外部委託

目的・趣旨

府省庁外の者に、情報システムの開発、アプリケーションプログラムの開発等を委託する 際に、行政事務従事者が当該委託先における情報セキュリティ対策を直接管理することが 困難な場合は、委託先において府省庁対策基準に適合した情報セキュリティ対策が確実に 実施されるよう、委託先への要求事項を調達仕様書等に定め、委託の際の契約条件とする必 要がある。

外部委託には以下の例のように様々な種類があり、また、契約形態も、請負契約や委任、

準委任、約款への同意等様々であるが、いずれの場合においても外部委託の契約時には、委 託する業務の範囲や委託先の責任範囲等を明確化し、契約者双方で情報セキュリティ対策 の詳細について合意形成することが重要である。

なお、クラウドサービスの利用に係る外部委託については、クラウドサービス特有のリス クがあることを理解した上で、4.1.4項「クラウドサービスの利用」についても本項に加え て遵守する必要がある。

また、民間事業者が不特定多数向けに約款に基づきインターネット上で提供する情報処 理サービス等、1.3 節において「約款による外部サービス」として定義するものを利用し、

行政事務を遂行する場合も外部委託の一つの形態であるが、要機密情報を取り扱わず、委託 先における高いレベルの情報管理を要求する必要が無い場合に限るものとし、その際は本 項に代えて4.1.2項「約款による外部サービスの利用」を適用すること。

＜外部委託の例＞

情報システムの開発及び構築業務

アプリケーション・コンテンツの開発業務 情報システムの運用業務

業務運用支援業務（統計、集計、データ入力、媒体変換等）

プロジェクト管理支援業務

調査・研究業務（調査、研究、検査等）

情報システム、データセンター、通信回線等の賃貸借

遵守事項

(1) 外部委託に係る規定の整備

(a) 統括情報セキュリティ責任者は、外部委託に係る以下の内容を含む規定を整備 すること。

98

(ア) 委託先によるアクセスを認める情報及び情報システムの範囲を判断する 基準

(イ) 委託先の選定基準

【 基本対策事項 】規定なし

（解説）

遵守事項4.1.1(1)(a)(ア)「委託先によるアクセスを認める情報及び情報システムの範囲」

について

委託先や第三者による許可されていない情報及び情報システムへのアクセス等が行 われないように、委託先におけるそれらの取扱いに関する府省庁の基準を規定するこ とを求めている。規定すべき内容としては、例えば以下の事項が考えられる。

外部委託を許可（又は禁止）する業務又は情報システムの範囲

外部委託を許可（又は禁止）する業務又は情報システムの具体的例示（公開ウェ ブサーバは外部委託可等）

格付及び取扱制限その他取り扱う情報の特性に応じた、情報の取扱いを許可（又 は禁止）する場所（機密性３情報は庁舎外での取扱いを禁止するなど）

特に、委託業務において取り扱われる情報が海外のデータセンターに存在する場合 等においては、保存している情報に対して現地の法令等が適用されるため、国内であれ ば不適切と判断されるアクセスが行われる可能性があることに注意が必要である。「行 政機関の保有する個人情報の保護に関する法律」（平成15年法律第58号）が規定する 保有個人情報については、国内法令のみが適用される場所に制限する必要があると考 えられるため、保有個人情報を取り扱う委託業務においては、保存された情報等に対し て国内法令のみが適用されること等を外部委託の際の判断条件としておくべきである。

遵守事項4.1.1(1)(a)(イ)「委託先の選定基準」について

統括情報セキュリティ責任者は、委託先の選定基準の整備に当たって、当該委託先が、

事業の継続性を有し存続する可能性が高く、府省庁対策基準の要件を満たしていると 判断できる場合に限ること等を前提とすることが重要である。

選定基準としては、委託先が府省庁対策基準を遵守し得る者であること、府省庁対策 基準と同等の情報セキュリティ管理体制を整備していること、府省庁対策基準と同等 の情報セキュリティ対策の教育を委託先の事業従事者に対して実施していること等が 挙げられる。

また、府省庁の情報セキュリティ水準を一定以上に保つために、委託先に対して要求 すべき情報セキュリティ要件を府省庁内で統一的に整備することが重要である。

委託先の選定基準策定に当たって、委託先の情報セキュリティ水準の評価方法を整 備する際、例えば、ISO/IEC 27001 等の国際規格とそれに基づく認証制度の活用、情 報セキュリティガバナンスの確立促進のために開発された自己評価によるツール等の 応用も考えられる。その場合、委託先の情報セキュリティ水準の認証に関わる認定・認

99

証機関について、これら機関がマネジメントシステム認証の信頼性向上を目的とした 取組である「MS認証信頼性向上イニシアティブ」に参画し、不祥事への対応や透明性 確保に係る取組を実施していることを確認することも考えられる。

なお、委託先の選定基準は、法令等の制定や改正等の外的要因の変化に対応して適時 見直し、外部委託の実施時に反映することが必要である。

100 遵守事項

(2) 外部委託に係る契約

(a) 情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、外部委 託を実施する際には、選定基準及び選定手続に従って委託先を選定すること。ま た、以下の内容を含む情報セキュリティ対策を実施することを委託先の選定条件 とし、仕様内容にも含めること。

(ア) 委託先に提供する情報の委託先における目的外利用の禁止 (イ) 委託先における情報セキュリティ対策の実施内容及び管理体制

(ウ) 委託事業の実施に当たり、委託先企業又はその従業員、再委託先、若しく はその他の者による意図せざる変更が加えられないための管理体制 (エ) 委託先の資本関係・役員等の情報、委託事業の実施場所、委託事業従事

者の所属・専門性（情報セキュリティに係る資格・研修実績等）・実績及び 国籍に関する情報提供

(オ) 情報セキュリティインシデントへの対処方法

(カ) 情報セキュリティ対策その他の契約の履行状況の確認方法 (キ) 情報セキュリティ対策の履行が不十分な場合の対処方法

(b) 情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、委託す る業務において取り扱う情報の格付等を勘案し、必要に応じて以下の内容を仕様 に含めること。

(ア) 情報セキュリティ監査の受入れ (イ) サービスレベルの保証

(c) 情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、委託先 がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に 対して情報セキュリティが十分に確保されるよう、上記(a)(b)の措置の実施を委託 先に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認す るために必要な情報を府省庁に提供し、府省庁の承認を受けるよう、仕様内容に 含めること。

【 基本対策事項 】

＜4.1.1(2)(a)関連＞

4.1.1(2)-1 情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、以下

の内容を含む委託先における情報セキュリティ対策の遵守方法、情報セキュリティ 管理体制等に関する確認書等を提出させること。また、変更があった場合は、速やか に再提出させること。

a) 当該委託業務に携わる者の特定

b) 当該委託業務に携わる者が実施する具体的な情報セキュリティ対策の内容

4.1.1(2)-2 情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、委託

先との情報の受渡し方法や委託業務終了時の情報の廃棄方法等を含む情報の取扱手 順について委託先と合意し、定められた手順により情報を取り扱うこと。

101

（解説）

遵守事項4.1.1(2)(a)「委託先の選定条件とし、仕様内容にも含める」について

一般競争入札の中でも総合評価落札方式で行う場合は、遵守事項4.1.1(2)(a)の(ア)～

(キ)について、評価の際に入札者に対し提出を求めるなど、選定条件を満たしているか の確認をすること。また、事前に評価を行えない最低価格落札方式等で行う場合であっ ても、仕様書に対する履行能力証明書等を提出させるなどにより、遵守事項4.1.1(2)(a) の(ア)～(キ)について契約時までに提出することを確約させること。

なお、委託事業の内容によっては、一部の条件が設定不可能な場合や意味をなさない 場合も考えられるため、そのような場合には、除外することもやむを得ない。

また、国の安全に関する重要な情報を委託先に取り扱わせることを内容とする外部 委託契約については、「調達における情報セキュリティ要件の記載について」（平成 24 年１月24日、内閣官房副長官から各省庁大臣官房長等あて）に基づく情報セキュリテ ィ要件を当該契約に含めることも考えられる。

遵守事項 4.1.1(2)(a)(ア)「委託先に提供する情報の委託先における目的外利用の禁止」

について

「情報セキュリティ対策に関する官民連携の在り方について」（平成24年１月19日 情報セキュリティ対策推進会議 官民連携の強化のための分科会）においては、「国の安 全に関する重要な情報を国以外の者に扱わせることを内容とする契約を行う際には、

契約方式にかかわらず、契約に係る業務の実施のために国が提供する国の安全に関す る重要な情報その他当該業務の実施において知り得た国の安全に関する重要な情報に ついては、情報のライフサイクルの観点から管理方法を定め、その秘密を保持させ、ま た当該業務の目的以外に利用させない」との旨が記載されている。

遵守事項4.1.1(2)(a)(ウ)「意図せざる変更が加えられないための管理体制」について

情報システムの開発等の外部委託において、「意図せざる変更が加えられないための 管理体制」が確保されることを求めている。

具体的に仕様書等に記載する事項としては、例えば以下が考えられる。

情報システムの開発工程において、府省庁の意図しない変更が行われないこと を保証する管理が、一貫した品質保証体制の下でなされていること。また、当該 品質保証体制が書類等で確認できること。

情報システムに府省庁の意図しない変更が行われるなどの不正が見付かったと きに、追跡調査や立入検査等、府省庁と委託先が連携して原因を調査・排除でき る体制を整備していること。また、当該体制が書類等で確認できること。

遵守事項4.1.1(2)(a)(エ)「委託先の資本関係・役員等の情報、委託事業の実施場所、委

託事業従事者の所属・専門性（情報セキュリティに係る資格・研修実績等）・実績及び 国籍に関する情報提供」について

遵守事項4.1.1(2)(a)(ウ)「意図せざる変更が加えられないための管理体制」における

管理体制等を確認する際の参照情報として用いるため、提供を求める規定である。