PR

監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・丸山満彦(監査法人トーマツ 公認会計士 公認情報システム監査人)

 前回は詳細リスクアセスメントについての説明をしました。今回と次回で、その具体的な項目としての外部委託に関連する管理と監査のポイントを解説していきましょう。

 外部委託に関連するコントロール(管理策)については、「情報セキュリティ管理基準」では、「2.2 第三者によるアクセスのセキュリティ」、「2.3 外部委託」に記載されています。2.2が主に庁内で働く第三者を意識しているのに対し、2.3は外部の施設等の利用を意識している内容になっています。

 東京都新宿区では、「新宿区情報セキュリティ規則」を定め、外部委託については次のような項目を定めています。

(外部委託に関する管理)
第19条 事業者に情報業務を委託する場合には、次に掲げる事項を契約書に明記しなければならない。

(1)
情報セキュリティポリシーの主旨の遵守に関すること。
(2) 受託した情報業務上知り得た情報の守秘義務に関すること。
(3) 受託した情報業務上提供された情報の目的外利用又は第三者への提供の禁止に関すること。
(4) 受託した情報業務上提供された情報の返還義務に関すること。
(5) 区の求めにより受託した情報業務に関する報告を定期的に行うこと。
(6) 区の監査に応じること。
(7) 当該事業者の従業員に対する情報セキュリティに関する教育の実施に関すること。
(8) 前各号に掲げる事項に違反した場合の措置に関すること。

 また、「新宿区情報セキュリティ対策基準 第5 技術的な対策 4 ネットワークの導入、開発、保守等」では次のように規定されています(同様の主旨の項目は「5 情報システムの導入、開発、保守等」にも規定されています)。

4 ネットワークの導入、開発、保守等
(4) ネットワークに関する外部委託事業者

ア ネットワーク管理者は、新たにネットワークの開発を事業者に委託する場合は、総務部財務課契約係に対し、当該事業者の経営状況等の調査を依頼し、当該開発の契約を適正に履行することが可能であるかどうかを確認しなければならない。
イ ネットワーク管理者は、外部委託事業者の従業員が委託した業務に従事するときには、当該外部委託事業者の従業員であることを証する身分証明書を事前に提示させなければならない。

 このように、地方公共団体の規則に外部委託先管理についての詳細な規定を定めることは非常に重要と思われます。

 新宿区に限らず、地方公共団体の情報セキュリティに関する諸規則には、外部委託に関する部分についても決められていると思います。今後の規則改定の際には、情報セキュリティ管理基準や、今回と次回のコラムで解説する下記の事項を参考にしていただければと思います。また、地方公共団体の外部委託についての監査を実施する際には、第一義的には法律及び各地方自治体の条例、規則、基準等をクライテリア(監査判断の尺度)にして準拠性監査を実施することになりますが、あわせて以下ような項目に着目し、条例、規則、基準などで規定したほうがよいと思われる事項があれば助言を行うことができるでしょう。

■外部委託先の管理
──契約先の特定と契約内容の確認(リスクの識別)


(1)契約先・作業場所の特定
 外部委託の管理をするためには、まず、誰にどのような事務を委託していて、どのような契約内容になっているかについての現状を把握しなければなりません。詳細リスクアセスメントにおいては、業務フローに基づいてリスクアセスメントを実施しますが(前回コラム参照)、業務フローを確認することにより、どの事業者にどのような事務を委託しているかを把握することができます。

 一般的な外部委託業務には、情報システムの運用、保守、開発、住民に郵送する各種案内物の郵送作業(宛名印刷、封書詰作業、郵送作業)などがあります。運用の委託の場合、庁舎内の情報システムに対する運用を外部の運用会社に委託する場合と、委託先会社等の庁舎外にあるシステムを利用し、運用を委託する場合があります。また、リモート保守のようにシステムは庁舎内、委託先会社のデータセンターにあり、保守をする作事業者は別の場所(例えば保守センター)からアクセスしている場合もありますので注意が必要です。そのほか、契約先を把握した際に、実際の事務をどの事業者が行っているのかを確認することも重要です。委託先がさらに事務を外部に委託している場合があるからです。


(2)契約内容の確認
 外部委託先の特定ができると、次に契約内容の確認を行うことになります。地方公共団体では、調達課などが調達事務を引き受けていると思いますが、契約書、覚書、サービスレベル合意書(Service Level Agreement : 以下、SLA)を取り寄せ、情報セキュリティに関してどのような内容の記載がされているかを確認します。

 契約時に情報セキュリティについての細かい規定を盛り込んだ契約を行っていない場合があるので、契約内容の確認の際にチェックしてみましょう。例えば、「事務を委託するに当っては、情報の漏洩等の防止を行うこと」というような文言のみを記載している場合などです。これでは、具体的にどのような情報の漏洩防止策を事業者が実施しているのかがわかりません。また、委託先の情報セキュリティ対策が、地方公共団体が期待しているレベルに達していない場合もあります。

 このような契約内容の場合は、委託先の管理状況を十分に確認することが重要となります。また、契約内容の確認の際には、再委託の制限についての条件も十分に確認しておくことが重要です。実際、再委託先から個人情報が漏洩した事件は過去に何件も発生しています。


(3)リスクの識別
 外部委託先の事務が把握されるとリスクの識別を行うことになります。具体的には、第2回、第3回で説明したように、脅威と脆弱性の識別を行うことになります。リスクマネジメントの観点からは、次の2つに別けて識別することが有益です。

1.外部委託しても変わらないリスク、
2.外部委託することにより新たに発生する、増加するリスク

 外部委託する場合でも、本来的には、内部で実施するセキュリティ対策と同様の対策を委託先にも求めることになります。したがって、契約書、覚書やSLAなどに記載すべき内容は、内部で実施するセキュリティ対策以上の対策が実施されるようになっていなくてはなりません。現在の契約書などで規定されている対策と、あるべきセキュリティ対策を比較することが重要です。あるべきセキュリティ対策が契約書などに記載されていないのであれば、次回の契約更改時に契約書などを見直すことが必要となります。しかし、契約は当事者間の合意に基づくものですから、必ずしも地方公共団体側の要求どおりの契約が可能となるわけではありません。そのような場合は次の3つの選択が考えられます。

1.代替的な対策を考える
2.外部委託を断念する
3.例外事項としてリスクテイクをする

 代替的な対策を実施することにより、同程度にリスクを低減できる場合はよいですが、場合によってはリスクが十分に低減できない場合もあります。このような場合は外部委託を断念するという選択肢も考えなくてはなりません。しかし、外部委託することによるリスクもあるが、内部で実施するとさらにリスクが大きいと判断される場合や、内部では人的資源、予算を考慮すると実施が困難であるは、リスクテイクした上で外部委託することになります。リスクが高いことをよく理解し、リスク顕在時のリスク対応──インシデント(セキュリティ上の問題あるいは出来事)対応など──も含めてリスク対策を検討することが重要となります。

 外部委託をすることにより新たに発生するリスクの代表的なものとして、再委託に関するリスクがあります。委託先が委託元の知らないところで別の組織に再委託している可能性があり、しかも、再委託先のセキュリティ対策が必ずしも委託先と同様の管理をしていないので問題となるケースが多いようです。

 したがって、委託先との間の契約で、再委託する場合についての制限を加えることが肝要です。リスクの程度に応じて、再委託の禁止、委託元の事前承認を必要とするなどの項目を契約書に明記することになります。


(4)契約書締結時に確認すること
 外部委託する場合は、契約書や覚書、サービスレベル合意書といった文書により、お互いの権利義務関係、責任範囲を明確にすることが重要となります。契約書はそれぞれの組織のリスクを明確にする意味でも非常に重要です。また、契約書を交わし責任や手順を明確にすることにより、万が一のインシデント発生時の処理を迅速に行うことが可能となります。契約書の文面については、契約締結前に十分に注意しなければなりません。責任範囲が不明確となっていないか、用語の定義は適切に行われているか、必要な事項は網羅的に記載されているかを確認することが重要です。

 次回は、委託先の選定プロセス、複製データの管理など重要な考慮事項と、外部委託先についての監査について解説します。


情報セキュリティ監査制度(経済産業省) セキュリティ管理基準
「サブコントロール」解説コーナー(3)

9 事業継続管理
9.1 事業継続管理の種々の面
目的:事業活動の中断に対処するとともに、重大な障害又は災害の影響から重要な業務手続を保護するため
9.1.1 組織全体を通じて事業継続のための活動を展開し、かつ、維持するための管理された手続が整っていること
9.1.1.1 重要な業務手続の識別及び優先順位決めも含め、組織が直面しているリスクを、その可能性及び影響の面から理解すること

【解説】

 地方公共団体の事務のIT依存度が高まるにつれ、事業継続管理の重要性が高まります。重要な事務が、ウィルス、ハード障害やシステム障害などの影響により利用できなくなった場合を想定し、代替手段による事務処理の継続や、復旧のための計画をあらかじめ検討しておくことが肝要です。事業継続管理の第一歩はリスクアセスメントです。

 リスクアセスメントの一環として、重要な業務手続の識別と優先順位を検討することが重要となります。重要な業務手続の識別は、住民への影響度(影響する住民の数、生命等への影響、プライバシーとの関係性)、他の事務への影響度(影響する事務の数、重要性)などにより決定するとよいでしょう。

 重要な業務手続については、リスクの発生の可能性の高低に関係なく、事業継続管理の実施を検討すべきです。例えば、地震による影響が非常に大きい場合は、地震の発生可能性が非常に低くても事業継続管理を検討すべきです。優先順位は、業務の重要性と、リスク(脅威)の発生可能性を考慮して検討することになります。

筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。