年金機構の個人情報委託業者が無断再委託をしていた事件発生直後の3月26日、情報処理推進機構(IPA)から興味深い調査報告が発表されました。
その名も「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」。長い名前ですけども…今回はこちらについて解説します。
この記事の目次
約1割の企業が「再委託先でのインシデント発生」を経験
まず、目を引く情報が「再委託先でのインシデント(事件)発生」です。
アンケート調査によれば、再委託先でのインシデント発生は約1割。マイナスイメージのある回答内容ですから、無記名とはいえ、正直に答えていない可能性もあるでしょう。それでも約1割の委託先で、再委託先での問題が起きていると回答しているのです。
年金機構の事件は氷山の一角でしかないのでしょう。業務委託をする側は「再委託の有無」とその「管理体制」について、真剣に考えなければなりません。「再委託禁止条項を入れればいいや」ということにならないのは、今回の年金機構の事件を見れば明白です
具体的なセキュリティ対策を指定していないケースが7割
次に、委託先に「どんなセキュリティ対策を指示しているか」との設問についてです。なんと7割近くの企業が「具体的なセキュリティ対策を指定していない」との回答になりました。
「情報セキュリティ対策に取り組むこと」とか「プライバシーマークの取得」とかの指示内容なのでしょう。具体的に「〇〇をすること」という指定にはなっていないのです。
セキュリティ対策の具体的指示をするためには、新しいインシデントなども加味しながら小まめに指定内容も見直さなければなりません。それには当然、情報収集と人材確保が必要となります。そのあたりも対策指定に至らない要因なのでしょう。
「責任範囲の切り分け」も行われていない
さらに、約半数の企業で責任範囲が明確になっていないとの回答がありました。つまり、事件が発生した場合に、委託元と委託先のどちらの責任範囲で起きたことなのか、決められないということなのです。
委託先の責任にされかねない
これは特に委託先において注意しなければならないでしょう。どちらの責任か明確になっていない部分が原因で事件が発生した場合、おそらく委託先の責任にされるでしょうから。自分の身を守るためにも、仕事を受ける側は「自分の責任で実施すること」を明確にできるよう、準備しておくべきでしょう。
委託元でも注意が必要
もっとも、委託元についても意識することは必要です。例えばクラウドサービスで障害が発生した場合の機会損失について、或いはオペミスによるデータ喪失について、どう認識していますか?
多くのクラウドサービスの契約・規約では、たとえ過失を認めたとしても、損害額の全額を賠償するとはしていません。
契約・規約をチェックする際は、「この条項が入っているか」ではなく、「こういう事件は発生したらどうなるか」の考え方で見て行くようにしましょう。
サプライチェーン管理ができていない日本企業
ところで、このアンケートの対象企業は、ごく小さい企業を含んでいません。委託元は従業員50人以上、委託先IT企業は従業員20人以上となっています。
それなりの企業にアンケートを取っているのにこの数字なのです。それより小さい企業を含めたら、もっと悪い数字になっていくでしょう。これが日本のITサプライチェーン管理の実態です。
サプライチェーンマネジメントの重要性
「サイバーセキュリティ経営ガイドライン」や「重要インフラの情報セキュリティ対策に係る第4次行動計画」等で“サプライチェーンマネジメント”を煩わしいほど強調しているのは、こういう背景があるからなのですね。
前回のコラムでも、「自分のところは本当に大丈夫なのか」と意識する必要を述べさせていただきましたが、このアンケート調査を見て、再確認していただきたいと思います。
参照ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査/情報処理推進機構