ISMSにおける外部委託先の管理とは

2022年7月5日

皆さん、こんにちは。

ISOコム　マネジメントコンサルタントの谷口　公夫です。

今日は、ISMSにおける外部委託先の管理についてお話ししてみますね。

当社のISOコンサル実績はこちら

個人情報保護法における外部委託先管理の考え方

2000年に公布された日本の個人情報保護法は、外部委託先の管理について影響を与えました。
それまで外部委託先で発生した不祥事は、外部委託先の責任になるといった傾向がありましたが、委託元（個人情報を委託する側の会社）は、外部委託先に対して監督責任があるという考え方になりました。

委託元（個人情報を委託する側の会社）は委託先を監督する必要がある、それを怠ると法令違反となりました。
もともと日本の個人情報保護法はEUの外圧によって作った経緯があって、外部委託先の管理でもその影響を受けたのではないかと思います。

しかし、今の日本国内でよく見られる委託先の管理は、委託先が第三者の審査に合格することで良しとしているのが多いかなと思います。

外部委託先管理の課題とは？

外部委託先の監督の難しさはどこにあるかというと、同じ個人情報保護法の監督義務の中で、従業員の監督との比較の中で考えてみたいと思います。

従業員に対して企業は労務を管理したり、業務の指揮や命令等を通じて従業員を監督できるんですが、即ち、従業員に対して企業が定めたルールを守るよう要求したり、ルールに違反したときに罰することができますが、委託先の従業員に対してはできませんね。

委託元（委託する側）が委託先にできることは、契約などで委託先を縛るぐらいで、委託先に乗り込んでいって、その従業員に直接ルールを守るように命じたり、ルール違反をしているからといって罰したりはできないということになっています。

委託元（委託する側）が委託先にできることは委託先の監督の一環として委託先を監査するのが精いっぱいの対応となります。

しかしながら監査を実施するにはコスト（監査を実施する要員の時間的負担等）がかかるといったデメリットを伴いますよね。
なので、現状ではこの監査を簡略化する手法として委託元企業が契約内容をチエックリストや調査票といった仕組みで委託先企業に報告させることで契約内容の履行を確認しているという手法が多くみられます。

ところが、この方法は委託先が委託先の状況を必ずしも正直に委託元に報告するとは限りませんよね。そこで、報告後に委託元が委託先を訪問するなどして報告内容の確認などするため簡便な調査などを実施するなどの措置をとっているケースがあるのですが、このやり方も確認のためのコストがかかりますので、監査を実施するのと同じようなことになってしまうと考えられます。

委託先組織が少数なら良いのですが、多くなれば多くなるほどそのコストは膨らんでしまいます。

ISMSにおける外部委託先管理の概要とは？

これら背景を基に、ISMSの管理策ではどういった対応を要求しているのか見てみたいと思います。ISMSでは規格の付属書Aの「A.15供給者関係」で委託先管理を規定しています。
大きく「A.15.1供給者関係における情報セキュリティ」と「A.15.2供給者のサービス提供の管理」の2つの管理目的があります。

管理目的1：「A.15.1供給者関係における情報セキュリティ」とは？

まず「A.15.1供給者関係における情報セキュリティ」を見てみますと以下の3つの管理策があります。
A.15.1.1供給者関係のための情報セキュリティの方針
A.15.1.2供給者との合意におけるセキュリティの取扱い
A.15.1.3 ICTサプライチェーン

A.15.1.1は方針（＝policy）ですので、供給者をどのように管理するかについて規程とか手順書をあらかじめ作成しておくという要求事項になります。（方針という日本語と原文のpolicyとは意味的に異なる部分がありますので注意が必要です。）

A.15.1.2は合意(＝agreement)ですので、供給者との契約を含めた合意の取り交わしということになります。

A.15.1.3はサプライチェーンですので、委託の委託をはじめとした委託の連鎖に対する扱いに対する要求事項になります。

管理目的2：「A.15.2供給者のサービス提供の管理」とは？

次に「A.15.2供給者のサービス提供の管理」は、以下の2つの管理策要求事項となっています。
A.15.2.1供給者のサービス提供の監視及びレビュー
A.15.2.2供給者のサービス提供の変更対する管理

A.15.2.1は、A.15.1.2で交わした契約など合意事項について委託先が契約通り履行しているかどうか確認することを要求しています。当然監視なりレビューには監査を含むことを示唆しています。

先ほども触れましたが監査は、効果的手法ではありますがコスト負担というデメリットがあります。
従って委託先が契約通りに業務を実施してくれているかどのように監視なりレビューするかといったところが工夫のしどころになりそうです。

委託先が契約通りに業務を実施してくれているかのエビデンス（実際の実施状況の把握）が確認できれば良いので、ちょっとした訪問時の確認や質問などを実施するなどの手段でも良い場合があるかと思います。

勿論、やり方次第では電話やメールでも工夫次第で代替えできる場合があるかと思います。また最近ではリモートなども効果的に組み込むといった手法もありではないかと思います。

また、今回は詳しくは触れませんが、限られた税務署調査員で多くの企業の税務調査を行うための税務署の手法としてよく知られている「税務署のロジック」といった管理手法などが参考になる場合があります。

要はできるだけコストをかけずに契約なり合意事項に対する実施状況を確認するかということがポイントとなります。
なるべく監査といたコスト負担をかけずに確認方法を工夫すべきかと思われます。

A.15.1.2はリスク管理に属する対応かと考えられます。
リスクの本質は変化ですので、委託先の変化を察知することで委託先に事前に適切な対応要求をすることができるという管理策かと思われます。

変化を察知するにはあらかじめその観点を適切に報告してもらう仕組みなどが考えられます。
人や環境の変化があった場合、あらかじめ報告させる仕組みなどです。
また定期的なヒアリングなどで察知するなどの仕組みなども考えられます。

ISMS管理策の実装方法は？

規格は、委託先を管理すべきポイントを手短に要求事項としてまとめていますので、一つ一つの管理策を具体的に吟味しながら対策をまとめて必要な対策が打てるといった仕組みとなっています。

それには規格の要求する「利害関係者のニーズ及び期待」を確実に把握し、「外部・内部課題」として反映しながら、それら課題を解決するための手法を先の管理策を通じて規程や手順などに組み込んでいくことが重要ですね。

最後に

恐怖の正体は本質が見ないところにあります。
委託元にとって委託先は、従業員のように直接その活動状況を把握できる環境にありませんので、そこで何が起こっているか把握できないことが恐怖ですね。

委託先に要求した契約などに基づいた活動内容をどのように把握し必要な対策を講じてゆくかが委託先管理では重要です。

委託先の管理がうまくいかないと、そこからの情報漏洩など不測の事態が起こってしまい、その対応に多大なお金や労力が失われるかもしれません。かといってあまりに管理にお金や労力をかけていくわけにもいきません。

そんなときには、経験豊富なコンサルタントが皆さんの大きな味方になるかもしれませんね。

ISOコムのコンサルが気になる方は、今すぐこちらまで ご相談を！
問い合わせ先　ISOコム株式会社お問合せ窓口 0120-549-330