ISMSにおける外部委託先の管理とは

投稿日：2022年7月5日 　最終更新日：2024年6月5日

皆さん、こんにちは。

ISOコム　マネジメントコンサルタントの谷口　公夫です。

今日は、ISMSにおける外部委託先の管理についてお話ししてみますね。

当社のISOコンサル実績はこちら

個人情報保護法における外部委託先管理の考え方

2000年に公布された日本の個人情報保護法は、外部委託先の管理について影響を与えました。

それまで外部委託先で発生した不祥事は、外部委託先の責任になるといった傾向がありましたが、委託元（個人情報を委託する側の会社）は、外部委託先に対して監督責任があるという考え方になりました。

委託元（個人情報を委託する側の会社）は委託先を監督する必要がある、それを怠ると法令違反となりました。
もともと日本の個人情報保護法はEUの外圧によって作った経緯があって、外部委託先の管理でもその影響を受けたのではないかと思います。

しかし、今の日本国内でよく見られる委託先の管理は、委託先が第三者の審査に合格することで良しとしているのが多いかなと思います。

外部委託先管理の課題とは？

外部委託先の監督の難しさはどこにあるかというと、

同じ個人情報保護法の監督義務の中で、従業員の監督との比較の中で考えてみたいと思います。

従業員に対して企業は労務を管理したり、業務の指揮や命令等を通じて従業員を監督できるんですが、

即ち、従業員に対して企業が定めたルールを守るよう要求したり、

ルールに違反したときに罰することができますが、委託先の従業員に対してはできませんね。

委託元（委託する側）が委託先にできることは、

契約などで委託先を縛るぐらいで、委託先に乗り込んでいって、

その従業員に直接ルールを守るように命じたり、

ルール違反をしているからといって罰したりはできないということになっています。

委託元（委託する側）が、委託先にできることは、委託先の監督の一環として、

監査するのが精いっぱいの対応となります。

しかしながら、監査を実施するには、コスト（監査を実施する要員の時間的負担等）がかかるといったデメリットを伴いますよね。
なので、現状では、この監査を簡略化する手法として、委託元企業が、契約内容をチエックリストや、調査票といった仕組みで、

委託先企業に報告させることで、契約内容の履行を確認しているという手法が多くみられます。

ただ、この方法は、委託先が、委託先の状況を必ずしも正直に委託元に報告するとは限りませんよね。

そこで、報告後に、委託元が委託先を訪問するなどして、報告内容の確認などするため、

簡便な調査などを実施するなどの措置をとっているケースがあります。

このやり方も確認のためのコストがかかりますので、監査を実施するのと同じようなことになってしまうと考えられます。

委託先組織が少数なら良いのですが、多くなれば多くなるほどそのコストは膨らんでしまいますね。

ISMSにおける外部委託先管理の概要とは？

これら背景を基に、ISMSの管理策では、どういった対応を要求しているのか見てみたいと思います。

ISMSでは規格の付属書Aの「A.15供給者関係」で委託先管理を規定しています。

大きく「A.15.1供給者関係における情報セキュリティ」と「A.15.2供給者のサービス提供の管理」の2つの管理目的があります。

管理目的1：「A.15.1供給者関係における情報セキュリティ」とは？

まず「A.15.1供給者関係における情報セキュリティ」を見てみますと、以下の3つの管理策があります。
A.15.1.1供給者関係のための情報セキュリティの方針
A.15.1.2供給者との合意におけるセキュリティの取扱い
A.15.1.3 ICTサプライチェーン

A.15.1.1は方針（＝policy）ですので、

供給者をどのように管理するかについて、規程とか、手順書をあらかじめ作成しておく、という要求事項になります。」（方針という日本語と原文のpolicyとは意味的に異なる部分がありますので注意が必要です。）

A.15.1.2は合意(＝agreement)ですので、供給者との契約を含めた合意の取り交わしということになります。

A.15.1.3はサプライチェーンですので、委託の委託をはじめとした委託の連鎖に対する扱いに対する要求事項になります。

管理目的2：「A.15.2供給者のサービス提供の管理」とは？

次に「A.15.2供給者のサービス提供の管理」は、以下の2つの管理策要求事項となっています。

A.15.2.1供給者のサービス提供の監視及びレビュー
A.15.2.2供給者のサービス提供の変更対する管理

A.15.2.1は、A.15.1.2で交わした契約など合意事項について委託先が契約通り履行しているかどうか確認することを要求しています。当然監視なりレビューには監査を含むことを示唆しています。

先ほども触れましたが監査は、効果的手法ではありますがコスト負担というデメリットがあります。
従って、委託先が、契約通りに業務を実施してくれているか、どのように監視なりレビューするか、

といったところが工夫のしどころになりそうです。

委託先が、契約通りに業務を実施してくれているかの、

エビデンス（実際の実施状況の把握）が確認できれば良いので、

ちょっとした訪問時の確認や質問などを実施するなどの手段でも良い場合があるかと思います。

勿論、やり方次第では、電話やメールでも、工夫次第で代替えできる場合があるかと思います。

また最近ではリモートなども効果的に組み込むといった手法もありではないかと思います。

また、

限られた税務署調査員で多くの企業の税務調査を行うための税務署の手法としてよく知られている

「税務署のロジック」といった管理手法などが参考になる場合があります。

できるだけコストをかけずに、契約なり合意事項に対する実施状況を確認するか、ということがポイントとなります。
なるべく、監査等のコスト負担をかけずに確認方法を工夫すべきかと思いますね。

A.15.1.2はリスク管理に属する対応かと考えられます。
リスクの本質は変化ですので、委託先の変化を察知することで、委託先に、事前に適切な対応要求を、することができる、

という管理策かと思われます。

変化を察知するには、あらかじめその観点を、適切に報告してもらう仕組みなどが考えられます。

人や環境の変化があった場合、あらかじめ報告させる仕組みなどです。
また定期的なヒアリングなどで察知するなどの仕組みなども考えられます。

ISMS管理策の実装方法は？

規格は、委託先を、管理すべきポイントを手短に要求事項としてまとめていますので、

一つ一つの管理策を、具体的に吟味しながら、対策をまとめて必要な対策が打てる

といった仕組みとなっています。

それには、規格の要求する「利害関係者のニーズ及び期待」を確実に把握し、

「外部・内部課題」として反映しながら、

それら課題を解決するための手法を先の管理策を通じて規程や手順などに組み込んでいくことが重要ですね。

最後に

恐怖の正体は、本質が見ないところにあります。

委託元にとって委託先は、従業員のように、直接その活動状況を把握できる環境にありませんので、

そこで何が起こっているか把握できないことが恐怖ですね。

委託先に要求した契約などに基づいた活動内容を、どのように把握し、必要な対策を講じてゆくかが、委託先管理では重要です。

委託先の管理がうまくいかないと、

そこからの情報漏洩など不測の事態が起こってしまい、

その対応に多大なお金や労力が失われるかもしれません。

かといってあまりに管理にお金や労力をかけていくわけにもいきません。

そんなときには、経験豊富なコンサルタントが皆さんの大きな味方になるかもしれませんね。

ISOコムのコンサルが気になる方は、『お問い合わせフォーム』から今すぐ ご相談を！

*ISOコム株式会社お問合せ窓口* 0120-549-330

当社ISOコム株式会社は各種ISOの新規取得や更新の際のサポートを行っているコンサルタント会社です。

ベテランのコンサルタントが親切丁寧にサポートしますので、気になる方はぜひご連絡下さい。