委託内容が多岐にわたる場合、セキュリティ事項は案件ごとに個別に作成すべきですか?
弊社では清掃やウォーターサーバやWebサイト運用などを外部委託しています。
委託内容が様々になる場合はセキュリティ事項も個別に作成する必要がありますでしょうか。
弊社で用意しているセキュリティ要求事項は主に以下のようなものです。
- データセンター自体のセキュリティ対策
- 物理的対策
- 人的対策
- 構築システムの技術的対策
- ネットワーク
- マルチテナント
- サーバ
- アプリケーション
- データ
- ログ管理
- 脆弱性対策
- バックアップ
- 外部サービス事業者の運用的対策
- セキュリティポリシー
- インシデント対応
- 監査・認証・第三者評価
外部委託先へのセキュリティ要求事項のまとめ方について、最新のISMS規格(JIS Q 27001:2023)に基づき回答申し上げます。
結論から申し上げますと、全ての委託先に対して「個別の要求事項をゼロから作成する必要はありません」。貴社が現在お持ちの網羅的な要求事項を「ベースライン(基本項目)」とし、委託先のリスクに応じて必要な項目を「選択・適用」する運用が、ISMSの実務において最も効率的かつ効果的です。
最新の規格(JIS Q 27001:2023)に照らし、以下の3つのポイントで整理して検討されることを推奨します。
1. 規格(JIS Q 27001:2023)の要求事項
管理策(5.19、5.20)では、供給者との間でセキュリティ上の義務について「誤解が生じないこと」を確実にするよう求めています。
- 全ての委託先に同じ要求を課す必要はなく、委託内容(アクセスする情報の重要度等)に応じた適切な合意を行うことが望ましいとされています。
2. リスクに応じた「選択的適用」の推奨
清掃、ウォーターサーバー、Webサイト運用では、扱う情報のリスクが全く異なります。以下のように、貴社の要求事項を「使い分ける」運用が独自性のある解決策となります。
- 重要度の高い委託(Webサイト運用、データセンター等):
貴社がリストアップされた全項目(技術的対策、脆弱性対策、監査等)を網羅的に適用し、詳細な合意を交わします。 - 物理的な出入りのみが発生する委託(清掃、サーバー保守等):
リストの中から「物理的対策」「人的対策(守秘義務)」「インシデント発生時の連絡体制」に絞って適用します。 - リスクが極めて低い委託(ウォーターサーバー補充等):
入退室ルールやマナーなどの基本的な「人的対策」のみを適用し、簡略化します。
3. 実務を効率化する「独自性」のある工夫
個別に文書を作成する代わりに、以下の運用を検討してみてください。
- チェックリスト形式の活用:
貴社の全要求事項を網羅したチェックリストを作成し、委託先ごとに「該当する項目」のみをマークして契約の添付資料とする。 - 合意の証跡:
最終的には契約書や覚書に「別紙の要求事項を遵守する」旨を記載し、双方で合意することで、審査上の要求を完全に満たすことができます。
4. まとめ
ISO 27002では、「供給者関係の種類に応じて,関連する情報セキュリティ要求事項を確立し,各供給者と合意することが望ましい。」と記載されています。ただ、それは「関連する情報セキュリティ要求事項を満たすという両当事者の義務に関し,組織と供給者との間に明確な理解が得られることを確実にするために」となっており、この意図が満たせていれば、問題ありません。
最終的な合意は契約書や覚書で行うことになりますが、実務上は「セキュリティ要求事項のチェックリスト」を共通テンプレートとして用意し、委託先ごとに「該当・非該当」をマークして配布する形にすると、管理が劇的に楽になります。これにより、個別に作成する手間を省きつつ、各社との個別合意という規格の要求を満たすことができます。
サンプル文書「B07 情報セキュリティ運営管理規程」の「8.1 外部委託契約におけるセキュリティ要求事項」では、標準的な要求事項を定義しています。これらを参考に、貴社の実態に即した「無理のない、かつ漏れのない」供給者管理体制を構築してください。
