ドクターQがお届けするIT統制ブログ　ITサプリ

2007年7月31日、総務省の指導に対して某公社が発表した個人情報漏洩再発防止策。その内容をご覧になったでしょうか。防止策で残念だったのが、「USBメモリやCD-Rの持ち込みを禁止する指導を徹底する」という内容にとどまっていて、「IT統制によって個人情報の持ち出しを物理的に不可能にする」という本来盛り込まれるべき表現が見当たらなかった点です。とにかくIT統制の必要性を、強く感じた事案でした。

さて、そんな中、IT統制の実務ガイドとして各方面で注目されているのが経済産業省からリリースされている「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

25回目となる今回は、共通業務／委託・受託の章で取り上げられている「契約(委託先契約)」に関する管理項目と、その趣意、つまり目的に着目したいと思います。

業務システムの開発や顧客向けダイレクトメールの発送などにおいて、委託先の業務がずさんであったために委託先から個人情報などが漏洩した場合も、責任を問われるのは委託元企業です。システム管理者のみなさんから見ても、委託先管理は他人事ではありません。いま一度、委託先管理の重要性を認識してください。一方、受託側のみなさんは、今回の解説を通して自社のシステム強化のポイントをクリアにできるはずです。

契約(委託先契約)では、8つのポイントが取り上げられています。その中でもITサプリでは(1)(2)(8)に着目したいと思います。

(1)契約は、委託契約ルール又は受託契約ルールに基づいて締結すること。

◎趣旨(目的)
委託契約を確実に行うため、委託契約ルール又は受託契約ルールに基づいて締結する必要がある。

◎今後の強化ポイント
ここで重要なのは、委託先選定において明確な統一基準を策定しておくことです。例えば、個人情報の利用や加工、保管、廃棄などを委託する場合であれば、統一基準に盛り込むべきポイントは次のようになります。

※プライバシーマークなどの認証を取得している企業
※一定の情報セキュリティレベルの維持と管理
※年2回のセキュリティ監査レポートの提出

これら3つに対応できる企業こそ、今後の委託先にふさわしい企業と考えられます。
コストだけを見るのではなく、リスク対策の観点から委託先を選定することも非常に重要になるでしょう。

いかがでしょうか、今後の委託先管理の強化ポイントをご理解いただけたでしょうか。
クオリティのツールを有効活用すれば、委託元と委託先のIT環境を同等のセキュリティレベルに維持することも可能です。
Dr.QがITサプリをお届けしました。 次週は委託・受託／契約(委託先契約)に関する残りの(2)(8)について解説していきます。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。