PR

監修・NPO日本ネットワークセキュリティ協会セキュリティ監査WG
文・丸山満彦(監査法人トーマツ 公認会計士 公認情報システム監査人)

 今回は、外部委託管理とその監査について、6つの重要な考慮事項(検討すべきコントロールポイント)について解説していきます。「6つ」というのは具体的には、(1)委託先の選定プロセスセス、(2)財務的安定性・経営的安定性、(3)サービスレベル合意書(SLA)、(4)個人情報保護条例等との関係、(5)複製データの管理、(6)監査の権利です。さらに外部委託先管理についての監査についても簡単に解説します。


(1)委託先の選定プロセス
 地方公共団体においては、調達を一般競争入札(最低価格落札方式など)により行うことが多いと思われます。調達についての判断条件としては、委託する業務を遂行する能力と価格が重要な判断指標となる場合が多くなりますが、重要な個人情報の取扱を行う業務を外部に委託する場合には、業務遂行能力、価格につづく第3の判断指標として、情報セキュリティ対策の実施状況も考慮すべきです。

 特に、個人情報の保護の観点からは、委託先が個人情報の漏洩をしたとしても、業務を委託した地方公共団体の責任が重く問われることになりますから、委託先の選定プロセスの段階から情報セキュリティの実施状況も考慮することが非常に重要となります。
よくある質問として、

委託先がプライバシーマークやISMS認証を取得している委託先を選べば問題ありませんか

というものがあります。答えは

プライバシーマークやISMS認証を取得しているからといって、そのままOKとするのは問題があります

です。プライバシーマークはJIS Q 15001に基づいたコンプライアンスプログラムが実施されていることを確認しただけです。ISMS認証を取得している場合もISMS認証基準に従って、マネジメントシステムが運用されていたことを確認しているにすぎません。委託する場合は、次の事項を確認する必要があります。

(1)
どのようなセキュリティ対策(コントロール)が整備されているか
(2) 整備された対策(コントロール)は実際に運用されているか
(3) 対策(コントロール)が運用されるようなマネジメントシステムが整備運用されているか

ISMS認証はあくまで、(3)の部分だけしか確認していないからです。したがって、ISMS認証を取得している場合は、理論的には(1)、(2)の部分を確認する必要があります。しかし、だからといってプライバシーマークや、ISMS認証がまったく無意味なわけではありません。委託先が実施している情報セキュリティ対策を確認すれば、それが実施されている可能性が高いからです。ISMS認証取得をしている場合は、適用宣言書をみれば、どのような情報セキュリティ対策が実施されているかがわかりますので、ISMS認証取得事業者に委託することを検討する際には、適用宣言書の内容が実際に行われているか確認すればよいでしょう。


(2)財務的安定性・経営的安定性
 外部委託先の財務安定性についても注意を払うことが必要となります。事業者が倒産すれば、管理機能はなくなり、秘密書類やデータなども無管理状態になります。また、債権者が物件を差し押さえにきますので、秘密書類やデータなどが債権者の手に渡ったり、行方不明になったりする可能性があります。例えば、住民データが入ったパソコンなどが債権者に差し押さえられ競売にかけられると、住民データの漏洩につながり、地方公共団体の責任が問われることになるでしょう。また、倒産以外でも、他企業に買収された場合など、管理体制が変わると情報セキュリティの対策も十分に行われなくなる可能性もありますので注意が必要です。


(3)サービスレベル合意書(SLA)
 高可用性が求められるサービス(例えば、ホームページからの電子申請の受付事務など)を外部に委託する場合は、必要とされる可用性のレベルを定めてSLAを締結することが重要となります。SLAを作成する場合は、評価項目(測定項目)とサービスレベルの2つを考慮する必要があります。例えば、アンチウィルソフトのパターンファイルの更新間隔(評価項目)は「ベンダーリリースより24時間以内」(サービスレベル)といったSLAの項目が考えられます。SLAに記載する内容は、外部委託の形態や委託する業務の内容や範囲にもよりますが、総務省が発行した「公共ITにおけるアウトソーシングに関するガイドライン」では以下の4つの内容について説明しています。

(1)
サービスメニュー(SLAの対象となるサービスの種別と各サービスの機能要件)
…… 例:インターネット接続サービス
(2) サービス要件(サービスメニュー毎に規定される定量的又は定性的要件)
…… サービス窓口種別、サービス時間帯、同時接続端末数、ディスク容量など
(3) SLA評価項目(サービスメニューに対応するサービス品質を定量的に設定・評価する項目)
…… 障害復旧時間、稼働率、オンライン応答時間遵守率
(4) SLA設定値、報告要件、ペナルティ等のSLA評価項目関連項目

 SLA設定値は、お互いがわかりやすいように、正しく計測できる数字で示すことが重要となります。

 SLAの内容については、情報セキュリティに関連しないサービス品質もありますが、サービスの可用性については情報セキュリティの一部と考えることができます。SLAの内容に応じてサービスの品質が決まり運用コストにも反映されていくことになります。地方公共団体が取り扱う情報の重要性や、事務の重要性に応じて委託先に示していくことが重要です。SLAはあまりなじみがないかも知れませんが、今後は非常に重要な概念となってくるでしょう。また、SLAで定められた水準に達しなかった場合のペナルティを決めるなど、サービスレベルの維持を保証するような仕組みの工夫も求められます。


(4)個人情報保護条例等との関係
 個人情報保護関連法が成立し、全ての地方公共団体においても個人情報保護条例が策定されていくことになります。おそらく制定されている全ての個人情報保護条例において、外部委託先の管理が規定されていると思われます。例えば、東京都や京都府宇治市の個人情報保護条例においては次のように定められています。

東京都 個人情報保護条例
(委託に伴う措置)
第八条 実施機関は、個人情報を取り扱う事務を委託しようとするときは、個人情報の保護に関し必要な措置を講じなければならない。

(受託者等の責務)
第九条 実施機関から個人情報を取り扱う事務を受託したものは、個人情報の漏えい、滅失及びき損の防止その他の個人情報の適正な管理のために必要な措置を講ずるよう努めなければならない。
2 前項の受託事務に従事している者又は従事していた者は、その事務に関して知り得た個人情報をみだりに他人に知らせ、又は不当な目的に使用してはならない。


宇治市 個人情報保護条例
(委託に伴う措置)
第12条 実施機関は、実施機関以外のものに委託する事務事業に個人情報の取扱いが生ずる場合には、個人情報の保護に関し、必要な措置を講じなければならない。
2 前項に規定する場合において、実施機関は、当該委託契約において、委託を受けたもの(以下「受託者」という。)が講ずるべき、個人情報の漏えい、き損及び滅失の防止その他の個人情報の適切な管理のために必要な措置を明らかにしなければならない。
3 受託者は、受託された範囲内において個人情報の適切な管理に必要な措置を講じなければならない。
4 実施機関は、受託者が委託された範囲内における個人情報の取扱いにより当該個人の権利利益を侵害したことが明らかに認められる場合において、当該委託先に対して必要な措置を講ずることができる。
5 受託者若しくは受託者であつた者又は受託業務に従事している者若しくは従事していた者は、その業務に関して知り得た個人情報を正当な理由なく他人に知らせ、又は不当な目的に使用してはならない。

 地方公共団体の場合、住民の個人情報を含む事務を外部に委託することが多いと思われます。個人情報保護条例との関係を十分に考慮して、契約書に反映させることが重要と思われます。


(5)複製データの管理
 外部の事業者にデータ入力やデータ処理を依頼する場合、外部の事業者はデータの複製をとることになるでしょう。これは、データが破損した場合の可用性を確保するためのセキュリティ対策といえます。外部委託事業者では、このような可用性を確保せずにデータを破損した場合、委託事業者としての善管注意義務(善良なる管理者として要求される注意義務)を果たしていなかったということになるため、バックアップは当然にしなければ別のリスクが伴います。一方、バックアップデータの存在は、機密性の観点からはリスク(民法に基づく損害賠償など)の増大になります。業務が終了した段階で、確実に複製データが消去されるような手順を踏むことを契約書に盛り込むことが必要です。例えば、データ廃棄についての誓約書をとるなどの方法が考えられます。
この点、前出の宇治市の個人情報保護条例では、個人情報の不正な複製についての規定を設けています。

宇治市 個人情報保護条例
(不正な複製等の禁止)
第27条の2 何人も、正当な理由がなければ、公文書又は電磁的記録媒体に記録された個人情報の全部又は一部を機器による印刷、写真、複写、録音、録画その他の方法により他の記録媒体に複製してはならない。
2 何人も、正当な理由がなければ、前項の規定に違反して記録媒体に複製された個人情報の全部又は一部を同項に掲げる方法により当該記録媒体以外の記録媒体に複製してはならない。以後の段階にわたる複製についても、同様とする。
3 何人も、正当な理由がなければ、個人情報が記録された公文書若しくは電磁的記録媒体又は前2項の規定に違反して個人情報の全部又は一部が複製された記録媒体(以下「不正記録媒体」という。)を譲り受け、借り受け、所持し、譲り渡し、又は貸し渡してはならない。

 さらにこの条文に対して違反している者に対して、市長が違反行為の中止命令や個人情報の消去命令を行うことができ(第27条の3)、必要に応じて報告の聴取や市長が指定するものによる立入検査を行うことができる(第27条の4)といった非常に厳しい義務を定めています。


(6)監査の権利
 契約を遵守しているかどうかを確認するために、地方公共団体が委託先事業者や再委託先事業者に対して監査を行うべきでしょう。監査の権利については、契約書で明確にしておく必要があります。地方公共団体の職員自ら監査をすることが困難であることが多いため、必要に応じて、外部の監査会社が監査することができるようにしておくべきでしょう。その場合、監査会社には守秘義務が課されることになりますが、業務委託契約書に監査会社には守秘義務契約を結ばせることを明記しておくとよいでしょう。
外部委託先の監査については、契約に基づき委託先が適切な運用を行っているかを監査することになるでしょう。委託先、再委託先からの個人情報の漏洩事件が相次いでいる現状、そして、条例で地方公共団体が個人情報の委託先を監督する義務が定められていることを考えると、委託先及び再委託先に監査を実施することは有益と思われます。

■外部委託先管理についての監査

 経済産業省が発表した情報セキュリティ監査の報告書に基づけば、監査には保証型監査と助言型監査があります。現状は、助言型の監査が実施されていることが多いように思われます。想定される情報セキュリティ監査の手順としては次のようになると思います。

(1)
情報セキュリティ、個人情報保護等に関連する条例に準拠して、規則、標準、手順書がつくられているかを確認する。
(2) 条例、規則、標準、手順に準拠した運用を実施しているかを確認する。
(3) 定められた規則、標準、手順がリスクの観点から十分であるかについての評価及びその評価に基づく助言を行う。

 その時の監査のポイントは上記の外部委託先の管理のポイントを考慮して行うことになるでしょう。

◆     ◆    ◆

 情報セキュリティ事故(特に、個人情報の漏洩)の背景に外部委託が関係しているケースが多いように思われます。また、個人情報のみならず、庁内システム構成図など地方公共団体にも多くの秘密情報があると思われます。外部委託に関しても、他の情報セキュリティ対策と同様に適切なリスクアセスメントの手順に従ってルールを決め、それを適正な手続きを経て承認し、委託事業者との契約書に反映させ、守っていただくことが重要です。

 電子自治体の実現においても地方公共団体と委託事業者との「緊張ある協力関係」が必要不可欠です。住民に信頼される地方公共団体の確立のために、外部委託に関する情報セキュリティ対策は今後ますます重要になるでしょう。

情報セキュリティ監査制度(経済産業省) セキュリティ管理基準
「サブコントロール」解説コーナー(4)

6 通信及び運用管理

6.2 システムの計画作成及び受入れ
目的:システム故障のリスクを最小限に抑えるため
6.2.2 新しい情報システム、改訂版及び更新版の受入れ基準を確立し、その受入れ前に適切な試験を実施すること
6.2.2.16 主要な新しいシステム開発においては、適切な試験を実施し、すべての受入れ基準が完全に満たされていることを確認すること

【解説】

 開発中のシステムを本番環境に移行する前には、十分なテストを実施し、受け入れ基準が満たされていることを確認する必要があります。とりわけ、システム開発を外部に委託している場合は、この確認作業が検収作業となるため、重要な位置づけとなります。

 このテストで最も重要なのは、システムオーナによるテストです。システムオーナとは、通常はシステムユーザ部門となります。例えば固定資産税システムを新規に導入する場合、システムオーナである固定資産税課の課長、課員によるテストが終了しなければテストが終了したことにはなりません。これをユーザ受入テスト(User Acceptance Test)といいます。米国の例ですが、ユーザ部門とシステム開発会社やシステム部門が共同でテスト項目を開発し、それをユーザの代表者数名がテストし、テスト結果に満足がいけば、最後にサインをしていました。全てのユーザのサインがそろって初めてシステムは本番環境に移行されることになります。ユーザによるテスト項目の開発とユーザによる十分なテストの実施、その確認が非常に重要といえます。


筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。