委託元に問われる管理責任とは?
システム関係業務をアウトソーシングすると勘違いして、責任も委託先にアウトソーシングし
たと業務を任せたままになってしまうことがあります。
しかし、システム関係業務や情報セキュリティの業務を委託先にアウトソーシングしたとして
も、システム障害や情報漏えいなどのインシデントが発生した場合で、たとえ、アウトソーシ
ング先に起因するシステム障害や情報漏えいなどのインシデントだったとしても委託元の責任
が問われます。
そして、システムのユーザ側から見れば、問題を起こしたのは、当該システムを運用している
企業にななるため、結果的に損害賠償請求などを行なうことはできても、最終的には委託元に
は、管理の悪い外部委託先に委託していること自体の責任を問われ、システム運用・保守に関
する管理責任が問われることに注意しなくてはなりません。
いろいろな視点から検討が必要な委託先の選定
適切に委託先を選定していれば、情報セキュリティ・インシデントの発生の可能性を大幅に減
らすことができます。
そこで、外部委託(アウトソーシング)先の選定が重要になるのです。
通常、委託先を選ぶ際には、費用対効果を比較検討してを選択することになります。
その際、情報セキュリティの視点からの検討が必要で、委託先については、
例えば、次のような視点から検討する必要があります。
(1)財務状況
委託先の財務状況が安定しているか状態かが重要です。
それは、委託先が事業から突然、撤退したり倒産したりすると、継続してシステムを安定的さ
せることが難しくなります。
(2)技術レベル
委託する業務を遂行する知識や技術が委託先にありか見きわめなければなりません。
それは、委託する業務を遂行する知識や技術がなければ、システム障害が発生したり、障害対
応が適切に実施されなかったりする可能性があります。
(3)実績
実績を見た場合、社会的に技術力が認められている委託先についても、その実績を評価するこ
とができます。
委託する業務とおなじような業務を委託先が過去に経験していれば、高い確率で業務を適切に
遂行できる可能性があると考えられます。
(4)認証の取得状況
情報セキュリティ、システム運用、個人情報保護品質管理などについて、
ISO27001,1SMS,ISO20000,1TIL,プライバシーマーク、ISO9001などの
認定を受けている委託先は、一定レベルの水準にあると評価できます。
(5)第三者監査(SSAE16、18号監査)
委託先が一定レベルの管理を行なっていると評価する一つの基準は、第三者による監査を受け
ていることを確認することです。
委託先における業務の管理状況や遂行状況などを委託元が直接監査することが難しい場合にお
こないます。
(6)コスト
競争入札、企画競争などの方法をとるこにによって、コストの妥当性を評価することができま
す。
業務委託に関係するコストの水準が本当に妥当かどうかを判断します。
(7)データセンターの場所(国内、国外)
委託先が国内なのか国外なのか、自社のニーズに適合しているかどうか、たとえば、作業場所
が低い場所にあると災害などの発生の可能性あり、それらを評価します。
そのため、業務を実施する場所も重要です。
(8)問い合わせの対応時間、障害対応等
問い合わせの対応時間については、後述のSLA(サービスレベル合意)のところでも解説しま
す。
が自社の要求水準を満たしているか、問い合わせ対応時間、障害対応、エスカレーションルー
ルなどトータルに評価します。
委託先の監督・指導をチェックする仕組みとは?
業務を任せたままにしていると、委託先で業務が形骸化してゆき、その担当者の気の緩みなど
によって、ミスが発生する可能性が高まりますし、システム運用や操作ミスが発生することも
あります。
自社の業務に携わる担当者に対する監督・指導が適切に行なわれているかどうかを、業務の委
託先において、チェックする仕組みが必要になります。
そのため、受託業務を適切に実施するため管理者による従業員の監督・指導、情報セキュリ
ティやシステム関連の技術教育の計画的な実施、内部監査の実施による業務の適正性確保など
の体制が委託先で構築されていなければなりません。
例えば、委託先の選定時だけ監督・指導体制をチェックするのではなく、月次、四半期ごと、
半期ごと、年次など定期的に監督・指導の実施した結果を委託先に報告させ、
定期的に委託先に報告させたりするなどしてチェックすることが必要です。
マンネリ化を防止するために委託先の定期的な評価は有効です。
そして、委託先を評価する目的は、評価することではありません。
委託した業務の品質を維持向上させることにあり、委託先が複数ある場合には、評価結果を比
較分析して、業務改善に反映させましょう。
具体的には、次のような事項について評価することが挙げられます。
(1)システムの稼働状況
障害の発生件数、システム停止時間など
(2)納期を遵守しているか
納期遅延の発生状況
(3)業務品質
運用ミス、操作ミスなどの発生状況、障害対応の適切性、変更管理の適切性など
(4)従業員のレベル
従業員のレベルが低下していないか
サービスレベルを明確にすることが重要なSLA
SLAの項目は、総務省が自治体CIO向けに作成した「自治体CIO育成研修(テキスト)」が参考
にできます。
委託先を評価するためには、その前提となるサービスレベルを明確にする必要があり、それを
委託元と委託先で合意したものがSLA(サービスレベル合意)です。
なお、SLAとは、ServiceLevelAgreementの略で、サービスの提供事業者とその利用者の間で
結ばれるサービスのレベル(定義、範囲、内容、達成目標等)に関する合意、サービス水準、
サービス品質保証などと訳されます。
まとめ
自社で安全管理をする必要性があるのは当然として、法が求めるのは、
「自社の管理レベルと同等な企業に委託すべき」ということです。
すなわち、自社と比べて管理のレベルが著しく低いた企業に、貴重な情報を託してはいけない
し、仮に管理レベルが低い企業に託すならば事故をが発生しても当然ということを言っている
に過ぎません。
従って、各企業は自社で実際に行った管理と、まったく同じことを委託先に要求することが必
要です。
何も難しく考えるものではなく、新しい何かを求められるわけでもありません。
ただ、自社と同じ管理レベルに達しているかそれ以上であることを確認し、
それ以下の管理レベルの企業には頼まない選択をしてゆくことが重要です。