中小企業のセキュリティー対策 vol.26 契約の責任範囲に注意

委託元が文書で明確にしているセキュリティーに係る要求事項

ITシステム・サービスの開発や運用を外部に委託する組織において、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念や原因究明の難しさがかねてより指摘されている。その原因として、委託先間の情報セキュリティーに関する取り決めについて責任範囲が不明確であることが挙げられている。そこで、独立行政法人情報処理推進機構(IPA)では責任範囲が明確にできない原因を明らかにし、対策を導き出すための調査「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」を実施し、報告書をウェブサイト(https://www.ipa.go.jp/security/fy30/reports/scrm/)に公開した。調査結果のポイントは次の通りである。

■「新たな脅威が顕在化した際の対応」について責任範囲の明記がない割合は8割

IT業務委託契約時に、委託元が契約関連文書で明確にしているセキュリティーに係る要求事項(責任範囲)を調査したところ、「新たな脅威が顕在化した場合の情報共有・対応」が20・1%で最も低く、8割は記載していないことが分かった。またインシデントが発生した場合の対応も6割強は記載しておらず、このような委託元はインシデント発生時に迅速な対応が難しく、被害拡大、復旧遅延の可能性がある。

■責任範囲を明確にできない理由は知識・スキル不足が最多で79・6%

責任範囲が明確にできない理由として、「専門知識・スキルが不足している」について「強くそう思う」(28・3%)と「ややそう思う」(51・3%)を合わせると79・6%が不足していると答えている。

■IT業務委託契約においてリスク低減を目的に複数の対策を実施

IT業務委託契約時に、委託元からのセキュリティーに係る要求事項に不明瞭な部分が残ってしまう場合に、委託先がなんらかの対策を行っているかを調査したところ、主に、自組織内でリスクを低減するための対策を実施していた。

■IT業務委託契約時に責任範囲を記述している文書は〝契約書〟が最多

情報セキュリティーに係る要求事項(責任範囲)をどんな契約内容文書に記載しているかを調査したところ、最も多いのは契約書であり、回答した委託元企業の96・5%で用いられていた。

■責任範囲を明確にするには〝契約関連文書のひな形の見直し〟が最も有効

アンケート調査から、多くの組織で契約書が利用されているが、責任範囲については記載される項目が不十分であることが分った。また、責任範囲を明確にするためには契約関連文書のひな形の見直しが有効であることも分った。しかし、ヒアリングした企業からは、契約書のひな形や契約書の内容の見直しは、社内手続きや取引先との調整に労力を必要とするため、容易ではないとの意見もあった。

他方、2017年5月に民法が改正され「瑕疵担保責任」が「契約不適合責任」に変更された。これにより、契約時における契約内容の明確化がより一層求められるようになる。そのため、組織では20年4月の改正民法の施行を見据えた、ひな形を含む契約関連文書の見直しが急務である。これを見直しの機会と考え、情報セキュリティーに関する要求事項についても修正、追加の必要がないかを検討をされることが望ましいと考える。 (独立行政法人情報処理推進機構・江島将和)

次の記事

中小企業のセキュリティー対策 vol.27 「教育」で意識向上

独立行政法人情報処理推進機構・江島将和

情報セキュリティー対策を社内に浸透させるためには、従業員一人一人の情報セキュリティー意識の向上が必要であるが、それに有効なのが「教育」だ...

前の記事

中小企業のセキュリティー対策 vol.25 ガイドライン大幅改定

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)は、中小企業における情報セキュリティー対策の考え方や実践方法を具体的に示した「中小企業の情報セキュリティ...

関連記事

中小企業のセキュリティー対策 vol.55 URLリンクへの誘導に注意

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)が開設する「情報セキュリティ安心相談窓口」には日々さまざまな相談が寄せられている。中でも「偽サイトや不...

中小企業のセキュリティー対策 vol.54 ウイルス対策の徹底を

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)では、経済産業省の告示に基づき、被害の状況把握や対策検討を目的とし、コンピュータウイルス・不正アクセス...

中小企業のセキュリティー対策 vol.53 指導事例の活用を

独立行政法人情報処 理推進機構・江島将和

経済産業省と独立行政法人情報処理推進機構(IPA)は2019年度から20年度にかけて、全国の中小企業を対象に、地域で活躍している情報処理安全確保支援...