2σ Guide

委託先監査の頻度と
実施方法

委託先監査は、一律年1回ではなくリスクと証拠で設計します。契約前、定期、重大変更、事故、終了時の各局面で、質問票・証跡・ヒアリング・設定確認を組み合わせる実務基準を整理します。

5局面契約前から終了時まで
4分類重要・高・中・低リスク
20社年間計画例の前提
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

委託先監査の頻度と 実施方法

委託先監査は、一律年1回ではなくリスクと証拠で設計します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
委託先監査の頻度と 実施方法
委託先監査は、一律年1回ではなくリスクと証拠で設計します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 委託先監査の頻度と 実施方法
  • 委託先監査は、一律年1回ではなくリスクと証拠で設計します。

POINT 1

  • 委託先監査の頻度と実施方法の全体像
  • 一律年1回ではなく、リスクと証拠で頻度と方法を設計します
  • 頻度はリスクと証拠で決めます
  • 委託先監査
  • 委託先の監督

POINT 2

  • 委託先監査を支える法令・ガイドライン・国際標準
  • 個人情報、サイバー、金融、ISO、GDPRの共通点を整理します
  • いずれも、リスクに応じた管理、継続的な確認、記録化、是正を重視しています。
  • 根拠資料ごとに求める言葉は違いますが、共通して証拠と是正を求める点が重要です。
  • 左から参照軸、実務上の意味、確認事項を見てください。

POINT 3

  • 委託先監査の頻度を決めるリスクモデル
  • データ重要性、権限、再委託、証拠成熟度で監査間隔を変えます
  • 監査頻度は、リスクと証拠の組み合わせで決めます。
  • リスクが高く、委託先の証拠が弱い場合は頻度と深度を上げます。
  • リスクが低く、認証や保証報告書などの証拠が十分な場合は、簡易確認や更新時確認に寄せることが考えられます。

POINT 4

  • 委託先監査を実施すべきタイミング
  • 1. 委託先リスクを分類:データ、権限、業務影響、再委託、国外処理を確認します
  • 2. 証拠の強さを確認:第三者認証、保証報告書、過去監査、ログ、規程、教育記録を確認します
  • 3. 契約権限を確認:監査権限、資料提出、再委託先確認、事故報告、削除確認があるかを見ます
  • 4. 標準確認へ:質問票、証跡レビュー、定期ヒアリングで管理します
  • 5. 詳細確認へ:追加資料、リモート詳細確認、現地確認、是正計画、契約見直しを検討します

POINT 5

  • 委託先監査の実施方法と証跡レビュー
  • 質問票だけで終わらせず、証拠・ヒアリング・設定確認を組み合わせます
  • 自己申告だけでは実態確認が不足する場合があるため重要です。
  • 各方法から、低リスクでは簡易に、高リスクでは複数の確認を組み合わせる必要を読み取ってください。
  • 組織体制、規程、アクセス管理、教育、再委託、事故対応などを網羅的に確認します。

POINT 6

  • 委託先監査の監査項目体系
  • 再委託管理
  • 再委託先の一覧、事前承認、同等義務、監督記録、事故時報告経路を確認します。
  • 削除・返却確認
  • 契約終了時だけでなく、バックアップ、媒体、再委託先、クラウド上の残存データを確認します。

POINT 7

  • 委託先監査結果の評価と是正措置
  • 1. 不備を特定:事実、影響範囲、契約違反、法令違反、再発可能性を整理します
  • 2. 是正計画を合意:担当者、期限、暫定措置、恒久対応、提出証拠を決めます
  • 3. 完了証拠を確認:スクリーンショット、ログ、教育記録、契約変更、削除証明などを確認します
  • 4. 監査記録に反映:次回頻度の見直しと残存リスク管理へ進みます
  • 5. エスカレーション:期限延長、業務縮小、契約解除、代替委託を検討します

POINT 8

  • 委託先監査の役割分担と業種別留意点
  • 個人情報処理委託
  • 個人データの範囲、安全管理、本人対応、漏えい報告、再委託、削除確認を重点的に確認します。
  • クラウド・SaaS
  • 第三者保証報告書、管理者設定、ログ、データ保存地域、外部共有、契約上の監査代替策を確認します。

まとめ

  • 委託先監査の頻度と 実施方法
  • 委託先監査の頻度と実施方法の全体像:一律年1回ではなく、リスクと証拠で頻度と方法を設計します
  • 委託先監査を支える法令・ガイドライン・国際標準:個人情報、サイバー、金融、ISO、GDPRの共通点を整理します
  • 委託先監査の頻度を決めるリスクモデル:データ重要性、権限、再委託、証拠成熟度で監査間隔を変えます
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

委託先監査の頻度と実施方法の全体像

一律年1回ではなく、リスクと証拠で頻度と方法を設計します

委託先監査の頻度と実施方法では、一律に年1回と決めるのではなく、委託先が扱うデータ、業務停止時の影響、システム権限、再委託、国外処理、過去事故、統制成熟度、第三者認証、契約上の監査権限を踏まえて設計します。

次の強調表示は、委託先監査の中心となる考え方を示しています。形式的な質問票だけでは実質的な監督を説明しにくいため重要です。読み取るべき点は、頻度、方法、証拠、是正を一体で設計することです。

頻度はリスクと証拠で決めます

重要委託先には導入前審査、月次または四半期モニタリング、年1回以上の本監査、重大変更時・事故時の臨時監査、終了時監査を組み合わせます。低リスク委託先では、導入前確認と更新時確認を中心にする設計も考えられます。

次の比較一覧は、委託先監査で押さえる4つの結論を整理したものです。監査の入口で関係部門の認識を合わせるため重要です。各行から、いつ、何を、どの証拠で確認するかを読み取ってください。

結論実務での意味
年1回は出発点です重要委託先には不足し、低リスク委託先には過剰となる場合があります
5つの局面で考えます契約締結前、契約期間中、重大変更時、事故発生時、契約終了時に確認します
方法を組み合わせます質問票、書面監査、証跡レビュー、ヒアリング、オンサイト、設定・ログ確認、第三者保証報告書を使い分けます
横断活動として扱います法務、調達、IT、内部監査、コンプライアンス、事業部門、経営が連携します

次の一覧は、委託先監査、委託先の監督、頻度、実施方法の定義を並べたものです。用語が曖昧だと監査対象と証拠がずれるため重要です。各項目から、契約上の権利と実際の確認活動を分けて理解してください。

定義1

委託先監査

委託先の管理体制、契約遵守、セキュリティ、個人情報、品質、再委託、事故対応を確認する活動です。

定義2

委託先の監督

個人情報保護法などで求められる、委託先の選定、契約、取扱状況の把握、是正の一連の管理です。

定義3

頻度

何か月ごと、どのイベント時、どのリスク水準で確認するかという監査プログラム上の設計です。

定義4

実施方法

質問票、証跡確認、ヒアリング、現地またはリモート確認、ログ確認、第三者報告書の組み合わせです。

Section 01

委託先監査を支える法令・ガイドライン・国際標準

個人情報、サイバー、金融、ISO、GDPRの共通点を整理します

委託先監査は、企業法務だけでなく、個人情報保護、サイバーセキュリティ、金融規制、国際標準、海外データ保護規制にまたがります。いずれも、リスクに応じた管理、継続的な確認、記録化、是正を重視しています。

次の表は、主な法令・ガイドライン・標準と、委託先監査で読み取るべき実務要請を整理したものです。根拠資料ごとに求める言葉は違いますが、共通して証拠と是正を求める点が重要です。左から参照軸、実務上の意味、確認事項を見てください。

参照軸実務上の意味確認事項
個人情報保護法委託先の監督、安全管理、漏えい等報告、本人通知を支える根拠になります委託契約、取扱状況、再委託、事故時連絡、削除・返却を確認します
サイバーセキュリティ経営ガイドラインサプライチェーン全体の管理と経営責任を意識させる枠組みです重要委託先、脆弱性、アクセス権、インシデント対応、経営報告を確認します
金融分野の監督指針外部委託、再委託、顧客情報管理、定期・必要時のモニタリングを重視します委託先選定、定期確認、事故時対応、再委託先管理を確認します
ISO 19011監査を単発ではなく監査プログラムとして設計する考え方を示します目的、範囲、基準、力量、頻度、記録、フォローアップを確認します
ISO/IEC 27001・27002、NIST CSF情報セキュリティ管理策とリスク管理の参照軸になりますアクセス制御、ログ、資産管理、委託先関係、復旧、継続的改善を確認します
GDPR Article 28処理者に対する監査権限、契約義務、再処理者管理を意識させます監査権限、DPA、再委託、国外移転、削除・返却を確認します
企業法務の論点委託先監査は、契約条項、個人情報、事故対応、損害賠償、解除、証拠化、役員の監督責任と結びつきます。法務単独ではなく、IT、内部監査、調達、事業部門と連携する設計が有効です。
Section 02

委託先監査の頻度を決めるリスクモデル

データ重要性、権限、再委託、証拠成熟度で監査間隔を変えます

監査頻度は、リスクと証拠の組み合わせで決めます。リスクが高く、委託先の証拠が弱い場合は頻度と深度を上げます。リスクが低く、認証や保証報告書などの証拠が十分な場合は、簡易確認や更新時確認に寄せることが考えられます。

次の表は、頻度を決める評価軸を低リスクと高リスクで比較したものです。どの委託先を重点監査対象にするかを決めるため重要です。列を横に見て、データ、権限、業務影響、再委託、事故履歴が高いほど頻度と深度を上げると読み取ってください。

評価軸低リスクの例高リスクの例監査頻度への影響
データの重要性公開情報のみ個人データ、要配慮個人情報、営業秘密、決済情報、医療・金融・労務情報高いほど頻度・深度を上げます
データ量少数・一時的数万件以上、継続処理、大量ログ定期監査と常時監視を併用します
システム権限閲覧不可、納品のみ管理者権限、API接続、リモート保守、特権ID特権権限があれば高頻度化します
業務停止時の影響代替容易基幹業務、決済、顧客対応、医療・金融・公共停止影響が大きいほどモニタリングを増やします
再委託・国外処理なし多層再委託、海外処理、クラウド基盤契約と証跡確認を強めます
過去事故・成熟度事故なし、認証あり事故あり、証拠不足、回答が曖昧臨時監査やフォローアップを増やします

次の表は、一般企業が使いやすい監査頻度モデルを示します。リスク区分ごとに頻度と方法を変えるため重要です。左の区分を基準に、中央の頻度と右の方法を組み合わせて監査計画へ落とし込みます。

リスク区分典型例推奨頻度推奨方法
重要・最重要委託先基幹システム、クラウド基盤、決済、給与計算、大量個人データ、コールセンター、医療・金融情報、特権アクセス導入前審査、月次または四半期モニタリング、年1回以上の本監査、重大変更時・事故時・終了時監査質問票、証跡提出、ヒアリング、オンサイトまたはリモート詳細確認、第三者保証報告書、アクセス権・ログ確認、是正フォロー
高リスク委託先個人データを継続処理するBPO、営業秘密を扱う開発、顧客対応、重要SaaS、再委託あり導入前審査、半年または年1回の監査、重大変更時・事故時監査、終了時確認書面監査、証跡レビュー、オンラインヒアリング、必要に応じた現地確認、再委託先確認
中リスク委託先限定的な個人情報や社内情報を扱い、一定の影響がある業務導入前審査、年1回または2年に1回の監査、更新時確認、事故時監査標準質問票、規程・認証確認、サンプル証跡、簡易ヒアリング
低リスク委託先公開情報のみ、成果物納品のみ、個人情報・秘密情報なし、システムアクセスなし導入前確認、契約更新時または1年から3年ごとの簡易確認、事故時確認簡易質問票、契約条項確認、反社・基本属性確認
例外・新規高不確実性委託先スタートアップ、海外ベンダー、新技術、AI処理、統制実績不明、認証なし導入前詳細審査、初年度は高頻度モニタリング、安定後に頻度見直し詳細質問票、技術・法務ヒアリング、PoC条件、データ最小化、段階導入
Section 03

委託先監査を実施すべきタイミング

契約前、定期、重大変更、事故、終了時の5局面で見ます

委託先監査は、契約期間中だけでなく、契約締結前、重大変更時、事故・不祥事・苦情発生時、契約終了時にも実施を検討します。契約後に初めて監査をしようとしても、監査権限や証拠提出義務が足りない場合があります。

次の時系列は、監査を実施すべき5つの局面を示しています。各局面で確認目的が違うため重要です。上から順に、導入判断、運用確認、変更対応、事故対応、終了確認へ進む流れを読み取ってください。

契約前

導入前審査

委託業務、データ、権限、再委託、認証、保険、事故履歴、契約条項を確認します

契約期間中

定期監査

質問票、証跡、ヒアリング、ログ、アクセス権、再委託、教育、事故訓練を確認します

重大変更時

変更監査

データ追加、国外処理、再委託、システム変更、M&A、担当部門変更を確認します

事故・苦情時

臨時監査

原因、影響範囲、初動、再発防止、報告義務、証拠保全、是正計画を確認します

契約終了時

終了時確認

データ返却・削除、媒体廃棄、アカウント削除、再委託先削除、証明書を確認します

次の判断の流れは、ある委託先にどの監査方法を選ぶかを示します。方法の選択を属人的にしないため重要です。上から順に、リスク、証拠、契約権限、事故履歴を確認し、必要な監査深度を選びます。

監査方法を選ぶ順序

委託先リスクを分類

データ、権限、業務影響、再委託、国外処理を確認します

証拠の強さを確認

第三者認証、保証報告書、過去監査、ログ、規程、教育記録を確認します

契約権限を確認

監査権限、資料提出、再委託先確認、事故報告、削除確認があるかを見ます

十分
標準確認へ

質問票、証跡レビュー、定期ヒアリングで管理します

不足
詳細確認へ

追加資料、リモート詳細確認、現地確認、是正計画、契約見直しを検討します

Section 04

委託先監査の実施方法と証跡レビュー

質問票だけで終わらせず、証拠・ヒアリング・設定確認を組み合わせます

委託先監査の全体プロセスは、委託先台帳の整備、リスク分類、監査計画、通知、質問票、証跡レビュー、ヒアリング、オンサイトまたはリモート確認、システム設定・ログ確認、評価、是正フォローで構成します。

次の一覧は、代表的な監査方法と使いどころを整理したものです。自己申告だけでは実態確認が不足する場合があるため重要です。各方法から、低リスクでは簡易に、高リスクでは複数の確認を組み合わせる必要を読み取ってください。

Q

質問票

組織体制、規程、アクセス管理、教育、再委託、事故対応などを網羅的に確認します。回答だけでなく根拠資料を求める設計が有効です。

入口確認自己申告
D

書面監査・証跡レビュー

規程、教育記録、アクセス権棚卸、ログ、委託先台帳、削除証明、事故対応記録などを確認します。

証拠確認記録化
H

ヒアリング

回答の矛盾、運用実態、例外処理、事故時の判断、再委託先管理を担当者から確認します。

実態把握補足確認
O

オンサイトまたはリモート詳細確認

入退室、執務環境、媒体管理、画面共有による設定、アクセス権、ログ管理を確認します。

高リスク詳細確認
A

第三者認証・保証報告書

ISMS、SOC報告書、外部監査報告を利用し、対象範囲と例外事項を確認します。

代替証拠範囲確認

次の表は、証跡レビューで確認する代表的な資料をまとめたものです。監査記録は後日の説明責任を支えるため重要です。左の観点ごとに、右の証跡が実在し、委託業務に対応しているかを読み取ってください。

監査観点証跡例
体制組織図、責任者任命記録、連絡網、職務分掌表
規程情報セキュリティ規程、個人情報保護規程、委託業務手順書、事故対応規程
アクセス権アカウント一覧、権限申請・承認記録、棚卸記録、退職者削除記録
教育教育計画、受講記録、誓約書、理解度テスト、再教育記録
ログ取得対象、保存期間、監視記録、異常検知、調査ログ
再委託再委託先一覧、承認記録、契約、監督記録、事故報告経路
終了時管理返却・削除証明、媒体廃棄記録、アカウント停止記録、バックアップ削除方針

次の表は、現地またはリモート詳細確認で見たい物理・技術面の項目を示します。書面上の回答と現場実態がずれることがあるため重要です。各行から、物理的安全、端末・媒体、ログ、クラウド設定を具体的に確認する必要を読み取ってください。

項目確認内容
入退室管理入館手続、カード管理、共連れ防止、来訪者記録、監視カメラ
執務環境画面の覗き見防止、紙資料の放置、私物端末、USB利用、印刷管理
書類・媒体管理保管庫、鍵管理、媒体管理簿、廃棄ボックス、廃棄証明
システム設定MFA、特権ID、ログ取得、暗号化、バックアップ、脆弱性管理
クラウド・SaaS管理者権限、IP制限、外部共有、監査ログ、データ保存地域、退職者アカウント
Section 05

委託先監査の監査項目体系

法務、個人情報、セキュリティ、内部統制、労務、知財を横断します

監査項目は、法務・契約、個人情報・プライバシー、情報セキュリティ、内部統制・会計・業務品質、労務・人事情報、知財・営業秘密に分けて設計します。委託業務の実態に合わせ、全委託先に同じ質問を送るだけの運用を避けます。

次の表は、監査項目の体系を整理したものです。領域ごとに担当部門と証拠が変わるため重要です。左から領域、確認項目、読み取るべきポイントを確認してください。

領域主な監査項目読み取るポイント
法務・契約委託範囲、禁止事項、秘密保持、個人情報、再委託、監査権限、事故報告、解除、損害賠償契約上の義務と監査権限が実効的かを見ます
個人情報・プライバシー利用目的、取扱範囲、安全管理、本人対応協力、漏えい報告、削除・返却委託先の監督を説明できる証拠があるかを見ます
情報セキュリティガバナンス、アクセス制御、資産管理、ログ、脆弱性、暗号化、バックアップ技術的管理と運用記録が一致しているかを見ます
内部統制・品質業務手順、承認、職務分離、品質検査、SLA、苦情、変更管理委託業務の品質と継続性を確認します
労務・人事情報従業者教育、誓約、退職者管理、派遣・偽装請負、ハラスメント、労務データ人に起因する事故と労務リスクを確認します
知財・営業秘密成果物帰属、ライセンス、ソースコード、秘密情報管理、競合利用、持ち出し成果物と秘密情報を守れる体制を見ます

次の一覧は、監査項目を設計するときに見落としやすい重点領域を示しています。形式的な質問票では抜けやすいため重要です。各項目から、再委託、削除、委託元自身の設定、監査員の力量まで確認する必要を読み取ってください。

再委託管理

再委託先の一覧、事前承認、同等義務、監督記録、事故時報告経路を確認します。

削除・返却確認

契約終了時だけでなく、バックアップ、媒体、再委託先、クラウド上の残存データを確認します。

委託元側設定

SaaSの管理者設定、共有権限、IP制限、退職者アカウントなど、委託元自身の不備も確認します。

監査員の力量

法務、情報セキュリティ、個人情報、業務品質を理解し、証拠から実態を判断できる担当者を配置します。

Section 06

委託先監査結果の評価と是正措置

重大度分類、是正計画、例外承認、契約条項を結び付けます

監査結果は、単に点数化して終わらせず、不備の重大度、是正期限、完了証拠、残存リスク、例外承認を記録します。重大不備は経営、法務、情報セキュリティ、事業部門にエスカレーションします。

次の表は、不備の重大度分類と対応を示します。是正の優先順位を決めるため重要です。左から重大度、例、対応を読み、どの不備を直ちに経営報告すべきかを確認してください。

重大度対応
Critical漏えい等の未報告、無断再委託、個人データの目的外利用、特権ID管理不備、重大脆弱性放置、削除不能、虚偽回答直ちに経営・法務へ報告し、業務停止、緊急是正、臨時監査、契約解除、当局対応を検討します
Highアクセス権棚卸未実施、再委託先監督不十分、事故対応訓練未実施、重要ログ未取得、教育未実施是正期限を明確にし、完了証拠を提出させ、フォローアップ監査を実施します
Medium規程更新遅延、一部証跡不足、軽微な手順逸脱、責任者変更未通知是正計画を提出させ、次回監査で確認します
Low表記ゆれ、軽微な文書不備、改善余地改善要望として記録し、更新時に確認します

次の判断の流れは、是正措置計画から例外承認までの進め方を示します。監査結果を放置しないため重要です。上から順に、原因、期限、証拠、残存リスク、承認を確認します。

是正措置の進め方

不備を特定

事実、影響範囲、契約違反、法令違反、再発可能性を整理します

是正計画を合意

担当者、期限、暫定措置、恒久対応、提出証拠を決めます

完了証拠を確認

スクリーンショット、ログ、教育記録、契約変更、削除証明などを確認します

完了
監査記録に反映

次回頻度の見直しと残存リスク管理へ進みます

未了
エスカレーション

期限延長、業務縮小、契約解除、代替委託を検討します

次の表は、監査権限を契約条項として支えるための項目を整理したものです。契約に権限がないと、必要な証拠を入手できない場合があるため重要です。各条項から、資料提出、再委託、事故報告、データ返却・削除を明確化する必要を読み取ってください。

条項入れておきたい内容
監査権限質問票、資料提出、ヒアリング、リモート確認、現地確認、第三者報告書の提出、是正フォローを定めます
再委託条項事前承認、同等義務の移転、再委託先一覧、監査協力、事故時報告を定めます
事故報告条項報告期限、暫定報告、追加報告、原因、影響範囲、講じた措置、再発防止を定めます
データ返却・削除条項終了時の返却、削除、バックアップ、再委託先、削除証明、監査可能性を定めます
Section 07

委託先監査の役割分担と業種別留意点

法務、IT、内部監査、事業部門、経営が連携します

委託先監査は、事業部門、法務、企業内弁護士、情報セキュリティ、個人情報保護、内部監査、コンプライアンス、調達、経営陣が分担します。誰が監査を行うかだけでなく、誰が残存リスクを承認するかを決める必要があります。

次の表は、部門別の主な責任を整理したものです。監査が一部門に閉じると実効性が落ちるため重要です。各部門が、契約、技術、業務、経営判断のどこを担うかを読み取ってください。

役割主な責任
事業部門委託業務の実態把握、委託先との窓口、SLA・品質確認、業務上の必要性説明
法務部門契約条項、法令遵守、責任分界、再委託、事故対応、解除・損害賠償判断
企業内弁護士経営判断との接続、リスク許容、紛争予防、海外法務、調査設計
情報セキュリティ部門技術的安全管理、アクセス権、ログ、脆弱性、クラウド設定、インシデント対応
個人情報保護担当個人データの取扱い、委託先監督、漏えい等報告、本人通知、削除確認
内部監査部門監査計画、独立的評価、経営報告、是正フォロー、監査品質管理
調達・購買部門委託先台帳、契約更新、価格・取引条件、反社確認、取引停止手続
経営陣重要委託先のリスク許容、重大不備の承認、投資判断、代替委託判断

次の一覧は、業種・委託類型ごとの留意点を整理したものです。委託の内容によって監査深度が変わるため重要です。各項目から、データ、権限、業務影響、規制の違いを読み取ってください。

個人情報処理委託

個人データの範囲、安全管理、本人対応、漏えい報告、再委託、削除確認を重点的に確認します。

クラウド・SaaS

第三者保証報告書、管理者設定、ログ、データ保存地域、外部共有、契約上の監査代替策を確認します。

システム開発・保守

本番アクセス、特権ID、ソースコード、脆弱性、変更管理、障害対応、知財帰属を確認します。

コールセンター・BPO

教育、通話録音、本人確認、紙資料、持ち出し、苦情対応、再委託を確認します。

製造・物流委託

品質検査、トレーサビリティ、安全衛生、現場事故、リコール、業務継続を確認します。

金融・医療・公共分野

業界規制、顧客情報、委託先管理、事故報告、監督当局対応、監査証跡を強めます。

Section 08

委託先監査報告書・チェックリスト・年間計画

監査記録を経営報告と次年度計画につなげます

委託先監査報告書は、後日説明可能な証拠として作成します。監査対象、委託業務、目的、範囲、基準、期間、方法、担当者、確認資料、結果、重大度、是正計画、残存リスク、次回頻度を含めます。

次の表は、監査報告書に最低限入れる構成を整理したものです。監査を実施した事実だけでなく、何を根拠に評価したかを残すため重要です。各行から、目的、範囲、証拠、評価、是正を一連で記録する必要を読み取ってください。

構成記載内容
対象・目的監査対象委託先、委託業務、監査目的、リスク分類を記載します
範囲・基準監査範囲、監査基準、対象期間、対象システム、対象データを記載します
方法・担当質問票、証跡レビュー、ヒアリング、現地またはリモート確認、担当者を記載します
確認資料契約、規程、ログ、教育記録、アクセス権、再委託資料、削除証明などを記載します
結果・重大度不備、良好事項、重大度、根拠、影響範囲、残存リスクを記載します
是正・次回是正計画、期限、完了証拠、例外承認、次回監査頻度を記載します

次の一覧は、実務で使える監査チェックリストの領域を示しています。委託先ごとのリスクに応じて項目を選ぶため重要です。各領域から、契約・組織・人的・物理・技術・再委託・終了時を漏らさず確認する必要を読み取ってください。

領域1

基本情報

法人名、所在地、契約番号、所管部門、業務内容、データ分類、システム接続、再委託有無を確認します。

領域2

契約・法令

監査権限、秘密保持、個人情報、SLA、事故報告、解除、損害賠償、国外処理を確認します。

領域3

組織・人的管理

責任者、教育、誓約、退職者管理、委託業務担当者、事故時連絡先を確認します。

領域4

物理・技術管理

入退室、媒体、端末、アクセス権、MFA、ログ、暗号化、脆弱性、バックアップを確認します。

領域5

再委託・事故対応

再委託先承認、同等義務、事故訓練、報告手順、原因分析、是正措置を確認します。

領域6

終了時管理

返却、削除、媒体廃棄、アカウント停止、再委託先削除、削除証明を確認します。

次の表は、重要委託先を20社程度持つ企業の年間計画例です。監査を年度内で平準化するため重要です。左の時期に沿って、台帳更新、年次監査、結果集計、是正フォロー、次年度計画へつなげる流れを読み取ってください。

時期実施内容
4月委託先台帳更新、前年度事故・不備レビュー、リスク分類見直し
5月重要委託先の監査計画策定、監査通知、資料依頼
6〜8月重要委託先の年次監査、ヒアリング、オンサイトまたはリモート詳細確認
9月監査結果集計、重大不備の経営報告、是正計画合意
10〜12月高リスク委託先の書面監査、中リスク委託先の質問票確認
1月是正措置フォローアップ、未了案件のエスカレーション
2月次年度リスク分類、頻度見直し、契約条項の改善
3月年間結果の経営報告、監査計画の承認、台帳更新準備
Section 09

委託先監査でよくある失敗と最小セット

形式的な質問票から、説明可能な監督体制へ移します

委託先監査でよくある失敗は、全委託先に同じ質問票を送るだけ、契約上の監査権限がない、再委託先を見ていない、削除確認が甘い、監査結果が経営に届かない、委託元自身の設定不備を見落とす、監査員の力量が不足している、というものです。

次の一覧は、監査運用で起こりやすい失敗と見直しの方向を示しています。形だけの監査を避けるため重要です。各項目から、証拠、契約、再委託、経営報告、委託元側設定を見直す必要を読み取ってください。

質問票だけで終わる

高リスク委託先では、証跡、ログ、ヒアリング、設定確認を組み合わせます。

監査権限がない

契約更新時に、資料提出、ヒアリング、再委託確認、削除証明、是正協力を条項化します。

再委託先を見ていない

再委託先一覧、同等義務、事故時報告、削除確認、重要再委託先の追加確認を求めます。

削除確認が甘い

契約終了時に、バックアップ、媒体、再委託先、アカウント停止、削除証明まで確認します。

経営に届かない

CriticalやHighの不備は、残存リスク、事業影響、投資判断とともに経営報告します。

委託元自身の不備を見落とす

SaaS設定、共有権限、退職者ID、データ範囲、委託指示の曖昧さも監査対象に含めます。

次の重要ポイントは、中小企業でも導入しやすい最小セットを示します。すべてを一度に高度化するのが難しい場合でも、説明可能な第一歩を作るため重要です。読み取るべき点は、台帳、分類、質問票、証跡、是正、契約条項の6点をそろえることです。

最小セットは6点です

委託先台帳、リスク分類、標準質問票、重要委託先の証跡確認、是正管理表、監査権限条項を整えるだけでも、委託先管理の説明可能性は大きく高まります。重要委託先から優先し、次年度に対象と深度を広げます。

法的責任との関係委託先監査を行えば常に責任を免れるわけではありません。ただし、リスクを把握し、リスクに応じた頻度で確認し、不備を是正し、残存リスクを承認していたことは、説明責任の重要な材料になります。
Section 10

委託先監査の頻度と実施方法のFAQ

一般的な確認軸として、頻度・方法・拒否対応を整理します

次のQ&Aは、委託先監査の頻度と実施方法についてよくある疑問を一般情報として整理したものです。個別の結論は委託内容、契約、法令、証拠、リスク水準で変わるため重要です。各回答から、確認すべき要素を読み取ってください。

Q1

委託先監査は必ず年1回必要ですか。

一般的には、必ず年1回と一律に決まっているわけではありません。法令、業界規制、契約、顧客要求で年1回以上が求められる場合は別ですが、通常はリスクに応じて頻度を決めます。高リスク委託先は年1回以上の監査や継続的モニタリングが必要となる可能性があります。

Q2

質問票だけで委託先監査をしたことになりますか。

一般的には、低リスク委託先では質問票で足りる場合があります。ただし、高リスク委託先では、証跡、ログ、規程、教育記録、アクセス権棚卸、再委託先管理、事故対応記録を確認する必要がある可能性があります。

Q3

委託先が監査を拒否した場合はどう考えますか。

一般的には、契約上の監査権限、代替資料の提出、第三者保証報告書、オンライン確認、経営判断としての例外承認を検討します。拒否の理由や委託業務の重要度によって、契約更新や代替委託を検討する必要が生じる可能性があります。

Q4

クラウド事業者に現地確認できない場合は不適切ですか。

一般的には、現地確認ができないことだけで直ちに不適切とは限りません。SOC報告書、ISMS認証、契約条項、管理コンソール設定、ログ、データ保存地域、事故時通知などの代替証拠で確認する設計が考えられます。

Q5

再委託先まで監査する必要がありますか。

一般的には、再委託先の重要性、扱うデータ、権限、事故時影響によって判断します。すべての再委託先を同じ深度で確認するとは限りませんが、重要再委託先については承認、同等義務、監督記録、事故時報告を確認する必要があります。

Q6

監査結果はどのくらい保存すべきですか。

一般的には、契約期間、法令、社内規程、時効、顧客要求、監査証跡としての必要性を踏まえて保存期間を決めます。個別の保存期間は、情報の種類や規制によって変わるため、社内規程と専門家の確認が必要です。

Q7

委託先監査は誰が担当すべきですか。

一般的には、事業部門、法務、情報セキュリティ、個人情報保護、内部監査、調達が分担します。高リスク委託先では、技術と契約の両面を確認できる体制が必要となる可能性があります。

Q8

弁護士が関与すべき場面はどこですか。

一般的には、重要契約の監査権限条項、重大不備、事故発生、契約解除、損害賠償、海外委託、個人情報漏えい、当局対応、紛争化の可能性がある場面で、弁護士等の専門家への相談が必要となる可能性があります。

Reference

委託先監査の頻度と実施方法の参考資料

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)別添 安全管理措置」
  • 経済産業省・独立行政法人情報処理推進機構「サイバーセキュリティ経営ガイドライン」
  • 金融庁「金融商品取引業者等向けの総合的な監督指針」
  • ISO「ISO 19011 Guidelines for auditing management systems」
  • ISO「ISO/IEC 27001 Information security management systems」
  • ISO「ISO/IEC 27002 Information security controls」
  • National Institute of Standards and Technology「Cybersecurity Framework」
  • European Union「General Data Protection Regulation Article 28」