情報セキュリティの基礎
1-5 取引先からの情報管理要求
企業は顧客や取引先と情報をやりとりすることで事業を営んでいます。情報には、自らの資産である営業秘密などと、取引先から預かっている技術情報や個人情報があります。

企業が取引先から仕事の委託を受けるに際しては、情報漏えいに対する管理を厳しく問われるようになってきており、中小企業もその例外ではありません。対象となるのは主に、技術情報などの企業秘密の保護と、個人情報の保護です。

日本企業は製造業などの例に見るように、企業間の役割分担による総合力が強みとなっています。この総合力を発揮するためには、企業間において技術情報や設計情報がきちんと守られており、流出しないことが大前提となります。
海外との厳しい競争にさらされる大企業の秘密厳守要請はますます強まっています。企業においては技術情報の保護に努めることが競争力の強化となるのです。

個人情報保護法では、個人情報が委託先の企業から漏えいした場合でも、委託元の企業はその監督責任を問われます。報道にも委託元企業の社名が出ます。このため、委託元企業は、委託先となる企業に対し、自社の管理と同等の情報セキュリティ対策と個人情報管理を要請するようになっています。
委託先企業は情報セキュリティ対策の状況をチェックされる
IPAの調査によれば、個人情報の保護に関する委託先の選定に際して、「委託先の情報セキュリティ対策状況を定められた手順によって確認をおこなっている」企業の比が55.9%に達しています。(下図参照)

取引先(業務委託先)の情報セキュリティ対策状況の確認有無
IPA「中小企業の情報セキュリティ対策確認手法に関する実態調査」
(引用:中小企業の情報セキュリティ対策に関する研究会 報告書 H21年3月)

委託先における情報セキュリティ対策事項
IPAが提供している、「中小企業の情報セキュリティ対策ガイドライン」には、「委託関係における情報セキュリティ対策ガイドライン」が付属しています。
そこには、「委託契約では、機密情報の取扱に関して、必要かつ適切な安全管理措置について、委託者、受託者双方が同意した内容を事前に具体的にする必要がある。」として、委託契約書に盛り込むべき項目の例として、以下のものが挙げられています。
このような項目を委託元との間で明文化して取り交わすことは、委託先(下請け)が管理すべきこと、守るべき事項が明確になり、責任分解点もはっきりするので大事なことです。
IPA「中小企業の情報セキュリティ対策ガイドライン」(2009年3月)
別冊1「委託関係における情報セキュリティ対策ガイドライン」

▲ページトップへ