自社の価値を高めるISMS認証取得ガイド|ISMS楽トル » ISMS構築におけるSaaSの有用性 » SaaS利用企業がISMS取得を目指す際に必須な「委託先管理」とは?

SaaS利用企業がISMS取得を目指す際に必須な「委託先管理」とは?

セキュリティ事故を未然に防ぐためには、外部委託先に対しても適切な管理体制を整えることが欠かせません。そのため「委託先管理」はISMS審査で必ず確認される項目となっています。本ページでは委託先管理が必要な理由や管理の流れについて、わかりやすく解説していきます。

委託先管理とは?

委託先管理とは、自社が利用する外部のサービス提供者や業務委託先を把握し、適切に評価・管理する仕組みを指します。

ISMS(情報セキュリティマネジメントシステム)では、自社だけでなく外部委託先に起因する情報漏えいやシステム障害といったリスクも重要な管理対象です。

委託先管理は、単なる契約書の話だけではありません。組織の信用失墜に直結するセキュリティ事故のみならず、組織全体のリスクを抑え、事故を未然に防ぐための重要な取り組みです。

SaaS利用時に委託先管理が必要な理由とは?

委託先管理が求められる大きな理由のひとつは、法的リスクを回避するためです。

SaaSは自社の業務データや顧客情報を預ける形で利用するため、ISMS(情報セキュリティマネジメントシステム)上では「委託先=供給者」として位置づけられます。ISO/IEC 27001の要求事項でも、附属書A.15(供給者関係の情報セキュリティ)や改訂後のA.5.19(供給者関係の管理)において、供給者に対する適切な管理が求められています。

ここで重要なのは、監督責任が利用企業側にあるという点です。自社がどれほど強固なセキュリティ体制を構築していても、委託先であるSaaS事業者が事故や情報漏えいを起こした場合、被害は自社や取引先に及びます。その際、原因がSaaS側にあったとしても、利用企業は社会的責任や法的責任を免れられないケースもゼロではありません。たとえば、個人情報保護法や契約上の守秘義務違反といった観点から、損害賠償や信用失墜につながる可能性もあるのです。

つまり、SaaSの利用は利便性が高い一方で、情報セキュリティに直結するリスクを伴います。委託先管理を適切に実施することは、単なる規格対応にとどまらず、自社を法的リスクから守る必須のプロセスといえるでしょう。

ISMS委託先管理の流れ

ここからは、ISMS認証を目指す企業が実際に行う「委託先管理」の流れをステップごとに整理します。

1.委託先管理の方法を決定

まず、委託先をどのように管理するかという方針と基準を定めます。ただし、すべての委託先を一律に管理するのは非現実的なため、対象と方法を明確にしておく必要があります。

一般的には以下のような内容を含むものが多いのですが、あくまでも一例ですので利用者側組織の情報セキュリティ基本方針に基づいて決定することが大切です。

2.委託先の一覧を作る

次に、すでに取引している外部委託先の一覧を作成します。

対象はSaaS事業者やシステム開発会社、データセンターなど幅広く、業務委託の形態も含めて洗い出すのがポイントです。一覧化することで「管理対象が曖昧で一部のサービスを見落とす」といったリスクを避けられます。

一覧は一度作成して終わりではありません。定期的に更新し、最新の状態を保つことも大切です。委託業務の内容変更や新規委託先の追加などがあった場合は、速やかにリストを更新しましょう。

また、委託先の一覧には委託先の企業名だけではなく、以下のような項目も書き込んでおき、評価と選定の参考にします。

3.委託先の洗い出し

一覧を作成したら、次は委託先を洗い出す作業です。

業務委託先とは、特定の業務を外部の企業や個人に依頼し、その業務を担う相手を指します。たとえば、税理士、Webサイト運営代行、マーケティング会社、人材派遣会社、コンサルティング会社、コールセンターなどです。また、警備会社や社会保険労務士、フリーランスのデザイナー、ライターなども、業務委託先となることがあります。

洗い出し後は、情報の機密性や業務内容に応じて優先順位を付け、どの委託先を重点的に管理するかを決定します。ただし、すべてが対象となるわけではありません。業務の重要度や情報セキュリティ上のリスクを考慮し、管理対象とする範囲を明確にすることが欠かせません。個人情報や機密情報を扱う委託先、ネットワーク管理を担う委託先、アクセス権限を持つ委託先は、重点的に管理すべき対象となります。

4.評価基準の策定

評価基準を策定する際は、まず目的を明確にし、自社の情報セキュリティ方針と整合性を持たせることが大切です。一般的には「セキュリティ管理体制」「物理的・技術的対策」「運用的対策」といった観点から定めます。

例えば、セキュリティ管理体制ではISMS認証やプライバシーマークの有効期限を確認し、物理的・技術的対策では監視カメラや入退室管理・アクセス制御の状況を確認。さらに、運用的対策としては従業員へのセキュリティ教育や定期的なバックアップの実施状況が評価対象となります。

5.評価の実施

評価方法が決まったら、次は評価を実施する準備に入ります。

最初に行うのは評価項目の選定と重み付けです。業務内容や取り扱う情報資産の重要性に応じて項目を選び、それぞれに重要度を設定します。例えば、個人情報を扱う委託先であれば「個人情報の取扱方法」を重点的に評価します。

次に評価手法を決定します。アンケート形式や実地監査が一般的ですが、自社に合った方法を選ぶことが大切です。さらに評価結果を記録するフォーマットを作成し、履歴を管理します。

ただし、開発を委託している場合は開発業務に特化した項目、個人情報を預ける場合はその取り扱いに特化した項目が必要です。法務部門などと連携し、法的要件の確認をしておきましょう。

6.契約締結

契約締結は、情報漏洩や法的リスクを防ぎ、安全に事業を運営するための基本です。サービスの範囲や利用条件、セキュリティやデータ管理、責任範囲や補償内容を確認し、自社の要件に適合しているかを精査します。

加えて、再委託先に対する監督義務や監査権限を盛り込むことも欠かせません。特に機密性の高い情報資産や個人情報を含む業務を委託する場合は、セキュリティ要件を定めたNDA(秘密保持契約)を結ぶのが一般的です。

※NDA(Non-Disclosure Agreement)は、秘密保持契約とも呼ばれます。取引において自社の重要な秘密情報を開示する際、相手方に対し第三者への漏洩や契約目的以外での利用を禁じることを約束させる契約です。

7.継続的な見直しと改善

契約を締結した後も、定期的に委託先の状況を監視・評価し、セキュリティレベルが維持されているか確認します。

契約時に定めた方法で評価を行い、その結果、改善が必要な点やリスクが見つかった場合は委託先と協議して対応策を講じます。リスクが大きいと判断される場合には、契約内容や要求事項の見直しも検討しなければなりません。

委託先が基準を満たしていない場合はどうする?

評価の結果、基準を満たさない委託先が見つかった場合は、改善を求めるのが基本です。しかし、改善が見られない場合は、利用を見直す、あるいは代替サービスへの切り替えを検討する必要があります。リスクを放置したままでは、ISMSの審査を通過できない可能性もあるため注意が必要です。

まとめ

SaaSを利用する企業がISMSを取得する際には、通常の要求事項に加えてクラウド特有の要件を考慮しなければなりません。とりわけ通信の暗号化、データのバックアップ体制、インシデント対応などが重要です。これらを適切に実施するには、正しい知識と理解が欠かせません。

もし自社のノウハウだけでは対応が難しいと感じた場合は、インシデント対策が手遅れになる前に専門家へ相談するのも有効な手段ですので、一度検討してみるのもよいでしょう。

関連ページ
目的別に選べる!
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】

ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。

コストを抑えて手間なく
「まず取得したい」
なら
ISOサポート
ISOサポート
※引用元:ISOサポート公式HP(引用元:https://www.iso-sp.co.jp/2700.html )
特徴
  • 専任不要&月額3.3万円の低コスト
    情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。
  • 中小企業向けフルアウトソーシング支援
    書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。
  • 維持運用しやすい実務重視の設計
    最小限の設計で、取得後も1名体制で継続しやすい。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
複雑な組織や業種にも
柔軟に対応
してほしいなら
ISOプロ
ISOプロ
※引用元:ISOプロ公式HP(https://activation-service.jp/iso/lp/)
特徴
  • 現役審査員が直接サポート&訪問無制限
    複雑な多拠点対応も、現場に即した導入設計が可能。
  • 業種特化・6か月以内の取得も相談可
    業界特有の運用にも対応し、スピード重視の企業にもおすすめ。
  • ISO事務局も代行し全工程を一括支援
    社内対応の手間を減らし、効率・品質を向上。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
中小企業で
運用負担を削減
したいなら
ワークストラスト
ワークストラスト
※引用元:ワークストラスト公式HP(https://www.workstrust.com/)
特徴
  • 書類作成の負担が少ない
    提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。
  • 取得時も取得後も運用の負担が少ない
    負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。
  •                          取得後は自社で維持、運用が可能
    必要最小限な運用が可能なため、自社だけでも準備が容易。
公式サイトで
サービスの詳細を確認
電話で問い合わせる