委託先に業務、システム、個人データ、営業秘密、クラウド、AI処理を任せる前に、法務・個人情報保護・サイバーセキュリティ・経営判断を一体で確認するための実務整理です。
価格・納期・品質だけでなく、法務、個人情報保護、サイバーリスク、内部統制、経営判断をつなげて確認します。
価格・納期・品質だけでなく、法務、個人情報保護、サイバーリスク、内部統制、経営判断をつなげて確認します。
委託先選定時のセキュリティチェック項目は、購買部門の質問票にとどまりません。外部事業者に業務、システム運用、クラウド利用、開発、コールセンター、給与計算、物流、広告運用、データ分析、AI処理、保守、監視、廃棄、BPO等を委ねる場面では、情報資産、個人データ、営業秘密、知的財産、顧客接点、内部統制、事業継続に直接影響します。
このページでは、委託先選定時のセキュリティチェック項目を、法務、個人情報保護、サイバーセキュリティ、内部監査、経営判断の観点から整理します。個別案件の結論は契約内容、取扱情報、規制業法、海外関係、証跡の状況で変わるため、具体的な対応は弁護士等の専門家や情報セキュリティ担当者に確認する必要があります。
次の一覧は、委託先選定時のセキュリティチェック項目を設計する際の5原則を表しています。どの原則が欠けると形式的な確認に流れやすいかを読み取り、チェック項目を契約・監督・経営承認まで接続する視点を持つことが重要です。
取扱情報、接続権限、業務重要度、停止影響、再委託、国外移転、規制業法に応じて確認の濃淡を付けます。
実施していますという回答だけではなく、規程、台帳、ログ、監査報告、教育記録、復旧試験記録などで確認します。
選定時の確認結果を秘密保持、目的外利用禁止、再委託制限、監査権、通知、削除・返却、解除に接続します。
選定時だけでなく、定期監査、変更管理、是正計画、終了時削除、再委託先変更時の承認まで管理します。
重大委託では、現場判断だけでなく、経営層、CISO、法務、個人情報保護責任者、内部監査、事業責任者が残余リスクを確認します。
次の強調表示は、このページ全体の結論を一文に集約しています。委託先の回答を集めるだけでは足りず、委託業務の内容と証跡を見たうえで、契約・監督・終了管理へつなげる点を読み取ってください。
委託元は、委託業務の内容、取扱情報、接続権限、再委託、事業停止影響、法令・規制、海外関係を踏まえ、委託先が必要かつ適切な安全管理措置を実効的に講じられることを証跡に基づいて確認します。
個人情報保護法、サイバーセキュリティ経営、SCS評価制度、ISO、NISTを参照軸として整理します。
委託先選定時のセキュリティチェック項目は、用語の意味をそろえたうえで、個人情報保護法、サイバーセキュリティ経営、SCS評価制度、ISO/IEC 27001・27002、NIST C-SCRMを参照して設計します。認証や制度名は有力な材料ですが、委託業務の範囲に適用されるかまで確認する必要があります。
次の表は、委託先管理で頻出する用語を整理しています。定義をそろえることは、質問票、契約条項、監査、インシデント対応の読み違いを防ぐために重要です。
| 用語 | このページでの意味 | 確認上のポイント |
|---|---|---|
| 委託先 | 委託元から業務の全部または一部を引き受け、情報、システム、施設、ネットワーク、業務プロセス、顧客接点、成果物に関与する外部事業者です | 契約類型にかかわらず、実質的な情報接触と業務依存を見ます |
| 再委託先 | 委託先が委託業務の一部をさらに第三者へ委ねる相手です | 委託元が直接契約していなくても、情報へ接触するなら監督対象になります |
| 個人情報・個人データ | 個人情報は特定の個人を識別できる情報等で、個人データは個人情報データベース等を構成する個人情報です | 個人データを取り扱わせる場合は安全管理措置と委託先監督が問題になります |
| 安全管理措置 | 漏えい、滅失、毀損、不正利用、改ざん、消失、停止を防ぐ組織的、人的、物理的、技術的対策です | 事業規模、取扱状況、媒体、権利利益侵害リスクに応じて確認します |
| 情報資産 | 個人データ、営業秘密、技術情報、ソースコード、顧客リスト、契約書、財務情報、認証情報、ログ、鍵、バックアップ等です | 情報そのものと処理環境を一体で評価します |
| CIA | 機密性、完全性、可用性を指します | アクセス制御、改ざん防止、必要時の利用可能性をまとめて確認します |
| セキュリティチェック | 管理体制、人的・物理的・技術的管理、法令遵守、再委託管理、事故対応、事業継続、証跡、契約履行可能性を委託開始前に確認するプロセスです | 評価結果を契約、監督、是正へ接続します |
次の比較表は、委託先選定時のセキュリティチェック項目を支える主な法令・標準・実務基準を並べています。どの根拠がどの確認項目に効くかを把握することで、質問票の根拠と契約条項の関係を説明しやすくなります。
| 参照軸 | 見るべきポイント | 選定時の使い方 |
|---|---|---|
| 個人情報保護法 | 個人データの安全管理が図られるよう、委託先に必要かつ適切な監督を行う考え方です | 適切な委託先の選定、委託契約、取扱状況の把握を三本柱にします |
| 海外委託・越境処理 | 海外クラウド、海外SaaS、海外BPO、オフショア開発、海外AIサービスでは域外適用やデータ所在が問題になります | 所在国、再移転、政府アクセス、準拠法、監査可能性、削除証明を確認します |
| サイバーセキュリティ経営 | IT投資やセキュリティ投資は経営者の判断事項であり、サプライチェーン全体の対策が求められます | 質問票を経営リスク管理の統制文書として扱います |
| SCS評価制度 | サプライチェーン企業の対策状況を共通基準で評価・可視化する構想です | 任意の制度という点を踏まえ、要求事項・評価基準を共通チェックリストとして活用します |
| ISO/IEC 27001・27002 | ISMS要求事項と情報セキュリティ管理策の参照軸です | 認証範囲、有効性、適用宣言書、是正未了事項を確認します |
| NIST C-SCRM | サイバーサプライチェーンリスクを組織全体で識別・評価・低減する考え方です | 委託先を外部供給者ではなく、自社リスク管理体系の構成要素として評価します |
委託の棚卸し、4段階ランク、ゲート項目と点数項目の分離で、確認の深度を調整します。
チェックリストを送る前に、自社側で委託の棚卸しを行います。委託目的、取扱情報、接続権限、業務重要度が不明なまま質問票を送ると、低リスク委託には過大要求となり、高リスク委託には過小確認となります。
次の表は、委託先へ確認する前に委託元が整理すべき情報を表しています。各行の問いが曖昧なほど、質問票の深度、契約条項、監査頻度を誤りやすくなるため、先に自社側で回答できる状態にすることが重要です。
| 確認事項 | 具体的な問い | 実務上の意味 |
|---|---|---|
| 委託目的 | 何の業務を外部に任せるか | 目的外利用禁止と必要最小限提供の前提になります |
| 取扱情報 | 個人データ、営業秘密、認証情報、財務情報、知財、医療・金融・労務情報を含むか | 法令対応と管理策の水準を決めます |
| 接続権限 | VPN、API、管理者権限、リモート接続を与えるか | ID管理、ログ、端末制御の確認深度を決めます |
| 業務重要度 | 委託先停止で自社業務が止まるか | BCP、代替手段、解除権の設計に影響します |
| 再委託 | 第三者を使う可能性があるか | 再委託承認と同等義務の設計が必要になります |
| データ所在 | 国内のみか、海外処理・海外保管を含むか | 越境移転、域外適用、準拠法の検討につながります |
| 規制業法 | 金融、医療、通信、教育、公共、重要インフラ等に該当するか | 業界別規制と監督官庁対応に影響します |
| 委託期間 | 短期単発か、継続的か | 定期監査、ログ保管、終了管理の設計に影響します |
次の表は、委託を低・中・高・重要の4段階に分ける考え方を表しています。委託先の企業規模ではなく、委託元にとっての情報・権限・停止影響でランクを決める点を読み取ってください。
| ランク | 典型例 | チェック深度 | 承認者 |
|---|---|---|---|
| 低 | 公開情報のみを扱う単発制作、機密情報を渡さない一般業務 | 基本質問、NDA、反社確認、最低限の秘密保持 | 事業部・購買 |
| 中 | 社内資料、限定的な個人データ、通常のSaaS、保守 | 標準質問票、証跡一部確認、契約条項、年次確認 | 事業部長・法務・IT |
| 高 | 大量個人データ、顧客DB、管理者権限、決済・労務・医療・金融情報、継続BPO | 詳細質問票、規程・監査報告確認、再委託審査、脆弱性・BCP確認 | CISO・個人情報保護責任者・法務責任者 |
| 重要 | 基幹システム、全社ID基盤、SOC、クラウド基盤、重要インフラ、M&A・不祥事調査データ | 実地監査、第三者評価、技術検証、経営会議承認、代替計画 | 経営会議・取締役会相当 |
次の判断の流れは、ゲート項目と点数項目を分ける理由を表しています。合計点が高くても、再委託非開示、共用管理者ID、通知拒否、削除証明拒否などの重大事項があれば、条件付き承認や経営承認に進む点が重要です。
取扱情報、権限、再委託、海外処理、停止影響を整理します。
秘密保持、目的外利用禁止、再委託、通知、削除、個人別ID、MFA、ログ、バックアップ等を見ます。
是正または経営層の明示的リスク受容を求めます。
改善計画、契約条件、監査頻度に反映します。
ガバナンス、契約、データ、ID、技術、ログ、BCP、人的・物理、事故対応、終了管理を確認します。
総合チェックリストは、全項目をすべての委託に機械的に適用するためのものではありません。リスクランクに応じて必要項目を選び、回答、証跡、重大な懸念例をセットで確認するための土台として使います。
ガバナンス・組織体制の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 1 | 情報セキュリティ方針 | 経営者が承認した方針があるか | 方針書、社内規程、承認記録 | 方針が口頭のみ、最終改定日が不明 |
| 2 | 責任者 | CISO、情報セキュリティ責任者、個人情報保護責任者が明確か | 組織図、職務分掌、任命書 | 事故時の責任者が不明 |
| 3 | ISMS等 | ISO/IEC 27001、SOC 2、ISMAP、Pマーク、SCS等の認証・評価があるか | 認証書、適用範囲、監査報告概要 | 認証範囲が委託業務を含まない |
| 4 | リスク評価 | 年次または変更時にリスク評価を行っているか | リスク台帳、評価シート、是正計画 | リスク評価の概念がない |
| 5 | 経営レビュー | セキュリティ状況を経営層に報告しているか | 会議体資料、議事録、KPI | 現場担当者だけで判断 |
| 6 | 内部規程体系 | 情報管理、個人情報、アクセス、ログ、媒体、廃棄、事故対応等の規程があるか | 規程一覧、改定履歴 | 規程が断片的で現場に未周知 |
| 7 | 内部監査 | セキュリティ・個人情報管理に関する内部監査を実施しているか | 監査計画、監査報告、是正記録 | 監査なし、是正期限なし |
法務・契約・コンプライアンスの表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 8 | 法令遵守体制 | 個人情報保護法、業法、下請法、独禁法、労働法、著作権法等への対応体制があるか | コンプライアンス規程、研修資料 | 法令遵守責任者がいない |
| 9 | 秘密保持 | 役職員・再委託先に秘密保持義務を課しているか | 雇用契約、誓約書、再委託契約 | 退職者・派遣者の義務が不明 |
| 10 | 目的外利用禁止 | 委託情報を委託目的以外に利用しない体制か | 契約案、規程、教育資料 | 分析・AI学習・広告利用に転用可能 |
| 11 | 個人データ取扱い | 取得、利用、保管、削除、第三者提供、本人対応の役割分担が明確か | データ処理契約、取扱手順 | 役割分担が曖昧 |
| 12 | 再委託制限 | 再委託の有無、範囲、承認・報告、同等義務の課し方が明確か | 再委託先一覧、契約条項 | 無断再委託、再委託先非開示 |
| 13 | 監査権 | 委託元が合理的に取扱状況を把握できるか | 監査条項、報告書提出条項 | 監査・資料提出を全面拒否 |
| 14 | インシデント通知 | 漏えい、侵害、停止、脆弱性悪用、再委託先事故時の通知義務があるか | 通知手順、契約条項、連絡網 | 通知期限・窓口がない |
| 15 | 損害賠償・補償 | 責任制限がリスクに比して過小でないか | 契約案、保険証券 | 重大過失・漏えいでも低額上限 |
| 16 | 解除・停止 | 重大な不備や事故時に契約解除・接続停止できるか | 契約条項 | 委託元が停止できない |
| 17 | 反社・制裁 | 反社会的勢力、制裁対象、輸出管理上の懸念を確認したか | 反社チェック記録、制裁リスト確認 | 海外関係者の確認なし |
データ分類・データの流れ・最小化の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 18 | データ分類 | 委託先が情報を機密度別に分類できるか | 分類基準、ラベル運用 | すべて同じ扱い |
| 19 | データの流れ | どのデータが、どこからどこへ、誰により、どのシステムで処理されるか | データの流れの図、処理一覧 | 保管場所・経路不明 |
| 20 | 必要最小限 | 委託目的に不要なデータを渡さない設計か | 項目一覧、マスキング設計 | 全量コピーを要求 |
| 21 | 保管期間 | データの保管期間と削除時期が明確か | 保管・削除規程、契約条項 | 無期限保管 |
| 22 | テストデータ | 本番個人データを開発・検証に使わないか | マスキング手順、テストデータ規程 | 本番データをそのまま利用 |
| 23 | 生成AI利用 | 委託情報を生成AI、外部AI、機械学習、プロンプトに投入するか | AI利用規程、利用サービス一覧 | 無断で外部AIに入力 |
ID・アクセス管理の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 24 | 個人別ID | 共用IDではなく個人別IDを使うか | アカウント台帳、設定画面 | 管理者IDを複数人で共有 |
| 25 | 最小権限 | 業務に必要な最小権限のみ付与するか | 権限設計表、承認記録 | 全員管理者権限 |
| 26 | MFA | 管理者、リモート接続、クラウド、重要システムに多要素認証を使うか | MFA設定証跡、ポリシー | パスワードのみ |
| 27 | 入退職・異動 | 入社、異動、退職、契約終了時のID発行・変更・削除が管理されるか | JML手順、削除記録 | 退職者IDが残る |
| 28 | 特権ID管理 | 管理者権限の承認、利用記録、棚卸しがあるか | 特権ID台帳、ログ | 特権操作の記録なし |
| 29 | アクセスレビュー | 定期的に権限棚卸しを行うか | レビュー記録、是正記録 | 長期間レビューなし |
| 30 | リモート接続 | VPN、ゼロトラスト、端末制限、接続元制限があるか | 接続設定、端末認証記録 | 私物端末から自由接続 |
端末・ネットワーク・クラウド管理の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 31 | 端末管理 | 業務端末を台帳管理し、暗号化、画面ロック、EDR等を適用しているか | 端末台帳、MDM/EDR画面 | 私物端末に機密保存 |
| 32 | マルウェア対策 | EDR、アンチウイルス、振る舞い検知等が運用されるか | 管理画面、検知レポート | 定義更新なし |
| 33 | パッチ管理 | OS、ミドルウェア、アプリ、VPN機器等の脆弱性修正が迅速か | パッチ台帳、SLA | EOL製品を放置 |
| 34 | ネットワーク分離 | 重要環境、開発環境、管理環境、一般OA環境が分離されているか | ネットワーク図、FWルール | 一つの平面ネットワーク |
| 35 | 外部公開資産 | 公開サーバ、VPN、RDP、クラウド管理画面の棚卸しがあるか | 資産台帳、スキャン結果 | 露出資産を把握していない |
| 36 | クラウド責任分界 | SaaS/IaaS/PaaSで委託元・委託先・クラウド事業者の責任分界が明確か | 責任分界表、設定標準 | クラウド事業者任せ |
| 37 | クラウド設定 | ストレージ公開、IAM、ログ、暗号化、バックアップ、リージョンを管理しているか | 設定証跡、CSPM結果 | 公開バケット等のリスク |
| 38 | 暗号化 | 通信・保存・可搬媒体の暗号化と鍵管理が適切か | 暗号設定、鍵管理手順 | 鍵を同じ場所に平文保存 |
開発・保守・ソフトウェアサプライチェーンの表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 39 | セキュア開発 | 要件定義、設計、実装、レビュー、テスト、リリースにセキュリティ工程があるか | SDLC手順、レビュー記録 | 納品直前まで診断なし |
| 40 | ソースコード管理 | アクセス制御、ブランチ保護、レビュー、秘密情報混入防止があるか | リポジトリ設定、レビュー履歴 | API鍵をコードに直書き |
| 41 | 脆弱性診断 | Web、API、モバイル、インフラの脆弱性診断を実施するか | 診断報告書、是正記録 | 重大脆弱性未修正 |
| 42 | OSS管理 | OSS、ライブラリ、依存関係、ライセンス、既知脆弱性を管理しているか | SBOM、SCA結果 | 依存関係が不明 |
| 43 | 変更管理 | 本番変更の承認、テスト、ロールバック、記録があるか | 変更申請、リリース記録 | 無承認で本番変更 |
| 44 | 保守接続 | 保守ベンダーの接続時間、接続元、操作ログ、承認を制御しているか | 保守手順、ログ | 常時開放の保守回線 |
ログ・監視・検知の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 45 | ログ取得 | 認証、管理者操作、データ閲覧、DL、設定変更、障害、通信を記録するか | ログ設定、保存ポリシー | 重要操作ログなし |
| 46 | ログ保全 | ログの改ざん防止、時刻同期、保存期間が適切か | NTP設定、保管設計 | 改ざん可能な場所に保存 |
| 47 | 監視体制 | 不審ログ、マルウェア、異常通信、権限乱用を監視するか | SOC報告、アラート一覧 | アラート未確認 |
| 48 | 通知連携 | 委託元に関係する異常を迅速に通知できるか | エスカレーション手順 | 委託元影響の判断基準なし |
バックアップ・事業継続・ランサムウェア対策の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 49 | バックアップ | 重要データ・設定・ログを定期的にバックアップしているか | バックアップ設計、実行記録 | バックアップなし |
| 50 | 復旧試験 | バックアップから実際に復旧できるか試験しているか | 復旧試験記録、RTO/RPO | 取得しているだけで復旧未確認 |
| 51 | オフライン・不変化 | ランサムウェアに備え、隔離・不変化バックアップがあるか | 保管設定、世代管理 | 本番と同時暗号化される設計 |
| 52 | BCP/DR | 委託業務停止時の代替手段、復旧目標、連絡体制があるか | BCP、DR計画、訓練記録 | 委託先停止で自社も長期停止 |
| 53 | サプライヤー依存 | 委託先が依存するクラウド、通信、再委託先の障害影響を把握しているか | 依存関係図 | 単一障害点不明 |
人的管理・物理的管理の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 54 | 教育 | 入社時・定期・役割別にセキュリティ教育を実施するか | 教育資料、受講記録 | 教育なし |
| 55 | フィッシング対策 | 標的型攻撃メール訓練、注意喚起、報告訓練があるか | 訓練結果、改善記録 | 報告窓口なし |
| 56 | 従業者監督 | 派遣、委託、アルバイト、海外要員を含め監督できるか | 契約・誓約書、権限台帳 | 身元・契約関係が不明 |
| 57 | 物理セキュリティ | 執務室、サーバ室、倉庫、媒体保管場所の入退室管理があるか | 入退室ログ、区画図 | 誰でも入室可能 |
| 58 | クリアデスク | 紙資料、記録媒体、印刷物、ホワイトボードを管理しているか | ルール、点検記録 | 個人情報が机上放置 |
| 59 | 媒体廃棄 | 紙、HDD、SSD、USB、バックアップ媒体を安全に廃棄するか | 廃棄証明、消去証明 | 廃棄先・消去方法不明 |
インシデント対応・法的対応の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 60 | 事故対応計画 | 漏えい、マルウェア、ランサムウェア、不正アクセス、誤送信、紛失時の手順があるか | IR計画、連絡網 | 初動手順なし |
| 61 | 連絡期限 | 委託元への初報、続報、最終報告の期限を契約化できるか | 契約条項、SLA | 調査後に必要なら連絡という姿勢 |
| 62 | 証拠保全 | ログ、端末、メール、通信、クラウド証跡を保全できるか | フォレンジック手順 | 証拠が上書きされる |
| 63 | 当局・本人対応 | 委託元が当局報告・本人通知を行うための情報提供ができるか | 報告テンプレート | 影響範囲を特定できない |
| 64 | 広報・顧客対応 | 事故時の対外説明で委託元と矛盾しない連携ができるか | 危機広報手順 | 勝手に公表・沈黙 |
| 65 | 是正措置 | 事故後の原因分析、再発防止、期限管理、委託元報告ができるか | RCA報告、是正計画 | 原因不明で再開 |
委託終了・データ削除・移行の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。
| No. | チェック項目 | 確認すべき内容 | 望ましい証跡 | 重大な懸念例 |
|---|---|---|---|---|
| 66 | 返却・削除 | 委託終了時にデータ、媒体、アカウント、鍵、資料を返却・削除できるか | 削除証明、返却リスト | 委託終了後もデータ保持 |
| 67 | バックアップ削除 | バックアップ内データの取扱い、保存期限、復元時の再削除を定めるか | バックアップ削除方針 | バックアップに永久残存 |
| 68 | 移行支援 | 他社移行、自社回収、形式変換、ログ引渡しに協力するか | Exit plan、SLA | ロックインで移行困難 |
| 69 | アカウント停止 | 委託終了時に委託先アカウントを無効化するか | 無効化記録 | 外部IDが残存 |
| 70 | 成果物権利 | ソースコード、設計書、データベース、学習済みモデル、設定ファイル等の権利・利用範囲が明確か | 知財条項、納品物一覧 | 成果物を再利用される |
0から3点評価、重み付け、AからD判定で、是正条件と経営承認を説明可能にします。
質問票は、はい・いいえの収集で終わらせず、判断可能な仕組みに変える必要があります。点数、重み付け、判定区分を分けることで、残存リスク、是正条件、契約条件、監査頻度を説明しやすくなります。
次の表は、0から3点までの評価基準を表しています。点数は運用の実態と証跡の有無を見て付けるもので、規程名の有無だけで高評価にしない点を読み取ってください。
| 点数 | 状態 | 典型例 |
|---|---|---|
| 0 | 未整備 | 規程・運用・証跡がなく、担当者の口頭説明にとどまります |
| 1 | 一部整備 | 規程はありますが、運用が限定的で証跡が不十分です |
| 2 | 概ね整備 | 規程・運用・証跡があり、委託業務に適用できますが改善余地があります |
| 3 | 高度に整備 | 定期レビュー、監査、技術検証、継続改善があり、要求水準を安定的に満たします |
次の表は、委託リスク別の重み付け例を表しています。低リスク委託では法務・契約の比重が高く、高リスク・重要委託ではID、技術、ログ、BCPの比重が高まる点が重要です。
| 分野 | 低リスク委託 | 中リスク委託 | 高リスク委託 | 重要委託 |
|---|---|---|---|---|
| ガバナンス | 10% | 10% | 12% | 12% |
| 法務・契約 | 25% | 20% | 18% | 15% |
| データ管理 | 15% | 15% | 15% | 12% |
| ID・アクセス | 10% | 15% | 18% | 18% |
| 技術管理 | 10% | 15% | 15% | 18% |
| ログ・監視 | 5% | 8% | 10% | 12% |
| BCP・バックアップ | 5% | 7% | 8% | 10% |
| 人的・物理 | 10% | 5% | 2% | 1% |
| 終了・移行 | 10% | 5% | 2% | 2% |
次の横棒グラフは、高リスク委託で比重が高くなる主要分野を表しています。横棒が長いほど評価で重く見る領域であり、管理者権限や大量個人データを扱う委託ではID・アクセス、法務・契約、技術管理が特に大きいことを読み取れます。
次の表は、評価結果をAからDに分けた場合の実務対応を表しています。C判定は現場判断で済ませず、誰が、何を、いつまでに、どの条件で受容するかを明文化する必要があります。
| 判定 | 意味 | 実務対応 |
|---|---|---|
| A | 委託可能 | 契約締結と通常監督に進みます |
| B | 条件付き委託可能 | 契約条項強化、是正期限、追加証跡提出を条件にします |
| C | 経営承認があれば委託可能 | 代替案比較、リスク受容書、監査頻度強化を求めます |
| D | 原則委託不可 | 重要不備が解消されるまで契約しない扱いにします |
質問票の回答を、秘密保持、再委託、監査権、通知、削除、解除、損害賠償へ反映します。
委託先選定時のセキュリティチェック項目で確認した内容が契約書に反映されなければ、事故時に質問票と契約義務が分断されます。重要項目は契約本文、別紙セキュリティ要件、データ処理契約、SLA、運用手順書に落とし込む必要があります。
次の表は、契約条項へ落とし込むべき主要事項を表しています。選定時の確認結果が、どの法務上の狙いにつながるかを読み取り、契約本文と別紙の役割分担を設計してください。
| 条項 | 入れるべき内容 | 法務上の狙い |
|---|---|---|
| 定義 | 委託情報、個人データ、機密情報、セキュリティインシデント、再委託先を定義します | 解釈争いを防ぎます |
| 利用目的 | 委託目的の範囲内でのみ利用可能とします | 目的外利用・AI学習流用を防ぎます |
| 安全管理措置 | 別紙要件を遵守し、同等以上の管理を維持します | 選定時確認を契約義務化します |
| 再委託 | 事前承認または事前報告、再委託先一覧、同等義務、責任継続を定めます | 再委託先の不透明化を防ぎます |
| アクセス管理 | 個人別ID、MFA、最小権限、退職者削除、アクセスレビューを定めます | 不正アクセスと内部不正に備えます |
| ログ | 取得対象、保存期間、提出条件、改ざん防止を定めます | 事故調査と監査可能性を確保します |
| 脆弱性対応 | 診断、修正期限、重大脆弱性通知、EOL禁止を定めます | 技術的不備の放置を防ぎます |
| インシデント通知 | 初報期限、連絡先、報告内容、証拠保全、当局・本人対応協力を定めます | 漏えい対応の時間的損失を抑えます |
| 監査権 | 書面監査、リモート監査、実地監査、第三者報告書提出を定めます | 継続的監督の根拠にします |
| 委託終了 | 返却、削除、削除証明、バックアップ内データ、アカウント停止を定めます | データ残存リスクを下げます |
| 損害賠償 | 責任制限、例外、漏えい・故意重過失・秘密保持違反の扱いを定めます | リスク配分を明確にします |
| 保険 | サイバー保険、専門職賠償責任保険等を確認します | 財務的なリスク耐性を見ます |
| 解除・停止 | 重大不備、事故、監査拒否、再委託違反時の解除・接続停止を定めます | 迅速なリスク遮断につなげます |
| 準拠法・裁判管轄 | 海外委託では特に明確化します | 紛争時の実効性を確保します |
次の重要ポイントは、契約別紙としてセキュリティ要件を置く場合の注意点を整理しています。詳細技術要件を更新しやすくする一方で、優先順位、改定手続、改定拒否時の協議・解除権を明確にすることが重要です。
法務、情報セキュリティ、個人情報保護、内部監査、経営層の役割とよくある失敗例を整理します。
委託先選定時のセキュリティチェック項目は、一部門だけでは十分に設計できません。事業部門、購買、法務、情報セキュリティ、個人情報保護、内部監査、経営層が、それぞれの観点で同じ候補先を確認する必要があります。
次の表は、職種・部門ごとの主な役割を表しています。どの部門がどのリスクを確認するかを明確にすることで、質問票の回収後に責任が宙に浮くことを防げます。
| 職種・部門 | 主な役割 |
|---|---|
| 事業部門 | 委託目的、業務要件、取扱情報、停止影響、代替手段を整理します |
| 購買・調達 | 候補先比較、見積、契約プロセス、反社確認、取引基本情報を取得します |
| 法務担当・企業内弁護士 | 契約条項、責任制限、再委託、監査権、解除、紛争解決、個人情報条項を設計します |
| 外部弁護士 | 高リスク案件、海外案件、漏えい・不祥事、規制業法、交渉難航時の論点を確認します |
| 個人情報保護・プライバシー担当 | 個人データ該当性、委託先監督、利用目的、本人対応、漏えい報告、越境移転を確認します |
| CISO・情報セキュリティ部門 | 技術要件、ID管理、ログ、脆弱性、クラウド、暗号化、インシデント対応を評価します |
| 内部監査担当 | チェックプロセスの妥当性、証跡、監査計画、是正フォローを確認します |
| 公認会計士・内部統制担当 | J-SOX、財務報告に係るIT統制、外部委託先の業務処理統制を確認します |
| 税理士・社労士 | 税務・給与・労務データ委託時の守秘、保存、再委託、専門職責任を確認します |
| 弁理士・知財法務担当 | ソースコード、発明、営業秘密、ライセンス、成果物権利、OSS管理を確認します |
| 中小企業診断士・経営コンサルタント | 委託先の事業継続性、業務プロセス、改善計画、過大要求の調整を確認します |
| デジタルフォレンジック専門家 | 事故時の証拠保全、ログ設計、調査可能性を確認します |
| 経営層・取締役会 | 重大委託のリスク受容、予算、人材、監督体制、事故時説明責任を確認します |
次の一覧は、委託先選定で起こりやすい失敗例を整理しています。各項目は、形式的な回答や認証名だけに依存した場合に見落としやすいポイントであり、証跡、再委託、終了管理、責任分界を重点的に読む必要があります。
認証範囲、対象拠点、対象サービス、直近監査の指摘事項、委託業務との対応関係を確認します。
はいという回答だけでなく、規程、ログ、設定画面、監査報告、教育記録、削除証明、復旧試験記録を見ます。
クラウド、翻訳、開発、サポート、保守、データ入力、廃棄、AI処理では再委託が発生しやすい点を確認します。
バックアップ、ログ、アカウント、紙資料、媒体、テストデータ、再委託先保管データまで確認します。
低額な責任上限が提示された場合は、取扱情報、想定損害、当局対応、本人対応、調査費用、保険を確認します。
ID設定、アクセス権、ログ、暗号鍵、公開設定、API連携、バックアップ、削除は利用者側の設定に依存することがあります。
中小企業、専門士業、開発、SaaS、BPO、労務、広告、廃棄、海外、生成AIでは重点項目が変わります。
委託先が中小企業や専門士業事務所の場合、大企業水準の統制を一律に求めると現実的でない場合があります。ただし、小規模だから確認しないのではなく、リスクに応じた最低基準を明確にし、実装可能な改善を求めることが重要です。
次の表は、中小企業や専門士業へ委託する場合の最低基準例を表しています。過大な形式要求ではなく、MFA、バックアップ、端末管理、秘密保持、再委託管理、事故連絡、削除証明など実効性の高い項目から確認する点を読み取ってください。
| 分野 | 最低限求めるべき内容 |
|---|---|
| 秘密保持 | 代表者・従業者・外注者に秘密保持義務を課します |
| アカウント | 共用IDを避け、重要サービスはMFAを使います |
| 端末 | OS更新、マルウェア対策、ディスク暗号化、画面ロックを行います |
| バックアップ | 重要データを定期バックアップし、復旧できることを確認します |
| 再委託 | 無断再委託を避け、必要時は事前に委託元へ通知・承認を得ます |
| インシデント | 漏えい・紛失・不正アクセスの疑いを速やかに委託元へ連絡します |
| 削除・返却 | 委託終了時にデータを返却・削除し、証明します |
次の一覧は、業務類型ごとの重点項目を表しています。同じ業務委託でも、開発、SaaS、BPO、労務、広告、廃棄、M&A・不祥事調査ではリスクの中心が異なるため、候補先の業務内容に合わせて確認範囲を変えることが重要です。
ソースコード、設計情報、テストデータ、API鍵、CI/CD、OSS、開発端末、保守接続を重点確認します。
開発権限契約約款、データ所在、再委託先、サポートアクセス、ログ取得、退会時削除、AI学習利用、認証連携を確認します。
SaaS設定顧客情報、本人確認情報、音声録音、画面閲覧、紙メモ、持ち出し、派遣スタッフ管理を確認します。
BPO教育氏名、住所、家族、給与、マイナンバー、健康情報、休職情報など高感度情報の管理を確認します。
労務個人データCookie、広告ID、メールアドレス、購買履歴、個人関連情報、プロファイリング、越境移転を確認します。
広告二次利用廃棄証明、消去方式、物理破壊、輸送管理、保管区画、再委託、作業写真、シリアル番号照合を確認します。
廃棄証明次の表は、海外委託・グローバル案件で国内委託に追加して確認する項目を表しています。契約文言だけでなく、現地法、時差、クラウド約款、削除証明、監査可能性の実効性まで確認することが重要です。
| 項目 | 確認内容 |
|---|---|
| データ所在国 | 保存国、処理国、サポートアクセス国、バックアップ国を確認します |
| 再移転 | 第三国、海外関連会社、クラウドへ移るかを確認します |
| 法令 | 現地個人情報法、政府アクセス、データローカライゼーション、制裁、輸出管理を確認します |
| 契約言語 | 日本語・英語の優先関係、通知文言、報告書の言語を確認します |
| 準拠法 | 日本法にできるか、外国法の場合のリスクを確認します |
| 裁判管轄・仲裁 | 実効的に紛争解決できるかを確認します |
| 監査可能性 | 実地監査、第三者監査、SOC報告、現地法による制限を確認します |
| 時差・連絡 | 事故時の24時間連絡、休日対応、エスカレーションを確認します |
| 削除証明 | 現地、クラウド、バックアップ、再委託先まで証明できるかを確認します |
| 暗号鍵 | 鍵保管国、鍵管理者、委託元管理鍵の可否を確認します |
次の表は、生成AI・データ分析委託で追加確認すべき項目を表しています。生成AI利用を一律禁止するのではなく、委託情報が学習、再利用、第三者提供、ログ保存、海外処理、モデル改善に使われるかを読み取ることが重要です。
| 項目 | 確認内容 |
|---|---|
| AI利用有無 | 委託業務で生成AI、機械学習、外部APIを使うかを確認します |
| 入力データ | 個人データ、営業秘密、契約書、ソースコード、未公開情報を入力するかを確認します |
| 学習利用 | 入力データがモデル学習・改善に使われるかを確認します |
| 保存期間 | プロンプト、出力、ログ、メタデータの保存期間を確認します |
| 再委託 | AIサービス提供者、クラウド、海外処理の有無を確認します |
| 出力確認 | 誤り、著作権侵害、機密混入、差別、ハルシネーションへの確認体制を確認します |
| 人間の関与 | 最終判断を人間がレビューするかを確認します |
| 契約条項 | AI利用禁止、事前承認、学習利用禁止、ログ削除、監査条項を確認します |
委託台帳、質問票、証跡要求、評価会議、契約前評価、定期監督、終了管理を一連の制度にします。
実務導入では、新規委託だけを厳しくしても既存委託のリスクが残ります。委託台帳、標準質問票、証跡要求、評価会議、契約・発注プロセス、定期監督、終了管理を連続させる必要があります。
次の時系列は、委託先選定時のセキュリティチェック項目を社内運用へ組み込む順番を表しています。上から順に進めることで、台帳がない、証跡要求が過大、評価結果が契約に反映されない、終了時にデータが残るといった問題を防げます。
契約名、委託先名、業務内容、取扱情報、接続権限、再委託、契約期間、担当部署、契約書保管場所、監査有無、リスクランクを整理します。
低・中・高・重要のリスクランク別に、全社共通の必須項目と、個人データ、クラウド、開発、海外、AI、決済、労務、知財などの追加項目を分けます。
すべての回答に証跡を求めず、ゲート項目と高リスク項目に絞って、規程、設定画面、監査報告、診断結果、教育記録、削除証明、復旧試験記録を求めます。
事業部門、購買、法務、情報セキュリティ、個人情報保護担当が、残存リスク、是正条件、契約条件、監査頻度を決めます。
契約締結前に評価を完了させ、緊急導入では期限付き暫定承認、最小権限、データ制限、経営承認を設けます。
年1回の自己点検、重要委託の半期監査、インシデント後の臨時監査、再委託変更時・契約更新時の再評価を行います。
データ返却、削除、バックアップ取扱い、アカウント停止、媒体廃棄、再委託先削除、削除証明、ログ保管、成果物権利、移行支援を確認します。
次の表は、中リスク以上の委託で使える簡易質問票の構成を表しています。詳細版へ拡張する前に、基本情報、体制、法務、アクセス、技術、ログ、BCP、人的・物理的管理、事故対応を一通り押さえることが重要です。
| 区分 | 領域 | 確認質問の要点 |
|---|---|---|
| 1 | 基本情報 | 委託先名、回答者、対象業務、対象拠点、回答日、再委託、取扱情報、海外処理の有無を確認します |
| 2 | 組織体制 | 情報セキュリティ方針、責任者、個人情報保護責任者、認証・評価の対象範囲を確認します |
| 3 | 法務・個人情報 | 目的外利用禁止、再委託の承認・報告、同等義務、終了時の削除証明を確認します |
| 4 | アクセス管理 | 個人別ID、MFA、退職者・異動者のアカウント削除、権限棚卸しを確認します |
| 5 | 技術対策 | 端末台帳、暗号化、マルウェア対策、パッチ適用、クラウド責任分界、脆弱性管理を確認します |
| 6 | ログ・監視 | 認証、管理者操作、データアクセス、設定変更のログと通知体制を確認します |
| 7 | バックアップ・BCP | 定期バックアップ、復旧試験、隔離・不変化バックアップ、代替手順を確認します |
| 8 | 人的・物理的管理 | 秘密保持義務、教育、入退室管理、紙資料・媒体管理、廃棄証明を確認します |
| 9 | インシデント対応 | 対応手順、初報・続報・最終報告、証拠保全、原因分析、再発防止を確認します |
比例的な要求、レッドフラッグ、リスクランク別必須項目、証跡の秘密保持を整理します。
委託先選定時のセキュリティチェック項目は、厳しければよいわけではありません。合理性を欠く要求は取引コストを上げ、優良な中小委託先を排除し、形式的な回答を誘発します。一方で、個人データ、大量顧客情報、管理者権限、基幹業務、決済、医療・金融・労務、訴訟資料、営業秘密を扱う場合は低い要求水準を正当化しにくくなります。
次の一覧は、過大要求を避けながらも最低限押さえるべき視点を表しています。取引先の規模ではなく、守るべき情報と業務への影響に対して比例的で説明可能な要求になっているかを読み取ってください。
公開情報しか扱わない委託に、実地監査や高度なSOC体制を求めないようにします。
中小委託先には、MFA、バックアップ、教育、事故連絡、再委託管理などから求めます。
認証取得を必須にする場合も、代替証跡や改善計画を認める余地を検討します。
後出しで過剰な要件を追加せず、求める水準を事前に共有します。
委託先の営業秘密やセキュリティ上の機微情報を不必要に求めないようにします。
不備がある場合でも、リスクと是正可能性に応じて条件付き委託を検討します。
次の一覧は、不合格または経営承認が必要となるレッドフラッグを表しています。各項目は、点数評価だけでは見逃しやすい重大な停止条件であり、該当する場合は代替案、是正、契約条件、経営層のリスク受容を確認する必要があります。
委託先が取扱情報の保管場所を説明できません。
再委託先の有無を開示しません。
秘密保持義務、目的外利用禁止、削除・返却に応じません。
重大インシデント時の委託元通知に応じません。
管理者IDを共用しています。
多要素認証を導入できません。
退職者アカウント削除手順がありません。
重要ログを取得していません。
バックアップがない、または復旧試験をしていません。
重大脆弱性を長期間放置しています。
クラウドの責任分界や設定管理を説明できません。
委託終了時にバックアップ内データを含めた削除方針がありません。
過去の重大事故について原因分析・再発防止を説明できません。
海外処理があるのに所在国、再移転、準拠法、監査可能性が不明です。
委託情報を生成AIや広告・分析に二次利用する可能性を否定しません。
次の表は、リスクランク別の必須項目一覧を表しています。低リスクでは推奨にとどまる項目でも、中・高・重要委託では必須化される項目が増えるため、ランク変更時には質問票と契約要件も更新する点を読み取ってください。
| 項目 | 低 | 中 | 高 | 重要 |
|---|---|---|---|---|
| 秘密保持契約 | 必須 | 必須 | 必須 | 必須 |
| 目的外利用禁止 | 必須 | 必須 | 必須 | 必須 |
| 反社確認 | 必須 | 必須 | 必須 | 必須 |
| 個人データ有無確認 | 推奨 | 必須 | 必須 | 必須 |
| 再委託確認 | 推奨 | 必須 | 必須 | 必須 |
| 再委託事前承認 | 任意 | 推奨 | 必須 | 必須 |
| セキュリティ質問票 | 簡易 | 標準 | 詳細 | 詳細+監査 |
| 証跡提出 | 任意 | 一部 | 重要項目 | 重要項目+第三者評価 |
| MFA | 推奨 | 必須 | 必須 | 必須 |
| 個人別ID | 推奨 | 必須 | 必須 | 必須 |
| ログ取得 | 任意 | 推奨 | 必須 | 必須 |
| バックアップ | 推奨 | 必須 | 必須 | 必須 |
| 復旧試験 | 任意 | 推奨 | 必須 | 必須 |
| 脆弱性管理 | 任意 | 推奨 | 必須 | 必須 |
| インシデント通知条項 | 推奨 | 必須 | 必須 | 必須 |
| 監査権 | 任意 | 推奨 | 必須 | 必須 |
| 終了時削除証明 | 推奨 | 必須 | 必須 | 必須 |
| 経営承認 | 不要 | 任意 | 推奨 | 必須 |
次の重要ポイントは、証跡の取り扱いと秘密保持の関係を整理しています。委託元が詳細な証跡を求めるほど、委託先のセキュリティ情報や営業秘密に触れるため、受領範囲、共有範囲、保存期間、第三者開示の根拠を先に決めることが重要です。
一般的な制度説明に絞り、個別案件の判断は資料を整理して専門家に相談する前提で整理します。
一般的には、取扱情報、接続権限、業務重要度、再委託、海外処理、規制業法に応じて確認の深度を変える運用が考えられます。ただし、個別の契約内容、取扱情報、業界規制、社内規程によって必要な確認は変わる可能性があります。具体的な設計は、関係資料を整理したうえで弁護士等の専門家や情報セキュリティ担当者へ相談する必要があります。
一般的には、ISO/IEC 27001認証は有力な確認材料とされています。ただし、認証範囲が委託業務に含まれるか、有効期間内か、適用宣言書や監査指摘がどうなっているかによって評価は変わる可能性があります。具体的には、認証書だけでなく、委託業務との対応関係を確認する必要があります。
一般的には、再委託を一律に禁止するか、事前承認・事前報告の条件付きで認めるかは、委託業務と取扱情報によって判断が変わります。クラウド、開発、サポート、廃棄、AI処理では再委託が実務上発生しやすいため、再委託先の開示、同等義務、監査、事故通知、終了時削除を確認する必要があります。
一般的には、委託先の規模だけでなく、守るべき情報と業務影響に応じて比例的な要求を設定するとされています。公開情報だけを扱う委託と、大量個人データや管理者権限を扱う委託では求める水準が変わります。具体的には、MFA、バックアップ、秘密保持、事故連絡、再委託管理、削除証明など実効性の高い項目から確認する必要があります。
一般的には、生成AI利用そのものを一律に禁止するのではなく、入力データ、学習利用、保存期間、再委託、海外処理、出力確認、人間のレビュー、契約条項を確認する運用が考えられます。ただし、個人データ、営業秘密、契約書、ソースコード、未公開情報を扱う場合は結論が変わる可能性があります。具体的な可否や条件は、資料を整理したうえで専門家に相談する必要があります。
公的機関、標準化団体、実務基準に関する資料名を整理します。