ITシステム・サービスの開発や運用を外部に委託する組織において、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念や原因究明の難しさがかねてより指摘されている。その原因として、委託先間の情報セキュリティーに関する取り決めについて責任範囲が不明確であることが挙げられている。そこで、独立行政法人情報処理推進機構(IPA)では責任範囲が明確にできない原因を明らかにし、対策を導き出すための調査「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」を実施し、報告書をウェブサイト(https://www.ipa.go.jp/security/fy30/reports/scrm/)に公開した。調査結果のポイントは次の通りである。

■「新たな脅威が顕在化した際の対応」について責任範囲の明記がない割合は8割

IT業務委託契約時に、委託元が契約関連文書で明確にしているセキュリティーに係る要求事項(責任範囲)を調査したところ、「新たな脅威が顕在化した場合の情報共有・対応」が20･1%で最も低く、8割は記載していないことが分かった。またインシデントが発生した場合の対応も6割強は記載しておらず、このような委託元はインシデント発生時に迅速な対応が難しく、被害拡大、復旧遅延の可能性がある。

■責任範囲を明確にできない理由は知識・スキル不足が最多で79･6%

責任範囲が明確にできない理由として、「専門知識・スキルが不足している」について「強くそう思う」(28･3%)と「ややそう思う」(51･3%)を合わせると79･6%が不足していると答えている。

■IT業務委託契約においてリスク低減を目的に複数の対策を実施

IT業務委託契約時に、委託元からのセキュリティーに係る要求事項に不明瞭な部分が残ってしまう場合に、委託先がなんらかの対策を行っているかを調査したところ、主に、自組織内でリスクを低減するための対策を実施していた。

■IT業務委託契約時に責任範囲を記述している文書は〝契約書〟が最多

情報セキュリティーに係る要求事項(責任範囲)をどんな契約内容文書に記載しているかを調査したところ、最も多いのは契約書であり、回答した委託元企業の96･5%で用いられていた。

■責任範囲を明確にするには〝契約関連文書のひな形の見直し〟が最も有効

アンケート調査から、多くの組織で契約書が利用されているが、責任範囲については記載される項目が不十分であることが分った。また、責任範囲を明確にするためには契約関連文書のひな形の見直しが有効であることも分った。しかし、ヒアリングした企業からは、契約書のひな形や契約書の内容の見直しは、社内手続きや取引先との調整に労力を必要とするため、容易ではないとの意見もあった。

他方、2017年5月に民法が改正され「瑕疵担保責任」が「契約不適合責任」に変更された。これにより、契約時における契約内容の明確化がより一層求められるようになる。そのため、組織では20年4月の改正民法の施行を見据えた、ひな形を含む契約関連文書の見直しが急務である。これを見直しの機会と考え、情報セキュリティーに関する要求事項についても修正、追加の必要がないかを検討をされることが望ましいと考える。 (独立行政法人情報処理推進機構・江島将和)