2σ Guide

委託先選定時の
セキュリティチェック項目

委託先に業務、システム、個人データ、営業秘密、クラウド、AI処理を任せる前に、法務・個人情報保護・サイバーセキュリティ・経営判断を一体で確認するための実務整理です。

5原則設計の基本方針
70項目総合チェックリスト
4ランク低・中・高・重要
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

委託先選定時の セキュリティチェック項目

価格・納期・品質だけでなく、法務、個人情報保護、サイバーリスク、内部統制、経営判断をつなげて確認します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
委託先選定時の セキュリティチェック項目
価格・納期・品質だけでなく、法務、個人情報保護、サイバーリスク、内部統制、経営判断をつなげて確認します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 委託先選定時の セキュリティチェック項目
  • 価格・納期・品質だけでなく、法務、個人情報保護、サイバーリスク、内部統制、経営判断をつなげて確認します。

POINT 1

  • 委託先選定時のセキュリティチェック項目の全体像
  • 価格・納期・品質だけでなく、法務、個人情報保護、サイバーリスク、内部統制、経営判断をつなげて確認します。
  • リスクベース
  • 証跡ベース
  • 契約ベース

POINT 2

  • 委託先選定時のセキュリティチェック項目を支える法令・標準
  • 個人情報保護法、サイバーセキュリティ経営、SCS評価制度、ISO、NISTを参照軸として整理します。
  • 認証や制度名は有力な材料ですが、委託業務の範囲に適用されるかまで確認する必要があります。
  • 定義をそろえることは、質問票、契約条項、監査、インシデント対応の読み違いを防ぐために重要です。
  • どの根拠がどの確認項目に効くかを把握することで、質問票の根拠と契約条項の関係を説明しやすくなります。

POINT 3

  • 委託先選定時のセキュリティチェック項目はリスクランクで設計します
  • 1. 委託内容を棚卸しします:取扱情報、権限、再委託、海外処理、停止影響を整理します。
  • 2. ゲート項目を確認します:秘密保持、目的外利用禁止、再委託、通知、削除、個人別ID、MFA、ログ、バックアップ等を見ます。
  • 3. 原則契約を止めます:是正または経営層の明示的リスク受容を求めます。
  • 4. 点数評価へ進みます:改善計画、契約条件、監査頻度に反映します。

POINT 4

  • 委託先選定時のセキュリティチェック項目70項目
  • ガバナンス、契約、データ、ID、技術、ログ、BCP、人的・物理、事故対応、終了管理を確認します。
  • ガバナンス・組織体制
  • 法務・契約・コンプライアンス
  • データ分類・データの流れ・最小化

POINT 5

  • 委託先選定時のセキュリティチェック項目を評価モデルに変える
  • 0から3点評価、重み付け、AからD判定で、是正条件と経営承認を説明可能にします。
  • 質問票は、はい・いいえの収集で終わらせず、判断可能な仕組みに変える必要があります。
  • 点数、重み付け、判定区分を分けることで、残存リスク、是正条件、契約条件、監査頻度を説明しやすくなります。
  • 点数は運用の実態と証跡の有無を見て付けるもので、規程名の有無だけで高評価にしない点を読み取ってください。

POINT 6

  • 委託先選定時のセキュリティチェック項目を契約条項へ接続します
  • 質問票の回答を、秘密保持、再委託、監査権、通知、削除、解除、損害賠償へ反映します。
  • 委託先選定時のセキュリティチェック項目で確認した内容が契約書に反映されなければ、事故時に質問票と契約義務が分断されます。
  • 重要項目は契約本文、別紙セキュリティ要件、データ処理契約、SLA、運用手順書に落とし込む必要があります。
  • 選定時の確認結果が、どの法務上の狙いにつながるかを読み取り、契約本文と別紙の役割分担を設計してください。

POINT 7

  • 委託先選定時のセキュリティチェック項目は部門横断で確認します
  • 認証取得だけで判断
  • 認証範囲、対象拠点、対象サービス、直近監査の指摘事項、委託業務との対応関係を確認します。
  • 回答を証跡なしで信頼
  • はいという回答だけでなく、規程、ログ、設定画面、監査報告、教育記録、削除証明、復旧試験記録を見ます。

POINT 8

  • 委託先選定時のセキュリティチェック項目を業務類型別に調整します
  • 中小企業、専門士業、開発、SaaS、BPO、労務、広告、廃棄、海外、生成AIでは重点項目が変わります。
  • 委託先が中小企業や専門士業事務所の場合、大企業水準の統制を一律に求めると現実的でない場合があります。
  • ただし、小規模だから確認しないのではなく、リスクに応じた最低基準を明確にし、実装可能な改善を求めることが重要です。
  • ソースコード、設計情報、テストデータ、API鍵、CI/CD、OSS、開発端末、保守接続を重点確認します。

まとめ

  • 委託先選定時の セキュリティチェック項目
  • 委託先選定時のセキュリティチェック項目の全体像:価格・納期・品質だけでなく、法務、個人情報保護、サイバーリスク、内部統制、経営判断をつなげて確認します。
  • 委託先選定時のセキュリティチェック項目を支える法令・標準:個人情報保護法、サイバーセキュリティ経営、SCS評価制度、ISO、NISTを参照軸として整理します。
  • 委託先選定時のセキュリティチェック項目はリスクランクで設計します:委託の棚卸し、4段階ランク、ゲート項目と点数項目の分離で、確認の深度を調整します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

委託先選定時のセキュリティチェック項目の全体像

価格・納期・品質だけでなく、法務、個人情報保護、サイバーリスク、内部統制、経営判断をつなげて確認します。

委託先選定時のセキュリティチェック項目は、購買部門の質問票にとどまりません。外部事業者に業務、システム運用、クラウド利用、開発、コールセンター、給与計算、物流、広告運用、データ分析、AI処理、保守、監視、廃棄、BPO等を委ねる場面では、情報資産、個人データ、営業秘密、知的財産、顧客接点、内部統制、事業継続に直接影響します。

このページでは、委託先選定時のセキュリティチェック項目を、法務、個人情報保護、サイバーセキュリティ、内部監査、経営判断の観点から整理します。個別案件の結論は契約内容、取扱情報、規制業法、海外関係、証跡の状況で変わるため、具体的な対応は弁護士等の専門家や情報セキュリティ担当者に確認する必要があります。

次の一覧は、委託先選定時のセキュリティチェック項目を設計する際の5原則を表しています。どの原則が欠けると形式的な確認に流れやすいかを読み取り、チェック項目を契約・監督・経営承認まで接続する視点を持つことが重要です。

Principle 01

リスクベース

取扱情報、接続権限、業務重要度、停止影響、再委託、国外移転、規制業法に応じて確認の濃淡を付けます。

Principle 02

証跡ベース

実施していますという回答だけではなく、規程、台帳、ログ、監査報告、教育記録、復旧試験記録などで確認します。

Principle 03

契約ベース

選定時の確認結果を秘密保持、目的外利用禁止、再委託制限、監査権、通知、削除・返却、解除に接続します。

Principle 04

継続監督ベース

選定時だけでなく、定期監査、変更管理、是正計画、終了時削除、再委託先変更時の承認まで管理します。

Principle 05

経営判断ベース

重大委託では、現場判断だけでなく、経営層、CISO、法務、個人情報保護責任者、内部監査、事業責任者が残余リスクを確認します。

次の強調表示は、このページ全体の結論を一文に集約しています。委託先の回答を集めるだけでは足りず、委託業務の内容と証跡を見たうえで、契約・監督・終了管理へつなげる点を読み取ってください。

選定時確認は、契約前の経営リスク判断です

委託元は、委託業務の内容、取扱情報、接続権限、再委託、事業停止影響、法令・規制、海外関係を踏まえ、委託先が必要かつ適切な安全管理措置を実効的に講じられることを証跡に基づいて確認します。

Section 01

委託先選定時のセキュリティチェック項目を支える法令・標準

個人情報保護法、サイバーセキュリティ経営、SCS評価制度、ISO、NISTを参照軸として整理します。

委託先選定時のセキュリティチェック項目は、用語の意味をそろえたうえで、個人情報保護法、サイバーセキュリティ経営、SCS評価制度、ISO/IEC 27001・27002、NIST C-SCRMを参照して設計します。認証や制度名は有力な材料ですが、委託業務の範囲に適用されるかまで確認する必要があります。

次の表は、委託先管理で頻出する用語を整理しています。定義をそろえることは、質問票、契約条項、監査、インシデント対応の読み違いを防ぐために重要です。

用語このページでの意味確認上のポイント
委託先委託元から業務の全部または一部を引き受け、情報、システム、施設、ネットワーク、業務プロセス、顧客接点、成果物に関与する外部事業者です契約類型にかかわらず、実質的な情報接触と業務依存を見ます
再委託先委託先が委託業務の一部をさらに第三者へ委ねる相手です委託元が直接契約していなくても、情報へ接触するなら監督対象になります
個人情報・個人データ個人情報は特定の個人を識別できる情報等で、個人データは個人情報データベース等を構成する個人情報です個人データを取り扱わせる場合は安全管理措置と委託先監督が問題になります
安全管理措置漏えい、滅失、毀損、不正利用、改ざん、消失、停止を防ぐ組織的、人的、物理的、技術的対策です事業規模、取扱状況、媒体、権利利益侵害リスクに応じて確認します
情報資産個人データ、営業秘密、技術情報、ソースコード、顧客リスト、契約書、財務情報、認証情報、ログ、鍵、バックアップ等です情報そのものと処理環境を一体で評価します
CIA機密性、完全性、可用性を指しますアクセス制御、改ざん防止、必要時の利用可能性をまとめて確認します
セキュリティチェック管理体制、人的・物理的・技術的管理、法令遵守、再委託管理、事故対応、事業継続、証跡、契約履行可能性を委託開始前に確認するプロセスです評価結果を契約、監督、是正へ接続します

次の比較表は、委託先選定時のセキュリティチェック項目を支える主な法令・標準・実務基準を並べています。どの根拠がどの確認項目に効くかを把握することで、質問票の根拠と契約条項の関係を説明しやすくなります。

参照軸見るべきポイント選定時の使い方
個人情報保護法個人データの安全管理が図られるよう、委託先に必要かつ適切な監督を行う考え方です適切な委託先の選定、委託契約、取扱状況の把握を三本柱にします
海外委託・越境処理海外クラウド、海外SaaS、海外BPO、オフショア開発、海外AIサービスでは域外適用やデータ所在が問題になります所在国、再移転、政府アクセス、準拠法、監査可能性、削除証明を確認します
サイバーセキュリティ経営IT投資やセキュリティ投資は経営者の判断事項であり、サプライチェーン全体の対策が求められます質問票を経営リスク管理の統制文書として扱います
SCS評価制度サプライチェーン企業の対策状況を共通基準で評価・可視化する構想です任意の制度という点を踏まえ、要求事項・評価基準を共通チェックリストとして活用します
ISO/IEC 27001・27002ISMS要求事項と情報セキュリティ管理策の参照軸です認証範囲、有効性、適用宣言書、是正未了事項を確認します
NIST C-SCRMサイバーサプライチェーンリスクを組織全体で識別・評価・低減する考え方です委託先を外部供給者ではなく、自社リスク管理体系の構成要素として評価します
Section 02

委託先選定時のセキュリティチェック項目はリスクランクで設計します

委託の棚卸し、4段階ランク、ゲート項目と点数項目の分離で、確認の深度を調整します。

チェックリストを送る前に、自社側で委託の棚卸しを行います。委託目的、取扱情報、接続権限、業務重要度が不明なまま質問票を送ると、低リスク委託には過大要求となり、高リスク委託には過小確認となります。

次の表は、委託先へ確認する前に委託元が整理すべき情報を表しています。各行の問いが曖昧なほど、質問票の深度、契約条項、監査頻度を誤りやすくなるため、先に自社側で回答できる状態にすることが重要です。

確認事項具体的な問い実務上の意味
委託目的何の業務を外部に任せるか目的外利用禁止と必要最小限提供の前提になります
取扱情報個人データ、営業秘密、認証情報、財務情報、知財、医療・金融・労務情報を含むか法令対応と管理策の水準を決めます
接続権限VPN、API、管理者権限、リモート接続を与えるかID管理、ログ、端末制御の確認深度を決めます
業務重要度委託先停止で自社業務が止まるかBCP、代替手段、解除権の設計に影響します
再委託第三者を使う可能性があるか再委託承認と同等義務の設計が必要になります
データ所在国内のみか、海外処理・海外保管を含むか越境移転、域外適用、準拠法の検討につながります
規制業法金融、医療、通信、教育、公共、重要インフラ等に該当するか業界別規制と監督官庁対応に影響します
委託期間短期単発か、継続的か定期監査、ログ保管、終了管理の設計に影響します

次の表は、委託を低・中・高・重要の4段階に分ける考え方を表しています。委託先の企業規模ではなく、委託元にとっての情報・権限・停止影響でランクを決める点を読み取ってください。

ランク典型例チェック深度承認者
公開情報のみを扱う単発制作、機密情報を渡さない一般業務基本質問、NDA、反社確認、最低限の秘密保持事業部・購買
社内資料、限定的な個人データ、通常のSaaS、保守標準質問票、証跡一部確認、契約条項、年次確認事業部長・法務・IT
大量個人データ、顧客DB、管理者権限、決済・労務・医療・金融情報、継続BPO詳細質問票、規程・監査報告確認、再委託審査、脆弱性・BCP確認CISO・個人情報保護責任者・法務責任者
重要基幹システム、全社ID基盤、SOC、クラウド基盤、重要インフラ、M&A・不祥事調査データ実地監査、第三者評価、技術検証、経営会議承認、代替計画経営会議・取締役会相当

次の判断の流れは、ゲート項目と点数項目を分ける理由を表しています。合計点が高くても、再委託非開示、共用管理者ID、通知拒否、削除証明拒否などの重大事項があれば、条件付き承認や経営承認に進む点が重要です。

ゲート項目と点数項目の使い分け

委託内容を棚卸しします

取扱情報、権限、再委託、海外処理、停止影響を整理します。

ゲート項目を確認します

秘密保持、目的外利用禁止、再委託、通知、削除、個人別ID、MFA、ログ、バックアップ等を見ます。

重大不備あり
原則契約を止めます

是正または経営層の明示的リスク受容を求めます。

重大不備なし
点数評価へ進みます

改善計画、契約条件、監査頻度に反映します。

Section 03

委託先選定時のセキュリティチェック項目70項目

ガバナンス、契約、データ、ID、技術、ログ、BCP、人的・物理、事故対応、終了管理を確認します。

総合チェックリストは、全項目をすべての委託に機械的に適用するためのものではありません。リスクランクに応じて必要項目を選び、回答、証跡、重大な懸念例をセットで確認するための土台として使います。

ガバナンス・組織体制

ガバナンス・組織体制の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
1情報セキュリティ方針経営者が承認した方針があるか方針書、社内規程、承認記録方針が口頭のみ、最終改定日が不明
2責任者CISO、情報セキュリティ責任者、個人情報保護責任者が明確か組織図、職務分掌、任命書事故時の責任者が不明
3ISMS等ISO/IEC 27001、SOC 2、ISMAP、Pマーク、SCS等の認証・評価があるか認証書、適用範囲、監査報告概要認証範囲が委託業務を含まない
4リスク評価年次または変更時にリスク評価を行っているかリスク台帳、評価シート、是正計画リスク評価の概念がない
5経営レビューセキュリティ状況を経営層に報告しているか会議体資料、議事録、KPI現場担当者だけで判断
6内部規程体系情報管理、個人情報、アクセス、ログ、媒体、廃棄、事故対応等の規程があるか規程一覧、改定履歴規程が断片的で現場に未周知
7内部監査セキュリティ・個人情報管理に関する内部監査を実施しているか監査計画、監査報告、是正記録監査なし、是正期限なし

法務・契約・コンプライアンス

法務・契約・コンプライアンスの表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
8法令遵守体制個人情報保護法、業法、下請法、独禁法、労働法、著作権法等への対応体制があるかコンプライアンス規程、研修資料法令遵守責任者がいない
9秘密保持役職員・再委託先に秘密保持義務を課しているか雇用契約、誓約書、再委託契約退職者・派遣者の義務が不明
10目的外利用禁止委託情報を委託目的以外に利用しない体制か契約案、規程、教育資料分析・AI学習・広告利用に転用可能
11個人データ取扱い取得、利用、保管、削除、第三者提供、本人対応の役割分担が明確かデータ処理契約、取扱手順役割分担が曖昧
12再委託制限再委託の有無、範囲、承認・報告、同等義務の課し方が明確か再委託先一覧、契約条項無断再委託、再委託先非開示
13監査権委託元が合理的に取扱状況を把握できるか監査条項、報告書提出条項監査・資料提出を全面拒否
14インシデント通知漏えい、侵害、停止、脆弱性悪用、再委託先事故時の通知義務があるか通知手順、契約条項、連絡網通知期限・窓口がない
15損害賠償・補償責任制限がリスクに比して過小でないか契約案、保険証券重大過失・漏えいでも低額上限
16解除・停止重大な不備や事故時に契約解除・接続停止できるか契約条項委託元が停止できない
17反社・制裁反社会的勢力、制裁対象、輸出管理上の懸念を確認したか反社チェック記録、制裁リスト確認海外関係者の確認なし

データ分類・データの流れ・最小化

データ分類・データの流れ・最小化の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
18データ分類委託先が情報を機密度別に分類できるか分類基準、ラベル運用すべて同じ扱い
19データの流れどのデータが、どこからどこへ、誰により、どのシステムで処理されるかデータの流れの図、処理一覧保管場所・経路不明
20必要最小限委託目的に不要なデータを渡さない設計か項目一覧、マスキング設計全量コピーを要求
21保管期間データの保管期間と削除時期が明確か保管・削除規程、契約条項無期限保管
22テストデータ本番個人データを開発・検証に使わないかマスキング手順、テストデータ規程本番データをそのまま利用
23生成AI利用委託情報を生成AI、外部AI、機械学習、プロンプトに投入するかAI利用規程、利用サービス一覧無断で外部AIに入力

ID・アクセス管理

ID・アクセス管理の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
24個人別ID共用IDではなく個人別IDを使うかアカウント台帳、設定画面管理者IDを複数人で共有
25最小権限業務に必要な最小権限のみ付与するか権限設計表、承認記録全員管理者権限
26MFA管理者、リモート接続、クラウド、重要システムに多要素認証を使うかMFA設定証跡、ポリシーパスワードのみ
27入退職・異動入社、異動、退職、契約終了時のID発行・変更・削除が管理されるかJML手順、削除記録退職者IDが残る
28特権ID管理管理者権限の承認、利用記録、棚卸しがあるか特権ID台帳、ログ特権操作の記録なし
29アクセスレビュー定期的に権限棚卸しを行うかレビュー記録、是正記録長期間レビューなし
30リモート接続VPN、ゼロトラスト、端末制限、接続元制限があるか接続設定、端末認証記録私物端末から自由接続

端末・ネットワーク・クラウド管理

端末・ネットワーク・クラウド管理の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
31端末管理業務端末を台帳管理し、暗号化、画面ロック、EDR等を適用しているか端末台帳、MDM/EDR画面私物端末に機密保存
32マルウェア対策EDR、アンチウイルス、振る舞い検知等が運用されるか管理画面、検知レポート定義更新なし
33パッチ管理OS、ミドルウェア、アプリ、VPN機器等の脆弱性修正が迅速かパッチ台帳、SLAEOL製品を放置
34ネットワーク分離重要環境、開発環境、管理環境、一般OA環境が分離されているかネットワーク図、FWルール一つの平面ネットワーク
35外部公開資産公開サーバ、VPN、RDP、クラウド管理画面の棚卸しがあるか資産台帳、スキャン結果露出資産を把握していない
36クラウド責任分界SaaS/IaaS/PaaSで委託元・委託先・クラウド事業者の責任分界が明確か責任分界表、設定標準クラウド事業者任せ
37クラウド設定ストレージ公開、IAM、ログ、暗号化、バックアップ、リージョンを管理しているか設定証跡、CSPM結果公開バケット等のリスク
38暗号化通信・保存・可搬媒体の暗号化と鍵管理が適切か暗号設定、鍵管理手順鍵を同じ場所に平文保存

開発・保守・ソフトウェアサプライチェーン

開発・保守・ソフトウェアサプライチェーンの表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
39セキュア開発要件定義、設計、実装、レビュー、テスト、リリースにセキュリティ工程があるかSDLC手順、レビュー記録納品直前まで診断なし
40ソースコード管理アクセス制御、ブランチ保護、レビュー、秘密情報混入防止があるかリポジトリ設定、レビュー履歴API鍵をコードに直書き
41脆弱性診断Web、API、モバイル、インフラの脆弱性診断を実施するか診断報告書、是正記録重大脆弱性未修正
42OSS管理OSS、ライブラリ、依存関係、ライセンス、既知脆弱性を管理しているかSBOM、SCA結果依存関係が不明
43変更管理本番変更の承認、テスト、ロールバック、記録があるか変更申請、リリース記録無承認で本番変更
44保守接続保守ベンダーの接続時間、接続元、操作ログ、承認を制御しているか保守手順、ログ常時開放の保守回線

ログ・監視・検知

ログ・監視・検知の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
45ログ取得認証、管理者操作、データ閲覧、DL、設定変更、障害、通信を記録するかログ設定、保存ポリシー重要操作ログなし
46ログ保全ログの改ざん防止、時刻同期、保存期間が適切かNTP設定、保管設計改ざん可能な場所に保存
47監視体制不審ログ、マルウェア、異常通信、権限乱用を監視するかSOC報告、アラート一覧アラート未確認
48通知連携委託元に関係する異常を迅速に通知できるかエスカレーション手順委託元影響の判断基準なし

バックアップ・事業継続・ランサムウェア対策

バックアップ・事業継続・ランサムウェア対策の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
49バックアップ重要データ・設定・ログを定期的にバックアップしているかバックアップ設計、実行記録バックアップなし
50復旧試験バックアップから実際に復旧できるか試験しているか復旧試験記録、RTO/RPO取得しているだけで復旧未確認
51オフライン・不変化ランサムウェアに備え、隔離・不変化バックアップがあるか保管設定、世代管理本番と同時暗号化される設計
52BCP/DR委託業務停止時の代替手段、復旧目標、連絡体制があるかBCP、DR計画、訓練記録委託先停止で自社も長期停止
53サプライヤー依存委託先が依存するクラウド、通信、再委託先の障害影響を把握しているか依存関係図単一障害点不明

人的管理・物理的管理

人的管理・物理的管理の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
54教育入社時・定期・役割別にセキュリティ教育を実施するか教育資料、受講記録教育なし
55フィッシング対策標的型攻撃メール訓練、注意喚起、報告訓練があるか訓練結果、改善記録報告窓口なし
56従業者監督派遣、委託、アルバイト、海外要員を含め監督できるか契約・誓約書、権限台帳身元・契約関係が不明
57物理セキュリティ執務室、サーバ室、倉庫、媒体保管場所の入退室管理があるか入退室ログ、区画図誰でも入室可能
58クリアデスク紙資料、記録媒体、印刷物、ホワイトボードを管理しているかルール、点検記録個人情報が机上放置
59媒体廃棄紙、HDD、SSD、USB、バックアップ媒体を安全に廃棄するか廃棄証明、消去証明廃棄先・消去方法不明

インシデント対応・法的対応

インシデント対応・法的対応の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
60事故対応計画漏えい、マルウェア、ランサムウェア、不正アクセス、誤送信、紛失時の手順があるかIR計画、連絡網初動手順なし
61連絡期限委託元への初報、続報、最終報告の期限を契約化できるか契約条項、SLA調査後に必要なら連絡という姿勢
62証拠保全ログ、端末、メール、通信、クラウド証跡を保全できるかフォレンジック手順証拠が上書きされる
63当局・本人対応委託元が当局報告・本人通知を行うための情報提供ができるか報告テンプレート影響範囲を特定できない
64広報・顧客対応事故時の対外説明で委託元と矛盾しない連携ができるか危機広報手順勝手に公表・沈黙
65是正措置事故後の原因分析、再発防止、期限管理、委託元報告ができるかRCA報告、是正計画原因不明で再開

委託終了・データ削除・移行

委託終了・データ削除・移行の表は、委託先選定時のセキュリティチェック項目のうち、この分野で確認する対象、証跡、重大な懸念例を整理しています。項目番号の順に見ることで、回答だけでなく証跡と懸念を同時に確認できます。

No.チェック項目確認すべき内容望ましい証跡重大な懸念例
66返却・削除委託終了時にデータ、媒体、アカウント、鍵、資料を返却・削除できるか削除証明、返却リスト委託終了後もデータ保持
67バックアップ削除バックアップ内データの取扱い、保存期限、復元時の再削除を定めるかバックアップ削除方針バックアップに永久残存
68移行支援他社移行、自社回収、形式変換、ログ引渡しに協力するかExit plan、SLAロックインで移行困難
69アカウント停止委託終了時に委託先アカウントを無効化するか無効化記録外部IDが残存
70成果物権利ソースコード、設計書、データベース、学習済みモデル、設定ファイル等の権利・利用範囲が明確か知財条項、納品物一覧成果物を再利用される
Section 04

委託先選定時のセキュリティチェック項目を評価モデルに変える

0から3点評価、重み付け、AからD判定で、是正条件と経営承認を説明可能にします。

質問票は、はい・いいえの収集で終わらせず、判断可能な仕組みに変える必要があります。点数、重み付け、判定区分を分けることで、残存リスク、是正条件、契約条件、監査頻度を説明しやすくなります。

次の表は、0から3点までの評価基準を表しています。点数は運用の実態と証跡の有無を見て付けるもので、規程名の有無だけで高評価にしない点を読み取ってください。

点数状態典型例
0未整備規程・運用・証跡がなく、担当者の口頭説明にとどまります
1一部整備規程はありますが、運用が限定的で証跡が不十分です
2概ね整備規程・運用・証跡があり、委託業務に適用できますが改善余地があります
3高度に整備定期レビュー、監査、技術検証、継続改善があり、要求水準を安定的に満たします

次の表は、委託リスク別の重み付け例を表しています。低リスク委託では法務・契約の比重が高く、高リスク・重要委託ではID、技術、ログ、BCPの比重が高まる点が重要です。

分野低リスク委託中リスク委託高リスク委託重要委託
ガバナンス10%10%12%12%
法務・契約25%20%18%15%
データ管理15%15%15%12%
ID・アクセス10%15%18%18%
技術管理10%15%15%18%
ログ・監視5%8%10%12%
BCP・バックアップ5%7%8%10%
人的・物理10%5%2%1%
終了・移行10%5%2%2%

次の横棒グラフは、高リスク委託で比重が高くなる主要分野を表しています。横棒が長いほど評価で重く見る領域であり、管理者権限や大量個人データを扱う委託ではID・アクセス、法務・契約、技術管理が特に大きいことを読み取れます。

法務・契約
18%
ID・アクセス
18%
データ管理
15%
技術管理
15%
ガバナンス
12%
高リスク委託の例示です。実際の比重は業種、取扱情報、規制、海外関係、停止影響に応じて調整します。

次の表は、評価結果をAからDに分けた場合の実務対応を表しています。C判定は現場判断で済ませず、誰が、何を、いつまでに、どの条件で受容するかを明文化する必要があります。

判定意味実務対応
A委託可能契約締結と通常監督に進みます
B条件付き委託可能契約条項強化、是正期限、追加証跡提出を条件にします
C経営承認があれば委託可能代替案比較、リスク受容書、監査頻度強化を求めます
D原則委託不可重要不備が解消されるまで契約しない扱いにします
Section 05

委託先選定時のセキュリティチェック項目を契約条項へ接続します

質問票の回答を、秘密保持、再委託、監査権、通知、削除、解除、損害賠償へ反映します。

委託先選定時のセキュリティチェック項目で確認した内容が契約書に反映されなければ、事故時に質問票と契約義務が分断されます。重要項目は契約本文、別紙セキュリティ要件、データ処理契約、SLA、運用手順書に落とし込む必要があります。

次の表は、契約条項へ落とし込むべき主要事項を表しています。選定時の確認結果が、どの法務上の狙いにつながるかを読み取り、契約本文と別紙の役割分担を設計してください。

条項入れるべき内容法務上の狙い
定義委託情報、個人データ、機密情報、セキュリティインシデント、再委託先を定義します解釈争いを防ぎます
利用目的委託目的の範囲内でのみ利用可能とします目的外利用・AI学習流用を防ぎます
安全管理措置別紙要件を遵守し、同等以上の管理を維持します選定時確認を契約義務化します
再委託事前承認または事前報告、再委託先一覧、同等義務、責任継続を定めます再委託先の不透明化を防ぎます
アクセス管理個人別ID、MFA、最小権限、退職者削除、アクセスレビューを定めます不正アクセスと内部不正に備えます
ログ取得対象、保存期間、提出条件、改ざん防止を定めます事故調査と監査可能性を確保します
脆弱性対応診断、修正期限、重大脆弱性通知、EOL禁止を定めます技術的不備の放置を防ぎます
インシデント通知初報期限、連絡先、報告内容、証拠保全、当局・本人対応協力を定めます漏えい対応の時間的損失を抑えます
監査権書面監査、リモート監査、実地監査、第三者報告書提出を定めます継続的監督の根拠にします
委託終了返却、削除、削除証明、バックアップ内データ、アカウント停止を定めますデータ残存リスクを下げます
損害賠償責任制限、例外、漏えい・故意重過失・秘密保持違反の扱いを定めますリスク配分を明確にします
保険サイバー保険、専門職賠償責任保険等を確認します財務的なリスク耐性を見ます
解除・停止重大不備、事故、監査拒否、再委託違反時の解除・接続停止を定めます迅速なリスク遮断につなげます
準拠法・裁判管轄海外委託では特に明確化します紛争時の実効性を確保します

次の重要ポイントは、契約別紙としてセキュリティ要件を置く場合の注意点を整理しています。詳細技術要件を更新しやすくする一方で、優先順位、改定手続、改定拒否時の協議・解除権を明確にすることが重要です。

契約別紙契約本文に詳細技術要件をすべて書くと改定が難しくなります。本文で別紙遵守を定め、別紙で具体要件を管理する場合も、優先順位、改定手続、改定拒否時の協議・解除権を明記します。
Section 06

委託先選定時のセキュリティチェック項目は部門横断で確認します

法務、情報セキュリティ、個人情報保護、内部監査、経営層の役割とよくある失敗例を整理します。

委託先選定時のセキュリティチェック項目は、一部門だけでは十分に設計できません。事業部門、購買、法務、情報セキュリティ、個人情報保護、内部監査、経営層が、それぞれの観点で同じ候補先を確認する必要があります。

次の表は、職種・部門ごとの主な役割を表しています。どの部門がどのリスクを確認するかを明確にすることで、質問票の回収後に責任が宙に浮くことを防げます。

職種・部門主な役割
事業部門委託目的、業務要件、取扱情報、停止影響、代替手段を整理します
購買・調達候補先比較、見積、契約プロセス、反社確認、取引基本情報を取得します
法務担当・企業内弁護士契約条項、責任制限、再委託、監査権、解除、紛争解決、個人情報条項を設計します
外部弁護士高リスク案件、海外案件、漏えい・不祥事、規制業法、交渉難航時の論点を確認します
個人情報保護・プライバシー担当個人データ該当性、委託先監督、利用目的、本人対応、漏えい報告、越境移転を確認します
CISO・情報セキュリティ部門技術要件、ID管理、ログ、脆弱性、クラウド、暗号化、インシデント対応を評価します
内部監査担当チェックプロセスの妥当性、証跡、監査計画、是正フォローを確認します
公認会計士・内部統制担当J-SOX、財務報告に係るIT統制、外部委託先の業務処理統制を確認します
税理士・社労士税務・給与・労務データ委託時の守秘、保存、再委託、専門職責任を確認します
弁理士・知財法務担当ソースコード、発明、営業秘密、ライセンス、成果物権利、OSS管理を確認します
中小企業診断士・経営コンサルタント委託先の事業継続性、業務プロセス、改善計画、過大要求の調整を確認します
デジタルフォレンジック専門家事故時の証拠保全、ログ設計、調査可能性を確認します
経営層・取締役会重大委託のリスク受容、予算、人材、監督体制、事故時説明責任を確認します

次の一覧は、委託先選定で起こりやすい失敗例を整理しています。各項目は、形式的な回答や認証名だけに依存した場合に見落としやすいポイントであり、証跡、再委託、終了管理、責任分界を重点的に読む必要があります。

認証取得だけで判断

認証範囲、対象拠点、対象サービス、直近監査の指摘事項、委託業務との対応関係を確認します。

回答を証跡なしで信頼

はいという回答だけでなく、規程、ログ、設定画面、監査報告、教育記録、削除証明、復旧試験記録を見ます。

再委託先を見落とす

クラウド、翻訳、開発、サポート、保守、データ入力、廃棄、AI処理では再委託が発生しやすい点を確認します。

終了時削除を忘れる

バックアップ、ログ、アカウント、紙資料、媒体、テストデータ、再委託先保管データまで確認します。

責任制限だけ先に合意

低額な責任上限が提示された場合は、取扱情報、想定損害、当局対応、本人対応、調査費用、保険を確認します。

クラウド責任分界を誤解

ID設定、アクセス権、ログ、暗号鍵、公開設定、API連携、バックアップ、削除は利用者側の設定に依存することがあります。

Section 07

委託先選定時のセキュリティチェック項目を業務類型別に調整します

中小企業、専門士業、開発、SaaS、BPO、労務、広告、廃棄、海外、生成AIでは重点項目が変わります。

委託先が中小企業や専門士業事務所の場合、大企業水準の統制を一律に求めると現実的でない場合があります。ただし、小規模だから確認しないのではなく、リスクに応じた最低基準を明確にし、実装可能な改善を求めることが重要です。

次の表は、中小企業や専門士業へ委託する場合の最低基準例を表しています。過大な形式要求ではなく、MFA、バックアップ、端末管理、秘密保持、再委託管理、事故連絡、削除証明など実効性の高い項目から確認する点を読み取ってください。

分野最低限求めるべき内容
秘密保持代表者・従業者・外注者に秘密保持義務を課します
アカウント共用IDを避け、重要サービスはMFAを使います
端末OS更新、マルウェア対策、ディスク暗号化、画面ロックを行います
バックアップ重要データを定期バックアップし、復旧できることを確認します
再委託無断再委託を避け、必要時は事前に委託元へ通知・承認を得ます
インシデント漏えい・紛失・不正アクセスの疑いを速やかに委託元へ連絡します
削除・返却委託終了時にデータを返却・削除し、証明します

次の一覧は、業務類型ごとの重点項目を表しています。同じ業務委託でも、開発、SaaS、BPO、労務、広告、廃棄、M&A・不祥事調査ではリスクの中心が異なるため、候補先の業務内容に合わせて確認範囲を変えることが重要です。

システム開発委託

ソースコード、設計情報、テストデータ、API鍵、CI/CD、OSS、開発端末、保守接続を重点確認します。

開発権限
S

クラウド・SaaS利用

契約約款、データ所在、再委託先、サポートアクセス、ログ取得、退会時削除、AI学習利用、認証連携を確認します。

SaaS設定
B

コールセンター・BPO

顧客情報、本人確認情報、音声録音、画面閲覧、紙メモ、持ち出し、派遣スタッフ管理を確認します。

BPO教育

給与計算・労務委託

氏名、住所、家族、給与、マイナンバー、健康情報、休職情報など高感度情報の管理を確認します。

労務個人データ

広告・マーケティング委託

Cookie、広告ID、メールアドレス、購買履歴、個人関連情報、プロファイリング、越境移転を確認します。

広告二次利用

廃棄・記録媒体処分

廃棄証明、消去方式、物理破壊、輸送管理、保管区画、再委託、作業写真、シリアル番号照合を確認します。

廃棄証明
調

M&A・不祥事調査・訴訟対応

未公表重要情報、営業秘密、内部通報、従業員メール、役員情報、証拠資料、削除・返却を確認します。

調査機微情報

次の表は、海外委託・グローバル案件で国内委託に追加して確認する項目を表しています。契約文言だけでなく、現地法、時差、クラウド約款、削除証明、監査可能性の実効性まで確認することが重要です。

項目確認内容
データ所在国保存国、処理国、サポートアクセス国、バックアップ国を確認します
再移転第三国、海外関連会社、クラウドへ移るかを確認します
法令現地個人情報法、政府アクセス、データローカライゼーション、制裁、輸出管理を確認します
契約言語日本語・英語の優先関係、通知文言、報告書の言語を確認します
準拠法日本法にできるか、外国法の場合のリスクを確認します
裁判管轄・仲裁実効的に紛争解決できるかを確認します
監査可能性実地監査、第三者監査、SOC報告、現地法による制限を確認します
時差・連絡事故時の24時間連絡、休日対応、エスカレーションを確認します
削除証明現地、クラウド、バックアップ、再委託先まで証明できるかを確認します
暗号鍵鍵保管国、鍵管理者、委託元管理鍵の可否を確認します

次の表は、生成AI・データ分析委託で追加確認すべき項目を表しています。生成AI利用を一律禁止するのではなく、委託情報が学習、再利用、第三者提供、ログ保存、海外処理、モデル改善に使われるかを読み取ることが重要です。

項目確認内容
AI利用有無委託業務で生成AI、機械学習、外部APIを使うかを確認します
入力データ個人データ、営業秘密、契約書、ソースコード、未公開情報を入力するかを確認します
学習利用入力データがモデル学習・改善に使われるかを確認します
保存期間プロンプト、出力、ログ、メタデータの保存期間を確認します
再委託AIサービス提供者、クラウド、海外処理の有無を確認します
出力確認誤り、著作権侵害、機密混入、差別、ハルシネーションへの確認体制を確認します
人間の関与最終判断を人間がレビューするかを確認します
契約条項AI利用禁止、事前承認、学習利用禁止、ログ削除、監査条項を確認します
Section 08

委託先選定時のセキュリティチェック項目を社内運用に組み込みます

委託台帳、質問票、証跡要求、評価会議、契約前評価、定期監督、終了管理を一連の制度にします。

実務導入では、新規委託だけを厳しくしても既存委託のリスクが残ります。委託台帳、標準質問票、証跡要求、評価会議、契約・発注プロセス、定期監督、終了管理を連続させる必要があります。

次の時系列は、委託先選定時のセキュリティチェック項目を社内運用へ組み込む順番を表しています。上から順に進めることで、台帳がない、証跡要求が過大、評価結果が契約に反映されない、終了時にデータが残るといった問題を防げます。

Step 01

委託台帳を作ります

契約名、委託先名、業務内容、取扱情報、接続権限、再委託、契約期間、担当部署、契約書保管場所、監査有無、リスクランクを整理します。

Step 02

標準質問票を作ります

低・中・高・重要のリスクランク別に、全社共通の必須項目と、個人データ、クラウド、開発、海外、AI、決済、労務、知財などの追加項目を分けます。

Step 03

証跡要求を決めます

すべての回答に証跡を求めず、ゲート項目と高リスク項目に絞って、規程、設定画面、監査報告、診断結果、教育記録、削除証明、復旧試験記録を求めます。

Step 04

評価会議を設けます

事業部門、購買、法務、情報セキュリティ、個人情報保護担当が、残存リスク、是正条件、契約条件、監査頻度を決めます。

Step 05

契約・発注プロセスに組み込みます

契約締結前に評価を完了させ、緊急導入では期限付き暫定承認、最小権限、データ制限、経営承認を設けます。

Step 06

定期監督します

年1回の自己点検、重要委託の半期監査、インシデント後の臨時監査、再委託変更時・契約更新時の再評価を行います。

Step 07

終了管理を行います

データ返却、削除、バックアップ取扱い、アカウント停止、媒体廃棄、再委託先削除、削除証明、ログ保管、成果物権利、移行支援を確認します。

次の表は、中リスク以上の委託で使える簡易質問票の構成を表しています。詳細版へ拡張する前に、基本情報、体制、法務、アクセス、技術、ログ、BCP、人的・物理的管理、事故対応を一通り押さえることが重要です。

区分領域確認質問の要点
1基本情報委託先名、回答者、対象業務、対象拠点、回答日、再委託、取扱情報、海外処理の有無を確認します
2組織体制情報セキュリティ方針、責任者、個人情報保護責任者、認証・評価の対象範囲を確認します
3法務・個人情報目的外利用禁止、再委託の承認・報告、同等義務、終了時の削除証明を確認します
4アクセス管理個人別ID、MFA、退職者・異動者のアカウント削除、権限棚卸しを確認します
5技術対策端末台帳、暗号化、マルウェア対策、パッチ適用、クラウド責任分界、脆弱性管理を確認します
6ログ・監視認証、管理者操作、データアクセス、設定変更のログと通知体制を確認します
7バックアップ・BCP定期バックアップ、復旧試験、隔離・不変化バックアップ、代替手順を確認します
8人的・物理的管理秘密保持義務、教育、入退室管理、紙資料・媒体管理、廃棄証明を確認します
9インシデント対応対応手順、初報・続報・最終報告、証拠保全、原因分析、再発防止を確認します
Section 09

委託先選定時のセキュリティチェック項目の過大要求と経営承認

比例的な要求、レッドフラッグ、リスクランク別必須項目、証跡の秘密保持を整理します。

委託先選定時のセキュリティチェック項目は、厳しければよいわけではありません。合理性を欠く要求は取引コストを上げ、優良な中小委託先を排除し、形式的な回答を誘発します。一方で、個人データ、大量顧客情報、管理者権限、基幹業務、決済、医療・金融・労務、訴訟資料、営業秘密を扱う場合は低い要求水準を正当化しにくくなります。

次の一覧は、過大要求を避けながらも最低限押さえるべき視点を表しています。取引先の規模ではなく、守るべき情報と業務への影響に対して比例的で説明可能な要求になっているかを読み取ってください。

Balance 01

公開情報だけなら軽くします

公開情報しか扱わない委託に、実地監査や高度なSOC体制を求めないようにします。

Balance 02

実効性の高い対策から求めます

中小委託先には、MFA、バックアップ、教育、事故連絡、再委託管理などから求めます。

Balance 03

代替証跡を検討します

認証取得を必須にする場合も、代替証跡や改善計画を認める余地を検討します。

Balance 04

水準を契約前に明示します

後出しで過剰な要件を追加せず、求める水準を事前に共有します。

Balance 05

機微情報を求めすぎません

委託先の営業秘密やセキュリティ上の機微情報を不必要に求めないようにします。

Balance 06

条件付き委託も検討します

不備がある場合でも、リスクと是正可能性に応じて条件付き委託を検討します。

次の一覧は、不合格または経営承認が必要となるレッドフラッグを表しています。各項目は、点数評価だけでは見逃しやすい重大な停止条件であり、該当する場合は代替案、是正、契約条件、経営層のリスク受容を確認する必要があります。

保管場所不明

委託先が取扱情報の保管場所を説明できません。

再委託不開示

再委託先の有無を開示しません。

基本義務拒否

秘密保持義務、目的外利用禁止、削除・返却に応じません。

通知拒否

重大インシデント時の委託元通知に応じません。

共用管理者ID

管理者IDを共用しています。

MFA不可

多要素認証を導入できません。

退職者ID残存

退職者アカウント削除手順がありません。

ログなし

重要ログを取得していません。

復旧未確認

バックアップがない、または復旧試験をしていません。

脆弱性放置

重大脆弱性を長期間放置しています。

責任分界不明

クラウドの責任分界や設定管理を説明できません。

終了管理不足

委託終了時にバックアップ内データを含めた削除方針がありません。

事故説明不足

過去の重大事故について原因分析・再発防止を説明できません。

海外処理不透明

海外処理があるのに所在国、再移転、準拠法、監査可能性が不明です。

二次利用懸念

委託情報を生成AIや広告・分析に二次利用する可能性を否定しません。

次の表は、リスクランク別の必須項目一覧を表しています。低リスクでは推奨にとどまる項目でも、中・高・重要委託では必須化される項目が増えるため、ランク変更時には質問票と契約要件も更新する点を読み取ってください。

項目重要
秘密保持契約必須必須必須必須
目的外利用禁止必須必須必須必須
反社確認必須必須必須必須
個人データ有無確認推奨必須必須必須
再委託確認推奨必須必須必須
再委託事前承認任意推奨必須必須
セキュリティ質問票簡易標準詳細詳細+監査
証跡提出任意一部重要項目重要項目+第三者評価
MFA推奨必須必須必須
個人別ID推奨必須必須必須
ログ取得任意推奨必須必須
バックアップ推奨必須必須必須
復旧試験任意推奨必須必須
脆弱性管理任意推奨必須必須
インシデント通知条項推奨必須必須必須
監査権任意推奨必須必須
終了時削除証明推奨必須必須必須
経営承認不要任意推奨必須

次の重要ポイントは、証跡の取り扱いと秘密保持の関係を整理しています。委託元が詳細な証跡を求めるほど、委託先のセキュリティ情報や営業秘密に触れるため、受領範囲、共有範囲、保存期間、第三者開示の根拠を先に決めることが重要です。

証跡管理証跡は委託業務に必要な範囲に限定し、ネットワーク図や診断結果は閲覧のみ、黒塗り、要約版でも足りる場合があります。受領した証跡はアクセス制限し、保存期間と共有先を明確にします。
FAQ

委託先選定時のセキュリティチェック項目に関するよくある質問

一般的な制度説明に絞り、個別案件の判断は資料を整理して専門家に相談する前提で整理します。

委託先選定時のセキュリティチェック項目は、すべての委託先に同じ内容で求めますか。

一般的には、取扱情報、接続権限、業務重要度、再委託、海外処理、規制業法に応じて確認の深度を変える運用が考えられます。ただし、個別の契約内容、取扱情報、業界規制、社内規程によって必要な確認は変わる可能性があります。具体的な設計は、関係資料を整理したうえで弁護士等の専門家や情報セキュリティ担当者へ相談する必要があります。

ISO/IEC 27001認証があれば、追加確認は不要ですか。

一般的には、ISO/IEC 27001認証は有力な確認材料とされています。ただし、認証範囲が委託業務に含まれるか、有効期間内か、適用宣言書や監査指摘がどうなっているかによって評価は変わる可能性があります。具体的には、認証書だけでなく、委託業務との対応関係を確認する必要があります。

再委託は一律に禁止した方がよいですか。

一般的には、再委託を一律に禁止するか、事前承認・事前報告の条件付きで認めるかは、委託業務と取扱情報によって判断が変わります。クラウド、開発、サポート、廃棄、AI処理では再委託が実務上発生しやすいため、再委託先の開示、同等義務、監査、事故通知、終了時削除を確認する必要があります。

中小委託先にはどこまで求めればよいですか。

一般的には、委託先の規模だけでなく、守るべき情報と業務影響に応じて比例的な要求を設定するとされています。公開情報だけを扱う委託と、大量個人データや管理者権限を扱う委託では求める水準が変わります。具体的には、MFA、バックアップ、秘密保持、事故連絡、再委託管理、削除証明など実効性の高い項目から確認する必要があります。

生成AIを使う委託先は避けるべきですか。

一般的には、生成AI利用そのものを一律に禁止するのではなく、入力データ、学習利用、保存期間、再委託、海外処理、出力確認、人間のレビュー、契約条項を確認する運用が考えられます。ただし、個人データ、営業秘密、契約書、ソースコード、未公開情報を扱う場合は結論が変わる可能性があります。具体的な可否や条件は、資料を整理したうえで専門家に相談する必要があります。

Reference

参考資料

公的機関、標準化団体、実務基準に関する資料名を整理します。

公的機関・制度資料

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度に関する制度構築方針」
  • 経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」FAQ
  • IPA「SCS評価制度の詳細情報」
  • IPA「中小企業の情報セキュリティ対策ガイドライン」

国際標準・海外ガイド

  • ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements
  • ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls
  • ISO/IEC 27036 supplier relationships and supply chain security standards
  • NIST Cybersecurity Framework 2.0: Quick-Start Guide for Cybersecurity Supply Chain Risk Management
  • NIST SP 800-161 Rev. 1 Update 1 Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations