

経営判断

5.1 三線モデルで役割を整理する

委託先セキュリティ監査では、実務上、次の三線で役割を分けると混乱が少ないです。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

主体役割
第1線事業部門、委託主管部門、システム主管部門、調達部門委託の必要性、委託先選定、日常管理、一次点検、改善要求の実行
第2線法務、コンプライアンス、情報セキュリティ、個人情報保護、リスク管理基準策定、契約条項、質問票設計、リスク評価、承認、専門助言
第3線内部監査、監査役、監査等委員、監査委員委託先管理プロセス全体の有効性評価、独立的監査、経営への報告

第1線が委託先と最も近いです。したがって、委託先の日常運用や変更を把握しやすい。一方で、納期やコストを優先し、セキュリティリスクを過小評価する可能性もあります。第2線は基準と専門性を提供し、第3線は独立した視点でプロセス全体を見ます。

5.2 専門職ごとの視点

委託先セキュリティ監査は、単一職種では設計しきれません。主な専門職の視点は次のとおりです。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

専門職・担当注目すべき論点
弁護士・企業内弁護士委託先監督義務、契約条項、事故時責任、再委託、海外移転、証拠保全、紛争対応
外部弁護士高リスク案件、漏えい事故、当局報告、訴訟、M&A・事業譲渡に伴う委託先評価
法務担当標準契約、契約審査、監査権条項、秘密保持、データ返却・消去、解除条件
個人情報保護担当個人データ範囲、本人通知、委託先監督、越境移転、プライバシーポリシー整合性
情報セキュリティ担当アクセス制御、脆弱性管理、ログ、暗号化、バックアップ、ゼロトラスト、SOC連携
内部監査担当監査計画、監査証拠、サンプリング、指摘分類、フォローアップ、経営報告
公認会計士内部統制、SOC報告書の読み解き、財務報告影響、委託業務の統制依拠
デジタルフォレンジック専門家ログ保全、証拠保全、侵害調査、端末・メール・クラウド証跡の解析
調達・購買委託先選定、RFP、価格交渉、契約更新、取引停止時の代替先確保
経営者・取締役リスク受容、重要委託先の承認、予算、人材、危機対応、説明責任

実務では、すべての委託先に全専門家が関与する必要はありません。高リスク案件、個人データ大量処理、基幹システム運用、機密情報処理、海外再委託、AI学習データ利用、金融・医療・公共関連等の案件では、法務とセキュリティだけでなく、内部監査、経営、外部専門家の関与を検討します。

Section 07

委託先セキュリティ監査 ― 委託先リスク分類の設計

委託先台帳、リスクスコア、監査頻度を一体で設計します。

6.1 まず委託先台帳を作る

監査の出発点は、委託先台帳です。委託先台帳がなければ、どの委託先を監査すべきか、どの委託先が個人データを扱うか、どこに再委託があるか、委託終了後にデータが残っていないかを把握できません。

委託先台帳には、少なくとも次の項目を入れる。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

項目内容
委託先名法人名、サービス名、グループ会社名
委託主管部門自社側の責任部署・責任者
委託業務開発、運用、保守、BPO、コールセンター、物流、分析等
取扱情報個人データ、営業秘密、認証情報、財務情報、技術情報等
情報量件数、容量、対象者数、重要システム数
アクセス形態リモートアクセス、API、VPN、管理者権限、閲覧のみ等
データ所在国内、海外、クラウドリージョン、バックアップ所在地
再委託有無、再委託先名、再々委託の可能性
認証・保証ISO/IEC 27001、SOC 2、ISMAP、Pマーク等
契約条項監査権、事故通知、再委託制限、消去義務等の有無
直近評価リスクランク、監査日、指摘残、次回監査予定

台帳は法務部だけ、情報システム部だけ、調達部だけが持っていても不十分です。購買システム、契約管理システム、ID管理、資産台帳、個人データ取扱台帳、クラウド利用台帳と連携させるのが有益です。

6.2 リスクスコアリングの例

委託先リスクを点数化する場合、以下のような観点で評価できます。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

評価軸低リスク中リスク高リスク
情報の種類公開情報のみ社内情報・限定的個人データ要配慮情報、大量個人データ、営業秘密、認証情報
情報量少量中量大量・全社規模
業務重要度代替容易一部業務停止基幹業務停止、顧客影響大
アクセス権閲覧不可・限定閲覧業務アプリ利用管理者権限、ネットワーク接続、ソースコードアクセス
再委託なし国内再委託あり海外・多層再委託、不透明
クラウド利用なし・低影響一般SaaS重要データ保管、共同管理設定複雑
事故歴なし軽微事故あり重大事故、是正未完了
認証・保証十分一部不足なし、範囲不明、不適合あり
契約統制十分一部不足監査権なし、事故通知不明、消去条項なし

6.3 監査頻度の例

リスク分類に応じて、監査頻度と深度を変える。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

ランク推奨監査方法頻度
A ― 重大基幹システム運用、大量個人データ処理、管理者権限付与、重要クラウド詳細質問票、証跡レビュー、リモートまたは現地監査、経営報告年1回以上、重大変更時、事故時
B ― 高顧客情報取扱、開発委託、業務運用委託、重要SaaS質問票、証跡レビュー、必要に応じインタビュー年1回または2年に1回
C ― 中限定的な社内情報取扱、標準SaaS簡易質問票、認証確認、契約確認2〜3年に1回、更新時
D ― 低公開情報のみ、単純物品購入に近い委託契約上の基本条項、台帳管理必要時のみ

重要なのは、形式的に「全委託先を毎年同じ質問票で確認する」ことではありません。高リスク委託先に時間を使い、低リスク委託先は標準化・自動化します。これが監査資源の最適配分です。

Section 08

委託先セキュリティ監査 ― 契約前デューデリジェンス

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

次の一覧は、契約前に警戒すべきレッドフラグを整理したものです。読者にとって重要なのは、事故時に説明不能になりやすい項目を早めに見つけることを読み取ることです。

責任者が不明

事故時の責任所在が分からず、改善が遅れるリスクがあります。

再委託先を開示できない

多層委託、海外移転、責任追及困難のリスクがあります。

監査権を認めない

取扱状況を合理的に把握できないリスクがあります。

事故通知期限が長い

当局報告・顧客対応が遅れるリスクがあります。

ログ保存期間が短い

事故原因を調査できないリスクがあります。

退職者削除手順がない

不正アクセスや内部不正のリスクがあります。

環境分離がない

誤操作やデータ漏えいのリスクがあります。

復旧試験がない

ランサムウェア時に復旧できないリスクがあります。

7.1 RFP・見積依頼段階で確認する

委託先セキュリティ監査は、契約締結後に始めると遅いです。契約後に「監査に応じてください」「ログを出してください」「再委託先を開示してください」と求めても、契約上の根拠がなければ拒否または追加費用の対象になりやすい。したがって、RFP、見積依頼、提案依頼の段階で、セキュリティ要求事項を明示します。

RFPに入れるべき項目は次のとおりです。

  • 取扱情報の種類と想定件数
  • 個人データ、営業秘密、認証情報、決済情報の有無
  • データ保存場所、バックアップ場所、海外移転の有無
  • 再委託・再々委託の予定
  • 認証取得状況と認証範囲
  • 事故発生時の通知時間、連絡窓口、初動対応
  • ログ取得、保存期間、委託元への提供可否
  • 脆弱性診断、ペネトレーションテスト、パッチ管理
  • アクセス権限管理、多要素認証、特権ID管理
  • データ返却・消去方法、消去証明
  • 監査権、証跡提出、現地確認への対応可否
  • サービス終了時の移行支援

7.2 契約前質問票の構成

契約前質問票は、委託先の実態を把握するために用います。ただし、質問票だけを信用するだけでは足りません。高リスク委託先では、回答の根拠となる規程、運用記録、画面証跡、監査報告書、認証書、適用範囲文書を確認します。

標準的な質問票は次の構成にすると実務で使いやすくなります。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

区分主な質問
企業・体制セキュリティ責任者、組織図、内部監査、外部認証、事故対応体制
情報資産管理取扱情報の分類、保管場所、台帳、持出し制限
アクセス管理最小権限、入退社時削除、特権ID、多要素認証、定期棚卸
人的管理秘密保持、教育、委託業務従事者管理、退職者管理
物理管理入退室、作業区域、媒体保管、紙資料、廃棄
技術管理暗号化、ログ、脆弱性、マルウェア対策、EDR、ネットワーク分離
開発・保守セキュア開発、コードレビュー、テスト環境データ、変更管理
クラウド責任共有、設定管理、リージョン、監査ログ、鍵管理
インシデント通知基準、初動、報告様式、証拠保全、訓練
BCPバックアップ、復旧目標、DR訓練、ランサムウェア対応
再委託再委託先、承認、契約流れ、監査、再々委託
終了時対応データ返却、消去、媒体廃棄、アカウント削除、証明書

7.3 レッドフラグ

契約前に次の兆候がある場合、契約条件の強化、代替先検討、経営承認、追加監査を行うべきです。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

レッドフラグ典型的なリスク
セキュリティ責任者が不明事故時の責任所在不明、改善遅延
再委託先を開示できない多層委託、海外移転、責任追及困難
監査権を一切認めない取扱状況把握不能
事故通知期限が長すぎる当局報告・顧客対応遅延
データ所在が不明越境移転、法域リスク、消去不能
ログ保存期間が短い事故原因調査不能
退職者アカウント削除手順がない不正アクセス、内部不正
開発・本番環境が分離されていない誤操作、データ漏えい
個人情報をテスト環境に無加工で使用不要な個人データ利用、漏えい
バックアップ復旧試験なしランサムウェア時の復旧不能
Section 09

委託先セキュリティ監査 ― 契約条項の設計

監査権、セキュリティ別紙、事故通知、再委託条項を具体化します。

8.1 監査権条項は具体的に書く

「委託元は必要に応じて監査できる」とだけ書いても、実務では不十分です。監査の対象、方法、頻度、通知期間、費用負担、秘密保持、再委託先への監査、改善要求、重大事故時の臨時監査を定める必要があります。

契約条項の例は次のとおりです。

監査権条項例委託先は、委託業務に関して、委託元が合理的に必要と認める範囲で、情報セキュリティ、個人情報保護、秘密情報管理、再委託管理、インシデント対応、データ返却・消去に関する資料提出、質問への回答、リモート確認、現地確認その他の監査に協力します。

ただし、このような一般条項だけでは実効性が弱いです。別紙で以下を定めます。

  • 年次質問票の提出期限
  • 提出すべき証跡の種類
  • 現地監査の通知期間
  • 臨時監査の発動条件
  • 監査に要する通常費用と追加費用の負担
  • 監査で知得した委託先情報の秘密保持
  • セキュリティ上開示できない情報の代替確認方法
  • 指摘事項に対する是正計画提出期限
  • 重大不備時の新規データ提供停止、業務停止、解除

8.2 セキュリティ別紙に落とすべき事項

契約本文にすべてを書き込むと複雑になるため、「情報セキュリティ要求事項別紙」「個人情報取扱特約」「クラウド利用別紙」「再委託管理別紙」を設ける方法が有効です。

セキュリティ別紙には以下を含めます。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

条項内容
情報分類委託先が扱う情報の分類と禁止事項
利用目的制限委託業務以外の利用禁止、学習データ利用禁止または条件化
アクセス制御最小権限、多要素認証、特権ID管理、共有ID禁止
暗号化保存時・通信時暗号化、鍵管理、媒体暗号化
ログ取得対象、保存期間、改ざん防止、提出・閲覧条件
脆弱性管理診断、パッチ適用、重大脆弱性通知、修正期限
マルウェア対策EDR、アンチマルウェア、監視、隔離
開発管理セキュア開発、コードレビュー、秘密情報のリポジトリ管理
テストデータ本番個人データの利用制限、匿名化・マスキング
物理管理入退室、媒体管理、紙資料廃棄
人的管理教育、秘密保持、退職者対応
再委託事前承認、流れダウン、再委託先監査
事故通知通知期限、通知事項、証拠保全、協力義務
BCPバックアップ、復旧時間、代替手段、訓練
変更管理重要変更の事前通知、セキュリティ影響評価
終了時返却、消去、廃棄証明、アカウント削除

8.3 事故通知条項

事故通知条項は、単に「速やかに通知する」と書くだけでは足りません。次の事項を定めます。

  • 何を事故とするか。漏えい、滅失、毀損、不正アクセス、マルウェア感染、ランサムウェア、誤送信、権限逸脱、ログ改ざん、再委託先事故を含めます。
  • いつ通知するか。認知後何時間以内の初報、何日以内の続報、最終報告の期限。
  • 誰に通知するか。24時間連絡先、法務、情報セキュリティ、個人情報保護窓口。
  • 何を通知するか。発生日時、発覚日時、対象情報、件数、原因、範囲、影響、初動措置、再発防止、本人・当局対応状況。
  • 証拠保全。ログ、端末、メール、アクセス履歴、設定変更履歴、通信記録を保全します。
  • 公表・本人通知・当局報告の調整。委託元の承認なく一方的に公表しません。ただし、ただし法令上必要な対応を妨げません。

個人データ漏えい時は、委託元・委託先の双方が迅速に連携する体制が必要です。個人情報保護委員会は、委託先で漏えい等事案が発生した場合、委託先から速やかに報告を受け、委託元としても迅速かつ適切に対応する必要がありますとしています。

8.4 再委託条項

再委託は委託先監査の盲点です。委託元から見れば委託先Aに出したつもりでも、実際の処理が再委託先B、海外開発会社C、クラウドD、サポート会社Eで行われていることがあります。再委託条項では、少なくとも以下を定めます。

  • 再委託の事前承認または事前通知
  • 再委託先名、所在地、業務範囲、取扱情報、再委託理由
  • 再委託先への同等義務の流れダウン
  • 再委託先の監査または証跡提出
  • 再々委託の制限
  • 再委託先事故時の委託先責任
  • 委託終了時の再委託先データ消去
  • 再委託先変更時の事前通知

個人情報保護委員会の通則ガイドラインも、再委託について、委託元が再委託相手、業務内容、取扱方法等について事前報告または承認を受け、必要に応じて監査等により確認することが望ましいとしています。

Section 10

委託先セキュリティ監査 ― 監査計画の作り方

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

9.1 監査目的を明確にする

監査計画書の冒頭では、監査目的を明確にします。目的が曖昧だと、質問が過剰になり、証拠収集が散漫になり、委託先との交渉も難しくなります。

目的の例は次のとおりです。

  • 個人データの委託先監督義務を履行するため
  • 契約上のセキュリティ要求事項の遵守状況を確認するため
  • 委託先で発生した重大変更の影響を確認するため
  • 新規クラウドサービス導入前のリスクを評価するため
  • 監査役・内部監査計画に基づき重要委託先管理の有効性を評価するため
  • インシデント後の再発防止策の実施状況を確認するため

9.2 監査範囲を定める

監査範囲は、次の5つを明確にします。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

範囲
組織範囲委託先本社、開発拠点、運用拠点、再委託先、データセンター
業務範囲顧客データ入力、システム保守、SaaS運用、コールセンター等
システム範囲本番環境、管理画面、リポジトリ、ログ基盤、バックアップ
情報範囲個人データ、秘密情報、認証情報、ソースコード、紙資料
期間範囲直近12か月、前回監査以降、事故発生日から現在まで

範囲を定めない監査は失敗しやすい。例えば、委託先がISO/IEC 27001認証を持っていても、自社業務を処理する海外拠点やSaaS運用チームが認証範囲外であれば、証拠としての価値は限定的です。

9.3 監査基準を定める

監査基準とは、何に照らして適合・不適合を判断するかです。基準には以下があります。

  • 契約本文、セキュリティ別紙、個人情報取扱特約
  • 自社の委託先管理規程、情報セキュリティ規程、個人情報保護規程
  • 個人情報保護法および個人情報保護委員会ガイドライン
  • 経済産業省・IPAのガイドライン
  • ISO/IEC 27001、ISO 19011、ISO/IEC 27036、NIST CSF、NIST SP 800-161等
  • 業界規制、監督指針、顧客契約上の要求
  • 委託先の自社規程、サービス仕様、SLA、ホワイトペーパー

基準が複数ある場合は、優先順位を決める。例えば、契約上の要求が最も直接的であり、法令要求は最低限守るべき義務であり、NISTやISOは設計上の参照基準です。

9.4 監査方法を選ぶ

監査方法は、リスクと委託先負担のバランスで選ぶ。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

方法長所限界適した場面
質問票低コスト、多数委託先に展開可能自己申告に依存低〜中リスク、年次確認
証跡レビュー客観性が上がる証跡の真正性・範囲確認が必要中〜高リスク
インタビュー実態を把握しやすい発言証拠に偏る運用確認、疑義解消
画面共有設定やログを確認しやすいスクリーンショット制限、機密情報配慮SaaS、クラウド、ID管理
現地監査物理・人・運用を直接確認費用・調整負担大高リスク、重大委託、事故後
第三者保証の利用効率的、専門監査済み範囲・時点・例外確認が必要標準クラウド、成熟委託先
Section 11

委託先セキュリティ監査 ― 監査証拠の見方

規程、記録、ログ、第三者報告を証拠としてどう見るかを確認します。

10.1 証拠の種類

監査証拠は、強さが異なります。一般に、口頭説明よりも文書、文書よりも運用記録、運用記録よりもシステムから直接取得したログや設定の方が強い。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

証拠留意点
方針・規程情報セキュリティ規程、個人情報保護規程作られているだけでは不十分
手順書アカウント発行手順、事故対応手順実際に使われているか確認
記録教育記録、アクセスレビュー記録、変更承認日付、対象、承認者、例外対応を見る
システム証跡IAM設定、ログ、脆弱性スキャン結果取得時点、範囲、改ざん防止を確認
第三者報告ISO審査報告、SOC 2、脆弱性診断報告範囲、時点、例外、補完統制を確認
観察入退室、媒体保管、作業区域監査日に限った一時的対応に注意
再実施権限付与・削除手順のサンプル確認サンプル選定の妥当性が重要

10.2 証跡提出依頼リスト

高リスク委託先に対しては、次の証跡を求めることがあります。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

分野証跡例
組織セキュリティ組織図、責任者任命記録、委員会議事録
規程情報セキュリティ規程、個人情報保護規程、委託管理規程
教育年次教育資料、受講記録、未受講者フォロー
アクセスアカウント一覧、権限承認記録、退職者削除記録、特権ID棚卸
ログログ取得設定、保存期間、監視アラート、ログレビュー記録
脆弱性診断報告、パッチ適用記録、重大脆弱性対応記録
変更管理変更申請、承認、リリース記録、ロールバック手順
バックアップバックアップ設定、復旧テスト結果、保管場所
インシデント事故対応手順、訓練記録、過去事故一覧、是正記録
再委託再委託先一覧、契約条項、再委託先評価記録
物理入退室ルール、入退室ログ、媒体廃棄証明
終了時データ消去証明、アカウント削除証跡、媒体返却記録

委託先が機密性を理由に証跡提出を拒む場合は、代替手段を用います。例えば、画面共有で設定を確認する、マスキングした証跡を提出させる、第三者監査報告書の該当部分だけを確認する、NDAを締結した上で限定閲覧する、監査人だけが閲覧し委託元には結果のみ報告する、といった方法があります。

Section 12

委託先セキュリティ監査 ― 監査項目の詳細

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

11.1 ガバナンス

確認すべき事項は次のとおりです。

  • 情報セキュリティ責任者が任命されているか
  • 経営層に報告する仕組みがあるか
  • 情報セキュリティ方針が承認され、周知されているか
  • リスクアセスメントが定期的に行われているか
  • 内部監査または自己点検が行われているか
  • 監査指摘の是正が追跡されているか
  • 委託元別のセキュリティ要求を管理しているか

典型的な不備は、規程だけが存在し、実施記録がないことです。監査では「方針があるか」ではなく、「方針が誰に、いつ、どう適用され、違反時にどう対応したか」を見ます。

11.2 情報資産管理

確認事項は次のとおりです。

  • 委託元から受領する情報を識別しているか
  • 個人データ、営業秘密、機密情報、認証情報を分類しているか
  • 情報の保管場所、複製先、バックアップ先を把握しているか
  • 紙、媒体、クラウド、ローカル端末の保管ルールがあるか
  • 不要な情報を受領しない、保存しない、複製しない仕組みがあるか
  • 委託終了時に返却・消去できるか

個人情報保護委員会の通則ガイドラインは、委託業務に必要のない個人データを提供しないことを前提に、リスクに応じた必要かつ適切な措置を求めています。

11.3 アクセス管理

アクセス管理は、多くの事故の中心です。確認事項は次のとおりです。

  • アクセス権限は職務に必要な範囲に限定されているか
  • 権限申請・承認・付与・変更・削除の手順があるか
  • 入社、異動、退職、委託業務終了時にアカウントを削除しているか
  • 特権IDは個人別に管理され、共有IDが禁止または制限されているか
  • 多要素認証が利用されているか
  • 定期的なアクセスレビューが行われているか
  • リモートアクセスはVPN、ゼロトラスト、端末制御等で管理されているか
  • APIキー、秘密鍵、トークン、サービスアカウントが棚卸されているか

証跡としては、アカウント一覧、権限承認記録、退職者サンプルの削除記録、特権ID利用ログ、MFA設定画面、アクセスレビュー記録を確認します。

11.4 ログ・監視

ログは事故調査の生命線です。確認事項は次のとおりです。

  • どのログを取得しているか
  • 誰がログを見るか
  • ログ保存期間は委託元の調査・報告義務に足りるか
  • ログは改ざん防止されているか
  • 異常ログは監視されているか
  • 委託元にログを提供できるか
  • クラウドの管理操作ログ、データアクセスログ、認証ログを取得しているか
  • 再委託先やクラウドプロバイダのログ取得範囲を把握しているか

契約でログ提供権限を確保していないと、事故時に原因究明が遅れます。ログの保存期間は、法令上の報告期限、顧客対応、侵害調査に必要な期間を考慮します。

11.5 脆弱性管理

確認事項は次のとおりです。

  • 脆弱性情報の収集体制があるか
  • OS、ミドルウェア、アプリ、ライブラリ、コンテナ、クラウド設定を管理しているか
  • 重大脆弱性の適用期限が定められているか
  • 脆弱性診断やペネトレーションテストを実施しているか
  • 診断で見つかった不備を期限管理しているか
  • SBOM、OSS管理、ライセンス管理を行っているか
  • 開発委託ではコードレビュー、SAST、DAST、依存関係スキャンを行っているか

開発委託の場合、成果物納品時のセキュリティ検査だけでなく、開発プロセス自体の安全性が重要です。ソースコードリポジトリ、CI/CD、秘密情報の混入、レビュー権限、ブランチ保護、デプロイ承認を確認します。

11.6 クラウド・SaaS利用

クラウドでは責任共有モデルを理解する必要があります。委託先がSaaSを使って自社データを処理する場合、委託元、委託先、SaaS事業者、クラウド基盤事業者の責任境界を確認します。

確認事項は次のとおりです。

  • 利用クラウド・SaaS名、契約主体、データ所在、リージョン
  • ISMAP、ISO/IEC 27001、SOC 2等の保証情報
  • 管理者権限、SSO、MFA、ログ、バックアップ
  • 外部共有リンク、公開設定、API連携、サードパーティアプリ
  • データ暗号化、鍵管理、BYOKまたはKMS利用
  • テナント分離、顧客別環境分離
  • サービス停止時の代替策
  • 解約時のデータエクスポート・消去

ISMAP対象クラウドの場合、ISMAPリスト掲載は有力な補助証拠になります。ただし、委託先による設定不備、ユーザー権限管理、ログ監視、データ分類は利用者側責任として残ることがあります。

11.7 物理的管理

物理的管理は、クラウド時代でも不要になりません。委託先が紙資料、外部媒体、作業端末、コールセンター、BPO拠点を持つ場合、物理的管理は重要です。

確認事項は次のとおりです。

  • 作業区域と一般区域が分離されているか
  • 入退室ログがあるか
  • 来訪者管理があるか
  • 紙資料の印刷、持出し、保管、廃棄ルールがあるか
  • 外部記録媒体の利用制限があるか
  • 端末の盗難防止、画面覗き見防止、クリアデスクがあるか
  • コールセンターでメモ、スマートフォン持込、録音データを管理しているか

個人情報保護委員会の通則ガイドラインも、個人データを取り扱う区域管理、機器・電子媒体等の盗難・紛失防止、持ち運び時の漏えい防止を物理的安全管理措置として示しています。

11.8 人的管理

人的管理では、委託先従業者、派遣社員、業務委託者、再委託先要員を含めて見ます。

確認事項は次のとおりです。

  • 秘密保持義務が就業規則、雇用契約、業務委託契約に入っているか
  • 委託元情報の取扱教育を実施しているか
  • 教育未受講者へのアクセス制限があるか
  • 退職時にアカウント、貸与物、媒体を回収しているか
  • 内部不正対策として権限分離、ログ監視、職務分掌があるか
  • 高リスク業務担当者の適格性確認があるか

人的管理は、単なる誓約書回収では不十分です。教育、権限、ログ、職務分掌、例外処理を組み合わせる。

11.9 インシデント対応

インシデント対応は、平時に確認する必要があります。事故後に連絡先を探すのでは遅いです。

確認事項は次のとおりです。

  • 事故対応規程、連絡網、エスカレーション基準があるか
  • 委託元別の通知義務を管理しているか
  • 初報テンプレートがあるか
  • ログ・端末・メール・クラウド証跡を保全できるか
  • ランサムウェア、誤送信、権限侵害、再委託先事故の手順があるか
  • 年1回以上訓練しているか
  • 委託元との共同訓練が可能か
  • 広報、法務、顧客対応、当局報告の役割分担があるか

監査では、過去事故の一覧、事故後レビュー、再発防止策の完了記録を見ます。事故が一度もないという回答より、軽微事故を適切に記録し改善している委託先の方が成熟している場合もあります。

11.10 BCP・バックアップ

委託先の業務停止は自社の業務停止に直結します。確認事項は次のとおりです。

  • RTO、RPOが定義されているか
  • バックアップが取得され、復旧試験されているか
  • バックアップがランサムウェアから隔離されているか
  • 代替拠点、代替要員、代替手順があるか
  • 重要SaaS停止時の手作業手順があるか
  • 委託元への障害通知基準があるか
  • BCP訓練結果と改善記録があるか

セキュリティ監査は機密性だけでなく、完全性と可用性も見る必要があります。特にランサムウェア対策では、バックアップの存在よりも、復旧できることの証拠が重要です。

Section 13

委託先セキュリティ監査 ― リモート監査と現地監査

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

次の時系列は、リモート監査の進め方を整理したものです。読者にとって重要なのは、Web会議の日だけではなく、事前資料、画面確認、事実確認、是正管理までを一連で扱うことを読み取ることです。

準備

監査通知と資料依頼を送ります

目的、範囲、基準、必要資料、面談者、提出期限を明示します。

事前確認

監査チームが証跡を読みます

提出資料をレビューし、不明点、追加証跡、面談事項を整理します。

当日

Web会議と画面共有で確認します

設定、ログ、権限、運用記録を必要に応じて画面で確認します。

事後

事実確認と是正計画を管理します

事実確認メモ、監査報告書、是正計画、期限、再確認日を管理します。

12.1 リモート監査の進め方

リモート監査は、クラウド時代の標準的手法です。次の流れで進めます。

  1. 監査通知を送付します。
  2. 監査目的、範囲、基準、必要資料、面談者を明示します。
  3. 委託先から事前資料を受領します。
  4. 監査チームが事前レビューを行います。
  5. Web会議でインタビューを行います。
  6. 必要に応じて画面共有で設定やログを確認します。
  7. 追加証跡を依頼します。
  8. 事実確認メモを委託先に確認させる。
  9. 監査報告書を作成します。
  10. 是正計画を受領し、期限管理します。

リモート監査では、画面共有時の録画可否、スクリーンショット可否、機密情報のマスキング、証跡の保管場所、アクセス権限をあらかじめ定めます。

12.2 現地監査が必要な場面

現地監査はコストが高いが、以下の場合は検討すべきです。

  • 大量の個人データや営業秘密を物理拠点で扱う
  • コールセンター、BPO、スキャンセンター、配送拠点など紙・人・端末の統制が重要
  • 前回監査で重大不備があった
  • 委託先事故が発生した
  • 再委託や海外拠点が不透明
  • 委託先が証跡提出に消極的
  • 規制当局、顧客、監査役から現地確認を求められている

現地監査では、入退室、作業区域、端末管理、紙資料、媒体、廃棄ボックス、監視カメラ、来訪者記録、教育掲示、クリアデスク、実際の作業手順を観察します。

12.3 現地監査のマナーと限界

委託先監査は、相手の事業運営に立ち入る活動です。監査権があるからといって、過度な要求をしてよいわけではありません。以下を守る。

  • 監査範囲を契約・リスクに照らして限定する
  • 他顧客情報を見ない
  • 委託先の営業秘密を不必要に取得しない
  • 監査員に守秘義務を負わせる
  • 撮影、録音、コピーの可否を事前確認する
  • セキュリティ上開示不能な情報は代替手段を協議する
  • 委託先業務を妨げない日程にする

良い監査は、委託先を追い詰めるものではなく、委託元・委託先双方にとって合理的な改善につながるものです。

Section 14

委託先セキュリティ監査 ― 指摘事項の分類と報告

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

13.1 指摘分類

監査指摘は、重要度を明確にします。分類例は次のとおりです。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

重要度定義対応期限例
Critical直ちに重大事故または法令違反につながるおそれ退職者アカウントが管理者権限で残存、大量個人データが公開状態即時〜7日
High重大事故につながる具体的リスクMFAなしで管理者画面アクセス、再委託先未承認30日
Medium統制不備があり改善が必要年次アクセスレビュー未実施、教育記録不備60〜90日
Low文書化・運用改善が望ましい手順書の更新日未記載、軽微な記録漏れ次回監査まで
Observation参考所見良好事例、将来リスク任意

13.2 監査報告書の構成

監査報告書は、専門家だけでなく経営層にも読まれる。以下の構成が有益です。

  1. 表紙。監査名、委託先名、監査日、監査チーム、機密区分。
  2. エグゼクティブサマリー。総合評価、重大指摘、経営判断事項。
  3. 監査目的、範囲、基準、方法。
  4. 委託業務の概要、取扱情報、再委託。
  5. 良好事項。
  6. 指摘事項一覧。
  7. 指摘詳細。事実、基準、リスク、推奨対応、期限、責任者。
  8. 未確認事項と制約。
  9. 委託先コメント。
  10. 是正計画とフォローアップ予定。

13.3 指摘の書き方

悪い指摘例は「アクセス管理が不十分です」です。これでは何を直すべきか分かりません。

良い指摘は、次の構造を持つ。

良い指摘例基準、事実、リスク、要求を分けて記載します。例えば、契約別紙が離任者のアクセス権削除を求めていること、2026年5月31日時点で離任者の本番管理画面閲覧権限が残っていたこと、不正閲覧や誤操作のリスクがあること、即時削除・直近12か月の棚卸・手順改定を期限付きで求めることを明確にします。
Section 15

委託先セキュリティ監査 ― 是正管理とリスク受容

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

14.1 CAPAを管理する

監査指摘は、出しただけでは意味がありません。CAPA、すなわち是正・予防措置を管理します。

CAPA台帳には以下を記録します。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

項目内容
指摘番号A-2026-001等
重要度Critical、High、Medium等
指摘内容事実とリスク
根本原因手順不備、教育不足、システム制約等
是正措置直接の修正
予防措置再発防止
責任者委託先責任者、自社確認者
期限合意期限
証跡修正画面、ログ、手順書、教育記録
ステータス未着手、進行中、完了、期限超過、受容
再確認日委託元確認日

14.2 リスク受容の手続

すべての指摘が直ちに解消されるわけではありません。例えば、システム改修に半年かかる、SaaS仕様上ログ保存期間を延長できない、現地監査が法域上制約される、といった場合があります。

その場合は、単に放置するのではなく、リスク受容手続を行います。リスク受容には次を記録します。

  • 受容するリスクの内容
  • 代替統制
  • 受容期間
  • 影響範囲
  • 委託元責任者
  • 承認者
  • 再評価日
  • 事故時の追加対応

高リスクの受容は、現場担当者だけで決めてはいけません。法務、セキュリティ、事業責任者、必要に応じて経営層が承認します。

Section 16

委託先セキュリティ監査 ― 委託終了時の監査

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

委託終了時は、事故が起きやすい。契約が終わると担当者の関心が薄れ、データ、アカウント、媒体、再委託先、バックアップが残ることがあります。

終了時確認項目は次のとおりです。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

項目確認内容
データ返却委託元指定形式で返却されたか
データ消去本番、バックアップ、ログ、媒体、紙、テスト環境から消去されたか
消去証明消去日、対象、方法、責任者、再委託先消去が記録されたか
アカウント削除委託先アカウント、APIキー、VPN、SaaS権限を削除したか
媒体返却・廃棄USB、HDD、紙資料、端末を返却・廃棄したか
再委託先再委託先にも返却・消去を実施させたか
残存義務秘密保持、事故協力、監査協力、損害賠償が存続するか
移行支援代替先への引継ぎで情報漏えいがないか

NIST CSF 2.0のサプライチェーンリスク管理でも、取引関係終了後の活動を計画に含めることが示されています。委託終了時監査は、契約ライフサイクルの最後ではなく、リスク管理上の重要工程です。

Section 17

委託先セキュリティ監査 ― よくある失敗と対策

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

次の一覧は、よくある失敗と対策を対応させたものを整理したものです。読者にとって重要なのは、書類はあるが運用証跡がない状態を避け、確認方法を証跡ベースに変えることを読み取ることです。

質問票だけで終える

高リスク委託先では証跡レビュー、面談、画面確認を組み合わせます。

認証を過信する

認証範囲、対象サービス、例外、不適合、補完統制、監査時点を確認します。

契約条項が使われない

監査権、事故通知、再委託、消去義務を運用手順と台帳に接続します。

再委託を見落とす

再委託先名、所在地、業務範囲、同等義務、再々委託、終了時消去を管理します。

ログが残らない

保存期間、取得対象、改ざん防止、委託元への提供可否を確認します。

終了時データが残る

消去証明、アカウント削除、媒体廃棄、バックアップ消去、再委託先消去を証跡化します。

16.1 質問票を集めるだけで満足する

質問票は入口であり、監査そのものではありません。高リスク委託先では、回答を裏付ける証跡を確認します。回答が「実施しています」ばかりで、日付、責任者、範囲、記録がない場合は、運用実態を追加確認します。

16.2 認証を過信する

ISO/IEC 27001、SOC 2、ISMAP、プライバシーマークは有用だが、万能ではありません。確認すべき点は次のとおりです。

  • 認証・報告の対象範囲に自社委託業務が含まれるか
  • 有効期限内か
  • 重大な不適合や例外がないか
  • 委託先の再委託先や利用クラウドが含まれるか
  • 自社固有要求、例えば特定ログ保存期間、事故通知期限、データ消去方式に対応しているか

16.3 契約条項が実務に落ちていない

契約書に厳しい条項を書いても、委託主管部門が知らなければ機能しません。契約条項、セキュリティ別紙、監査計画、委託先台帳、日常運用を連動させます。

16.4 再委託を見落とす

再委託先が実際にデータ処理をしているのに、委託元は委託先だけを監査していることがあります。再委託先一覧、再委託契約、再委託先監査、再々委託制限を確認します。

16.5 事故後にログがない

事故時にログがなければ、漏えい範囲、原因、攻撃経路、本人通知の要否を判断できません。平時にログ取得対象、保存期間、提供条件、保全手順を契約と監査で確認します。

16.6 委託終了時にデータが残る

委託終了後にデータが残存すると、契約終了後の漏えいリスクが残る。終了時チェックリストと消去証明を必ず運用します。

Section 18

委託先セキュリティ監査の実務テンプレート

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

17.1 監査通知メール例

件名 ― 情報セキュリティ監査へのご協力のお願い

○○株式会社 ○○部 ○○様

当社との○○業務委託契約および情報セキュリティ要求事項に基づき、委託業務に関する情報セキュリティ管理状況を確認させていただきたく、下記のとおり監査を実施いたします。

  1. 監査目的 ― 委託業務に係る情報セキュリティ管理策および個人データ取扱状況の確認
  2. 監査範囲 ― ○○業務、○○システム、関連する再委託先管理
  3. 監査方法 ― 事前資料確認、Web会議によるインタビュー、必要に応じた画面共有確認
  4. 依頼資料 ― 別添「証跡提出依頼リスト」のとおり
  5. 希望日程 ― 2026年○月○日〜○月○日の間で2時間程度
  6. 当社担当 ― 法務部○○、情報セキュリティ部○○、内部監査部○○

ご不明点や開示制限のある資料については、代替確認方法を協議いたします。 何卒よろしくお願いいたします。

17.2 簡易チェックリスト

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

No確認項目回答証跡評価
1委託業務に関する責任者が明確です組織図、任命記録
2委託元情報を分類し、取扱範囲を限定している情報分類表、手順書
3委託業務従事者のアクセス権を最小限にしているアカウント一覧、承認記録
4退職・異動時にアクセス権を削除している削除記録、サンプル
5管理者権限に多要素認証を適用している設定画面、ポリシー
6重要操作ログを取得・保存しているログ設定、保存期間
7脆弱性管理とパッチ適用手順がある診断報告、適用記録
8個人データや秘密情報を暗号化している設定、設計書
9インシデント時の委託元連絡体制がある連絡網、手順書
10再委託先を把握し、同等義務を課している再委託一覧、契約
11バックアップを取得し復旧試験している復旧試験記録
12委託終了時のデータ返却・消去手順がある消去手順、証明書雛形

17.3 監査報告書の指摘一覧例

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

No重要度指摘リスク是正要求期限状態
1High退職者1名の管理画面権限が残存不正閲覧、誤操作即時削除、過去12か月棚卸、手順改定2026-07-31未完了
2Medium年次アクセスレビュー未実施不要権限の長期残存四半期レビュー導入、初回結果提出2026-08-31未完了
3Medium再委託先教育記録が未提出再委託先統制不明教育記録提出、未受講者対応2026-07-15確認中
4Low手順書の改定履歴が不明運用ばらつき改定履歴欄を追加2026-09-30未完了
Section 19

委託先セキュリティ監査 ― AI・データ利用委託における追加論点

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

生成AI、機械学習、データ分析、広告最適化、レコメンド、自然言語処理、画像解析の委託では、従来型の委託先監査に加え、以下を確認します。

  • 委託元データをAIモデルの学習に利用するか
  • 学習利用する場合、契約上の許諾、利用目的、本人同意、匿名加工・仮名加工の要否を確認しているか
  • プロンプト、入力データ、出力データが第三者サービスに保存・学習利用されるか
  • 機密情報や個人データを外部AIサービスに入力しない制御があるか
  • 出力結果の著作権、営業秘密、個人情報、差別・バイアス、誤情報のリスクを評価しているか
  • AIモデル、API、ログ、評価データ、チューニングデータの保存場所とアクセス権を管理しているか
  • AIサービス事業者の再委託、海外移転、削除権限を確認しているか

AI利用では、「委託先が処理する」だけでなく、「委託先がデータを学習、評価、改善、二次利用する」可能性があります。契約上、二次利用禁止、学習利用禁止、匿名化条件、出力物の利用範囲、監査権を明確にします。

Section 20

委託先セキュリティ監査 ― M&A・IPO・事業承継における委託先監査

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

M&A、IPO、事業譲渡、会社分割、PMIでは、委託先セキュリティ監査が重要になります。買収対象会社がどの委託先にどの情報を預けているか、基幹SaaSやBPOに依存しているか、契約に監査権・解除権・データ移行権があるか、未解消の監査指摘があるかを確認します。

M&Aデューデリジェンスでは以下を確認します。

  • 重要委託先一覧
  • 個人データ取扱委託先一覧
  • 再委託構造
  • 重大事故歴
  • 委託契約の監査権・解除権・チェンジオブコントロール条項
  • クラウド・SaaSの管理者権限
  • データ移行・消去の可否
  • ISO/IEC 27001、SOC 2、ISMAP、Pマーク等の証跡
  • 未解消の監査指摘
  • 委託先依存による事業継続リスク

買収後に初めて重要委託先の監査権がないことに気づくと、PMIで大きな制約になります。したがって、委託先監査はITデューデリジェンス、法務デューデリジェンス、個人情報デューデリジェンス、内部統制デューデリジェンスを接続する論点です。

Section 21

委託先セキュリティ監査 ― 経営者・取締役への報告

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

委託先セキュリティ監査の結果は、現場だけで閉じてはいけません。重大委託先、重大指摘、事故リスク、未解消リスク、予算不足、委託先変更の必要性は、経営者や取締役会、監査役等に報告します。

経営報告では、専門用語を避け、次を簡潔に示す。

  • 重要委託先の総数
  • 高リスク委託先の数
  • 年次監査実施率
  • Critical・High指摘件数
  • 期限超過指摘件数
  • 重大事故・ヒヤリハット
  • 再委託未承認件数
  • 契約条項不足件数
  • 来期の改善計画と必要予算

経営層には、「どの委託先が危険か」だけでなく、「当社としてどこまでリスクを受け入れるのか」を判断してもらう必要があります。委託先セキュリティ監査は、経営のための情報提供機能を持つ。

Section 22

委託先セキュリティ監査の成熟度モデル

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

次の比較表は、委託先監査体制の成熟度をレベル0から5で示したものを整理したものです。読者にとって重要なのは、現在の状態を見つけ、次のレベルへ進むための課題を読むことを読み取ることです。

自社の委託先監査体制は、次の成熟度で評価できます。

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

レベル状態課題
0委託先を把握していない台帳整備が最優先
1契約書とNDAはある監査権、事故通知、再委託、消去が不足
2質問票を実施している自己申告中心、証跡確認不足
3リスク分類と証跡レビューがある是正管理、経営報告を強化
4高リスク委託先に定期監査・現地監査を実施再委託、クラウド、AI利用を統合
5契約、台帳、ID、監査、事故対応が統合され継続改善サプライチェーン全体で標準化・自動化

多くの企業はレベル1または2から始まる。最初から完璧を目指すより、重要委託先を特定し、契約条項を整備し、質問票と証跡確認を標準化し、是正管理を回すことが重要です。

Section 23

委託先セキュリティ監査 ― 実務導入ロードマップ

90日で始め、1年で契約・台帳・監査・是正を回せる体制へ進めます。

22.1 90日で始めるロードマップ

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

期間取組成果物
1〜30日委託先台帳の暫定整備、重要委託先の抽出委託先一覧、リスク仮分類
31〜60日標準質問票、契約条項、証跡依頼表を作成質問票、契約別紙、監査計画雛形
61〜90日上位10〜20社に試行監査試行結果、改善点、経営報告

22.2 1年で整えるロードマップ

次の比較表は、項目ごとの違いと確認ポイントを整理したものです。読者にとって重要なのは、列ごとの違い、優先度、実務上の注意点を読み取ることです。

四半期取組
Q1委託先台帳、リスク基準、契約雛形を整備
Q2高リスク委託先の監査、契約不足条項の洗い出し
Q3是正フォロー、再委託先確認、事故連絡訓練
Q4内部監査によるプロセス評価、来期計画、経営報告

導入初年度は、すべてを網羅するより、重大リスクを潰すことを優先します。特に、監査権がない、事故通知が遅い、再委託が不透明、データ消去が曖昧、管理者権限が残る、といった問題を優先的に是正します。

Section 24

委託先セキュリティ監査 ― まとめ

実務で確認すべき要点を、手順・比較・注意点に分けて整理します。

委託先セキュリティ監査の実施方法を一言でまとめれば、「リスクに応じて、選定・契約・証拠確認・改善・終了時確認を一体化すること」です。

個人情報保護法の委託先監督は、適切な委託先選定、委託契約、取扱状況把握を重視します。NIST CSF 2.0は、サプライチェーンリスク管理をガバナンスの一部として位置付けます。ISO 19011は監査の進め方、ISO/IEC 27001はISMSの要求事項、ISO/IEC 27036は供給者関係のリスク管理、ISMAPはクラウドサービス評価の参照枠組みを提供します。これらを自社の契約実務、委託先台帳、監査計画、是正管理に落とし込むことが、実務上の核心です。

最後に、委託先セキュリティ監査で最も重要な問いは、「委託先は安全か」ではありません。より正確には、「当社は、委託先に預けている情報と業務のリスクを把握し、合理的な契約と監査により、そのリスクを説明可能な水準まで管理しているか」です。

この問いに文書と証拠で答えられる企業だけが、委託先を活用しながらも、顧客、本人、取引先、株主、従業員、規制当局に対して責任ある説明を行うことができます。

Reference

この記事の参考資料

個人情報保護・国内公的資料

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • IPA「サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集」
  • IPA「中小企業の情報セキュリティ対策ガイドライン」
  • IPA「サプライチェーン強化に向けたセキュリティ対策評価制度」

国際標準・クラウド評価

  • NIST「The NIST Cybersecurity Framework 2.0」
  • NIST SP 800-161 Rev.1「Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations」
  • NIST「Cybersecurity Framework 2.0 Quick-Start Guide for Cybersecurity Supply Chain Risk Management」
  • ISO 19011「Guidelines for auditing management systems」
  • ISO/IEC 27001「Information security management systems Requirements」
  • ISO/IEC 27036-3「Cybersecurity Supplier relationships Part 3」

第三者保証・認証制度

  • 国家サイバー統括室「政府情報システムのためのセキュリティ評価制度(ISMAP)」
  • ISMAPポータル「制度案内 ISMAP概要」
  • AICPA & CIMA「System and Organization Controls SOC Suite of Services」
  • JIPDEC「プライバシーマーク制度」
  • ISMS-AC「ISMS(情報セキュリティマネジメントシステム)とは」