調査報告書プレス発表「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開：IPA 独立行政法人情報処理推進機構

(1)

ＩＴサプ

チェーンの業務委託における

セキュ

ン

ン及びマネメンに

関する調査報告書

(2)

改版履歴

年月日内容

(3)

目

次

1. ...1

1.1. 調査背目的 ...1

1.2. 調査 ...2

1.3. 調査実施概要 ...3

1.3.1. 文献調査 ...4

1.3.2. ン調査...5

1.3.3. ン調査 ...9

2. IT ンンン状況文献調査 ... 11

2.1. IT ンンン例 ... 11

2.1.1. 近ンン例... 11

2.1.2. ンン型ン... 16

2.2. IT ンンンわ紛状況 ... 20

3. IT ンン標準考え方文献調査 ... 23

3.1. IT ンン基準ン及び規格等... 23

3.1.1. 国動向... 23

3.1.2. 外動向... 25

3.2. IT ンン全体像... 28

3.3. 個情報確保組 ... 30

3.3.1. 計画段方針決定ン ... 30

3.3.2. 計画段体制整備教育 ... 31

3.3.3. 実施段選定提案 ... 32

3.3.4. 実施段契約 ... 36

3.3.5. 実施段ン ... 38

3.3.6. 実施段ンン対応 ... 39

3.3.7. 評価段検評価 ... 40

4. IT ンン対企業組現状 ... 42

4.1. ン調査及びン調査仮説検討 ... 42

4.2. ン調査回答者属性 ... 43

4.3. IT 業務委状況... 44

4.4. IT ンン組 ... 48

4.4.1. 計画段方針決定ン ... 48

4.4.2. 計画段体制整備教育 ... 51

4.4.3. 実施段選定提案 ... 65

4.4.4. 実施段契約 ... 77

(4)

ii

4.4.6. 実施段ンン対応 ... 94 4.4.7. 評価段検評価 ... 101 5. ... 102

付録1 IT ン生ンン例

付録2 ン調査票

(5)

1.

1.1. 調査背景目的

近企業 IT 業務系列企業や等

外部委委連鎖形態1 1.2-1参照 IT ンいう

一般的いう IT ン組織情報漏えい件等影響

直接被害組織係複数組織及ぶ被害想定外大

問解決困可能性あ看過い課い

現時 IT ンンンン

ンいう何原因 IT ン生影響範

及等細析行わいい 2016 度実施情報

ンン調査 2 い IT

ン企業意識高い再委先降情報状況把握い

等課挙企業い IT ン把握対策十

いい示唆

う背調査い度調査知見参考特 IT

ン委元委先再委先再々委先連鎖的委形態注目ンン

や情報並び企業当防減

ン IT ンンいう調査析

情報広公表国企業 IT ンン

組向資目的

1 述 2016 度調査 IT ン IT 構築や連機器調遉注

者対当 IT 等納入設計開製造等工程加え運用保廃棄

一連定義い 2016 度調査 IT 委や調遉着目

い度調査委元委先再委先再々委先連鎖的委形態注目調査実施

2 情報処理推進機構情報ンン調査報告書 2017

(6)

1.2. 調査コ

調査 IT ンン実態や課把握析 IT

業務委ンン企業組軸幅広調査行

調査対象組織 1.2-1 示う IT 業務委

い委元委先再委先降含企業

IT 業務委表 1.2-1 示う様々形態あ調査

い多様視実態や課把握対象業務委形態特限定

いい

1.2-1 調査対象

表 1.2-1 IT サ業務委形態例

業務委形態

体例

業容

PMO ン

要件定義設計

開

運用保

提供 ASP SaaS等

ン提供 IaaS ン Web 構築等

処理析

業領域

BtoB ン Web 広告等

BtoC ン SNS 電子商引ンン販売等

情報処理等

ワンン

開等

情報通信機器等

IoT 遠隔視等

社業務等

企業対外的

契約形態

委任準委任型

請型

派遣型

委託元委託先再委託先再々委託先

役務・

成果物役務・成果物

役務・成果物契約

IT

サプライチェーン

仕様・

要求事項 _要求事項仕様・ _要求事項仕様・

(7)

1.3. 調査実施概要

調査国 IT ンわ威やン

ン生状況並び企業対策状況い示 3 調査行い結果

報告書調査実施 1.3-1 示

1. IT ン生ンンや文献調査

観国外文献調査行い 2. ン調査及び3. ン調査調査仮

説検討行

(1) ンン例調査

IT ンンン実態把握 IT

ン生国外ンン例整理析行

(2) IT ンン連文献調査

IT ン契約実務紛対応実態調査及び基準

ン及び規格等調査基 IT ンン

あ姿や考察行

2. ン調査

文献調査検討調査仮説基委元委先両方視 IT

ンン企業組実態把握国企業向郵

ン調査行

3. ン調査

2. ン調査併 IT 業務委行う企業及びIT

ンン識者ン調査行い IT

ンンン経験伴う対策見直やIT ン

ン企業組課意識い体的容調査

1.3-1 調査実施 ITサプンマネン

企業取組実態を把握

1.文献調査

(1)ITサプン上ンン事例調査 (2)ITサプンマネン関す

基準ン及び規格等対す調査

3. インタビュー調査

IT サビ業務委託を行う

企業及び有識者ンビュ調査

➢ _ン _ン _{経験対策見直し}

➢ ITサプンマネン

関す企業取組課題意識

4. 調査報告書

公開報告書し取 2. アンート調査

 _{国内企業向け郵送ン} _調査 ➢ 委託元委託先両方視点

ITサプンマネン

企業取組を調査

調査仮説設定企業取組向上た

(8)

各調査対象及び実施方法い次降示

1.3.1. 文献調査

(1) ンン例調査

IT ン実ンン生状況傾向や生原因特徴等 IT

ン確保ン明手

ンン例調査実施調査結果 2.1.及び付録1 示

IT ン生国外ンンう過去5 公表

例い報遈や例報告書等公開情報情報源表 2.1-1参照情報

行

ンン例表 1.3-1 示うンン容覚原因影

響対応軸整理

表 1.3-1 ンン例整理軸

整理軸載目

ンン容

ンン公表

ンン係者

委元業種

ンン生業

3

覚ンン覚経緯

原因

ンン原因

ンン生箇所

ンン原因容

影響被害容

対応

対応容

再防策

ンン例傾向観析 IT ンン

ン型ン検討行

ンンう経緯覚

ンン業務委係者委元委先再委先等生

ンン生業ンン生原因傾向あ

3 業次類

ン業 WEB 運用ンン販売電子商引

IT ン業 SI 業業

(9)

(2)ITサンネン連文献調査

企業 IT ンン実現指針活用情報

整理 IT ンン文献調査行い IT

ンンあ姿やい考察

IT ン契約実務紛対応

IT ンン基準ン及び規格等

体的 IT ン契約実務紛対応文献調査識者

ン紛企業損害減契約実務防衛策検討

調査結果 2.2. 示

IT ンン基準ン及び規格等得

情報基 IT ンン企業組業務委各

沿整理個組例示調査結果第3章示

(3)調査仮説検討

文献調査通確認 IT ンンン例 IT

ンンあ姿や基企業 IT

ンン組実態把握ン調査及びン調

査調査仮説検討行ン調査及びン調査企業組い

委元委先両方視調査委元委先抱え課や両者

意識検証観検討行検討調査仮説 4.1. 示

1.3.2. ン調査

(1)調査対象

文献調査検討調査仮説基国企業対象郵ン調査実施

ン調査 IT 業務委委元委先 IT

ンン対組や認識遊い検証委元委先向

2種類調査票作 IT 業務委わ係部門回

(10)

表 1.3-2 ン調査調査対象

類定義回答依頼部門

委元自社業 IT

社や顧客向

構築運用等委

企業

調遉部門 IT 業務

注等行う部門

情報部門情報部門

現場業部門 IT

業務委実施決定部門

委先委元 IT

構築運用等企業

当 IT

構築運用等再委

企業

営業部門 IT 業務

注等部門

情報部門情報部門

現場業部門 IT

業務実施部門

調査い委元委先大企業中企業 150社全体計600社

効回答確保目標大企業中企業い中企業庁

定義4 参考委元い従業員数301人委先い業定義あ

従業員数101人大企業

委元委先ン調査票付対象選定方法通

委元

委元い総務省経ン 5 日標準産業類基従業員規模業

種企業数則抽出比例割当法

IT 利活用い企業回答十回経

産業省情報処理実態調査 6 参考資金3,000万従業員数50人企業

対象

委元調査票数表 1.3-3 示

4 中企業庁中企業規模企業者定義

http://www.chusho.meti.go.jp/soshiki/teigi.html

5 総務省統計局経ン

http://www.stat.go.jp/data/e-census/index.htm

6 経産業省情報処理実態調査

(11)

表 1.3-3 委元発数

業種日標準産業類対応

件数

大企業中企業

農林漁業協組合鉱業 ABC 2 15

建設業 D 39 236

製造業 E 249 963

電気熱供給水遈業 F 3 8

情報通信業 G 51 174

運輸業郵便業 H 65 228

卸売業売業 I 199 653

金融業保険業 J 21 30

業 KLMNQR 199 539

教育学習支援業 O 8 21

療福祉 P 12 35

合計 848件 2,902件

委先

委先い民間企業帝国ン録業種副業務

録 1業種含う IT 構築運用等当考え

業情報処理業情報提供業情報業国

国電気通信業電気通信附帯業民生用電気機械器製造業電子計

算機付属装置製造業工業計器製造業電機電動機回転電気機械製造業

対象調査票付

委先委元様経産業省情報処理実態調査参考対象企業規模

限設 IT 委先委元比較規模企業多い

想定従業員数限引資金3,000万従業員数20人

企業対象

委先大企業元々数少委元大企業副業務 IT 構築

運用等実施い可能性考慮委元大企業調査票付委元委

先 2種類調査票付

委先中企業い委元情報通信業企業い IT

業務い可能性考慮委元委先 2種類調査票付

(12)

表 1.3-4 委先発数

業種件数

業

情報処理業

情報提供業

情報業

国国電気通信業

電気通信附帯業

民生用電気機械器製造業

電子計算機付属装置製造業

工業計器製造業

電機電動機回転電気機械製造業

委元企業複除

33,574件

委元用委先用

2種類調査票付対象企業

大企業 848件

中企業情報通信業 174件

合計 44,596件

(2)調査方法

対象企業対郵調査票付回答い郵調査票返調査

専用回答併用調査 2017 11 12 実施

(3)調査目

ン調査票構表 1.3-5 示

第2章及び第3章示文献調査結果基調査仮説検討行い 4.1.参照委元

及び委先対ン調査票作行ン調査票作当

IT ン委元委先係性 IT ンン

在方等観識者2 ン行い調査仮説いい

基的設問構委元及び委先共通業務委立場業務

立場回答い両者組や認識遊いい検証行う

表 1.3-5 ン調査票構成

大目委元調査票委先調査票

回答企業回答者属性業種企業規模回答者所属等

業務委状況引数再委無委業務容等

情報

委先管理委元

業務情報

対策委先

業務委対評

価方針決定

体制整備

委先選定

契約

契約期間中追加対応

委先情報

対策確認

ンン対応

業務対評

価方針決定

体制整備

委元提案

契約

契約期間中追加対応

委元情報

対策確認

ンン対応

(13)

(4)回結果

ン回結果表 1.3-6 示当初回数目標委元委先各300

件計600件大回合計 1,119件効回答得

表 1.3-6 ン回結果

対象大企業中企業明合計

委元 220 277 2 499

委先 266 354 0 620

合計 1,119

ン調査結果い第 4章細示ン調査単純計結果

付録3-1 委元 3-2 委先示

1.3.3. ンュ調査

1.3.2. ン調査併 IT ンいンン対応や

ン知見企業や識者対象ン調査実施ン

調査ン調査併企業 IT ンン組把

握特ン調査確認い体的組や課

い情報得実施

ン調査ン調査様委元委先両方対象委先

IT 提供圏 IT 企業及び識者対象

委元国企業場合外企業場合情報要求やIT

ンン組遊いや外圏 IT 企業業務委

考慮等い確認

(14)

表 1.3-7 ンュ調査実施概要

対象ン先件数ン容

委元

金融業

2件

IT ン委元

情報対策課

認識組

委先求要件

遵状況確認方法

ンン生情報

対策見直方針

業

委先

国 IT企業

国 IT企業A

SI 業従業員101

4件

IT ン委先

情報対策課

意識組

委元求

要件容対応

情報対策委

元委先認識遊い委先

営業現場認識遊い

ンン生時委元

任範

国 IT企業B

SI 業従業員101

国 IT企業C

SI 業従業員100

国 IT企業D

基提供

従業員101

圏IT企業

識者

圏IT企業

2件

委元国外場合情報

要求やIT

ンン

組遊い

外業務委特ン

商慣習等無

対応

圏IT 識者

IT ン

ン識者

識者A

2件

IT ン

ン必要性

紛ンン例

ンン生時備え企業

防衛策

(15)

2. ITサンけンン状況文献調査

章 2.1. 文献調査 IT ン国外ンン例

調査ンン実態把握例 IT ンン

ン型ン見え問解決策検討行

2.2. IT ン当者間情報紛い

文献調査及び識者ン調査参考要因企業防衛策い

検討行

2.1. ITサンけンン例

2.1.1. 近年ンン例

報遈や例報告書等公開情報 IT ン生国外ンン

う過去5 公表例い情報行

ンン例情報表 2.1-1 示手実施

表 2.1-1 ンン例情報集手

手

情報源 IT ン生 ※1 国外ンンう

過去5 ※2 公表

※1 ンン係者委元委先両方含

※2 2012 10 ～2017 10

＜情報源＞

情報処理推進機構経営ン解説書添：被害例

情報処理推進機構組織部防ン付録1：部例

井物産ン件簿

日ワ協会情報ンン調査報告

個人情報漏えい編

Security NEXT 個人情報漏洩件故一覧

.com ンン例

基委元業種及び原因網羅性ンン被害ン観

約50件抽出一次情報 ※3

※3 ンン係者自身ン等情報公表い

表 2.1-1 手従例付録 1 示表 2.1-2 付録1 ンあ

表 2.1-3 目整理ンン例委元業種原因属性表

(16)

表 2.1-2 ITサンけンン例集付録1. サン発覚

公表年関係者委託元_業種発覚経緯原因_区分発生_箇所原因内容

1キ0ガキ年

再委託先委託先委託元顧客

卸売業小売業

ンネッビ

ネ事業

電子商取引

利用者委託先

顧客情報一部ン

ネッ上閲覧可能状況あ連絡あった

SW バ再委託先

委託先商品発送管理を委託しい再委

託先仕様

上脆弱性あった

2キ0ガ3年

委託先委託元顧客

卸売業小売業

ンネッビ

ネ事業

WダBサ運用

委託元 Wムbサ担当者会員向けサビ

異常あを発見した

不正

セ委託先

委託元 WダBサ一部サバ対し不

正セ痕跡あっ

た WダBサ委

託先運営しいた

N o

ンン内容原因

事業分野

影響

被害内容対応内容再発防止策

～

委託先顧客個人情

報数千万件漏えいした

安全性確認ンネッ商品販売を停止した情報漏えい可能性あ顧客個別詫びをした

所管官庁報告した

委託先選定選定セ

ュ基準を強化した

従業員対しセュ教育を実施した

定期的内部監査を実施した委託先を変更した新委託先

導入時第三者機関セ

ュ調査を実施した

委託元他第三者機

関調査を実施し上脆弱

性存在しいこを確認した

会員個人情報が改 んれた

改んが確認れた

サーバーに 数十万

件会員個人情報 が保存れていた

警察署被害届を提出した

発生日発生日約キヶ月後サビを停止した

(17)

表 2.1-3 ンン例集目説明

整理軸目称目説明載

ンン

容

公表

ンン

公表

西暦表

係者

ンン

係主体

委元委先再委先再々委先顧客

うンン係主体全載

委元業種委元業種

表 1.3-3 次 3 追加

国家公務地方公務

公益法人社団法人団法人 NPO法人

教育機

業

ンン

生業

次類載

ン業 WEB

運用ンン販売電子商引

IT ン業 SI 業

業

IoT ン業

覚覚経緯

ンン

覚方法

ンンう覚載

原因

ンン

原因

次類載

明確原因感

い

SW

部明確原因部犯行

い

人的設定

ンや誤信原因

人在あ

盗紛失

生箇所

ンン

生係者

委元委先再委先再々委先顧客

うンン生主体

原因容

ンン

生原因

ンン生原因載

影響被害容

ンン

被害容

ンン誰う被害あ

載

対応

対応容

ンン

生対応

ンン対う対応

載

再防策

ンン

再防策

ンン再防う対応

(18)

表 2.1-4 ンン例集属性

委元業種

原因

SW 部人的盗

紛失

製造業 1 1

電気熱供給水遈業 1 1

情報通信業 1 1 1

運輸業郵便業 1

卸売業売業 8 2

金融業保険業 1 1

業 7 1 1 1

教育学習支援業 2

療福祉 1

国家公務地方公務 8 1 3 1

公益法人社団法人団法人

NPO法人

1

教育機 2 3

単：件

ンン例次観析

ンンう経緯覚

ンン業務委係者委元委先再委先等生

ンン生業ンン生原因傾向あ

前述ンン例情報ン等公表い対

象いンン例委元業種及び原因網羅性ンン被

害ン観約50件抽出いンン例析

公開情報う意的抽出対実施生ンン全体傾向

い注意必要あ

(1) ンン発覚主体委元委先顧客発覚経緯特徴あ

公表情報得 IT ンンン例委元委先

顧客い覚あ覚経緯特徴あ

委元覚委元業務中 WEB 改参考例付録1

例No.14, 25, 46 や動作や異常参考例付録1 例No.2, 26, 40

見い

委先覚個人情報保存端電子媒体携帯電紛失参考

例付録1 例No.17, 24 運用中異常検知参考例付録1 例No.30, 43, 51 あ

(19)

やン顧客情報漏えい参考例付録1 例No.1, 5, 12 被害あ

気付い顧客指摘例あ

(2) ンン発生箇所委先多い

ンン生箇所委先最多 42件あ再委先や再々委先例

あ

委先生委元運営委 WEB やEC 対

例あ参考例付録1 例No.2, 14, 33等

再委先生再委先降社員部顧客個人情報窃

例あ参考例付録1 例No.10, 19

(3) 業ンン原因特徴あ

表 2.1-5 ンン生業層原因ンン件数

計

(a) ンネネ業原因ンン発生い

ン業ンン原因多い表 2.1-5

参照

ン業運営ン公開い

委先最新威や攻撃等把握適対策行う術力要求

一方委元委先術力確認人材い適断指

示行え大規模情報漏えい生可能性あ参考例付録1 例No36, 42,

45等

(b)ITソュョン業 SI 業委先内部原因ンン発

生い

IT ン業 SI 業業見委元顧客

情報窃利用や委元機密情報得等委先

部原因ンン生い表 2.1-5参照

個人情報要情報扱う開保業務委情報保護観

委元常駐型作業多い常駐者作業実施

付必要あ作業容委元情報運用者

高い限付場合あ一方委元常駐者対管理

規定整備いい場合あ査対象抜落ういう問生

可能性あ規限持部者犯行場合被害覚時間要

(20)

人的管理面対策見直行わい参考例付録1 例No10, 16, 19

(c)IT ソュョン業サ業委元委先責任範認識齟齬

原因ンン発生い

IT ン業業人的限付原因

ンン生い表 2.1-5参照

近業情報確保ン 1

置付 SLA Service Level Agreement や第者査組積極的あ

高い水準術的対策実施い多ンン生多い一

方価利用料金多数提供性質環境や

ン提供体的利用設定等い利用者側任

実施形態多い設定等業者全実施利用者

思い込い場合業者利用者間対認識齟齬原因

限付等人的要因ンン生例あ参考例付

録1 例No26, 27

表 2.1-5 ンン例集業ェ原因件数

業

原因

SW 部人的盗

紛失

ン業 28 2 3 3 1

IT ン業 1 1 4 5 3

IoT ン業 1

単：件

2.1.2. ンン型ン

2.1.1. IT ンンン例析 2.1.1.(3) 業

生やい原因注目業原因観ンン型ン作

ンン型ン1 ン業層

ンン型ン2 IT ン業 SI 業層部

ンン型ン3 IT ン業業層人的

IoT ン業回調査対象業 1 含

公表いンン例殆確認ンン型ン

含いい IoT い提供格的始段あ IT

ン起因ンン起課い徐々議論い

(21)

(1) ンン型ン1 ンネネ業ェ

2.1-1 委元ン展開運用外部

企業業務委い想定ンン係者委元顧客委元委

先第者あ顧客委元問合起委元委先調査依頼

弱性突い悪意あ第者顧客個人

情報漏えいい明委先弱性対策実施

委元顧客説明謝罪参考例付録1 例No38, 44, 45

ン公開運用い委先専門的知識高い術力

要求特個人情報や情報等扱う場合い委元委

先間適情報対策い合意新弱性や攻撃手法

等威生情報共対応い合意望い 3.3.2.及び3.3.3.参照

ン調査ンン生管理対適情

報対策実施会社含棚卸や保情報確認

行う企業全体情報共や教育整備

実施いう例あ

(22)

(2) ンン型ン2 ITソュョン業 SI 業ェ内部

2.1-2 委元要情報含運用外部企業業務委委

先一部運用再委先業務委い想定ンン係者

委元顧客委元委先再委先あ委元確認起

委元委先調査依頼再委先要情報得い明

原因業務委い要情報限作業者 1人中い

あ委先再委先運用体制見直実施

委元顧客説明謝罪参考例付録1 例No10, 16, 19

委元い部防観委先人的管理い情報

要求中明示実施状況定期的的確認望い

3.3.3.(1)参照

ン調査再委先降委先対策実施う要求

人的管理担当者一業務長期滞留いう及び担当

者1人限中いう求対策いう例あ

2.1-2 ITソュョン業 SI 業ェ内部ンン型ン

顧客委託元委託先再委託先

調査依頼 アセス

ロの確認

運用会社

再委託先管理 の徹底

調査依頼

顧客個人情報

運用体制 の見直し

顧客個人情報

一部委託

インシン内容

発覚

対応

個人情報氏名住所電話番号

ッ番号

重要業務一部委託

謝罪説明再発防止対策

企業ン

……… ….……

…….. ……… …….

権限集中 内部不正

内部不正判明

逮捕セ

(23)

(3) ンン型ン3 ITソュョン業サ業ェ人的

2.1-3 委元社利用運営い想定

ンン係者委元顧客委元委先業者あ委元

社顧客引情報整理顧客決引情報係

者限い引情報照会可

実情報照会状態い委元明委元

限付社運営委い業者側当

然実施考えい委先業者社限付

委元任実施いう限付作業範

曖あ委元委先認識齟齬生委先委元作業

範説明実施委元顧客説明謝罪参考例付録1 例No26, 27

委元一定知識要求多

利用当委元容い十確認必要あ 3.3.4.参照

提供い IT企業ン調査

い委元委先任範約款 SLA 等明確化公開い

委元求要求い要性応

機能追加等対応実施い

2.1-3 ITソュョン業サ業ェ人的

(24)

2.2. ITサンけンンわ紛争状況

IT ン生ンン生損害委元委先

係先等当者士合い解決や直接交示談い場合損害賠償

や費用請求巡訴訟や調停 ADR 裁外紛解決手等裁所や第者在紛

解決あ紛種類異紛解決数及ぶあ

紛期間中対応費用や係者担企業大損失近 IT

ン生情報わンン紛主

例表 2.2-1 示い例生解決 2～3 要い

IT 引全体中ンン生実紛

割合高い考えンン場合生測い場

合多ンン被害容大損害生可能性あ例え表

2.2-1 示例数千万単損害生い企業ンン

生紛場合想定防衛策講要あ

表 2.2-1 ITサンけンンわ紛争例

決生時期概要認損害

東京地裁

25 3 19日決 23(ワ)39121

22 7～11

ン共購入運営会

社顧客

情報最大 603 件流出

運営会社委元利用

い決行

業者委先運営

会社委元対適

情報対策実施

債務行基

損害賠償請求

係先遊約

金故調査費用

1617 万 5630 PCI-DSS 再

得費用 111万

3720 等

東京地裁

26 １ 23日決 23(ワ)32060

23 4

あ注運営

企業開保

ン委い顧客

情報暗号化

等対策いいン

保存い

SQL ン

ン顧客

情報１万件弱流出

企業委元ン委

先債務行基約1億

900万損害賠償請求

計3231万9568

顧客謝罪

係費用顧客

問合対応費

用調査費用売

損失等

※ 原告

過失相殺

請求金 3 割

減殺

委契約

金 2074 万

1175

松島淳也伊藤浩開紛ン注運用実務対応 LexisNexis 2015

(25)

IT ン情報ンン紛要因

文献7や識者ン結果踏え 2 注目

(1)情報ュ要求合意文書い

来委業務確保情報委元様書要求

委先提案基契約書合意初期段要件定義書

基設計書運用手書等形体的要件明示基ン

ン等損害生場合方任範い契約書明示

要

一方う非機能要件い明確合意い進

限算中要件優先来必要要件あ断念調整

対象うあ要件曖開や運用進結果

ンン生場合当者被損害任当者間紛

場合あ

25 3 19日決例委元意委先約款い契

約者情報第者閲覧改破壊い措置いう

いう容含い措置体的容い両者間合意

委元義務行いいえ決委元

情報扱うい応情報対策実施

適管理義務行い断

26 1 23日決例委先個人情報扱う業者適水準

情報対策実施い 1 決委元明確

指示い場合い委先 IT 専門家時術水準沿

対策実施黙示的合意い委先い適 SQL ン

ン対策ン提供債務行あ認い一

方委元委先情報対策提案や注意喚起あ場合真摯

対応何対応実施協力義務あい

う紛委先ンン防講義務遊債務行

無義務範程度画定契約書等合意文書議

録委元委先や要証跡明確合意存在い場合

時 IT 術や威ン社会通念斟酌 26 1

23日決例参照

例え委先い依頼時委元明確指示無わ

業務扱う情報資産や基情報対策い提案中明示

7 伊藤浩久礼美紀子高瀬亜富 IT 契約実務商法務 2017

松島淳也伊藤浩開紛ン注運用実務対応 LexisNexis 2015

(26)

提案範含い対策考え場合追加費用見積必要性や

効果説明要あ委元委先提案対真摯検討行い

是非い断示求

委先実施情報対策水準 IT 術や威ン変

化いあ契約時合意情報要件開過程や運用

段十対策い可能性あ開運用保長期わ場合委

元委先間情報対策妥当性的確認改善行う

組合意効あ

(2) ンン発生損害対責任担十検討いい

IT ンい情報漏えい等情報ンン生

場合被害範顧客被害者賠償や原因究明調査費用金銭

的被害委業務自体契約金比較非常大場合あ業務委契約

い委先損害賠償金契約金や利用料金限設定条任

制限条一般的あ場合委元損害賠償実被害補填

い可能性あ一方委先任制限条十い可能性

あ例え 26 １ 23日決委先過失認任制限

条適用い

う契約制限委元委先情報ンン

損害対応い可能性あ経産業省～情報引契約

書～開一部企画含保運用第一版 8 情報契約損

害賠償任範限い情報信頼性向観企業委

元ン委先方性質規模的確認識管理方検討

前提両者任担検討軽減体

的対策例え十期間確保化運用回避策等や保険制度等

必要性十検討期待い経

産業省経営ンVer 2.0 要10 目う指示9:

や委先等含ン全体対策及び状況把握い

緊急時備え委先起因被害対確保委先

保険加入い望いい文献示いう近

手段ンン生損害包括的補償情報保

険提供広う利用効考え

業務委実施い委元委先方業務委十ン

行必要情報対策い合意前提契約決

や保険等適用包括的視対応検討要あ

8 経産業省～情報引契約書～開一部企画含保運用第一版

2007

(27)

3. ITサンネン標準考え方文献調査

章 IT ンン標準い基準

ン及び規格等対文献調査並び識者対ン調査行文献やン

等得 IT ンン考え方や実施方法等い

IT 業務委沿検討行

3.1. ITサンネン基準ン及び規格等

3.1.1. 国内動向

IT ンン 10 前国外要性指

摘い国 2005 個人情報保護法 15 法第 57 号全

面施行企業個人情報管理課中業務委先や係先個人情報

漏えい等ンン相次い 9 委先管理要性認識個

人情報保護法基体的指針法施行各省庁整備い改個

人情報保護法全面施行日 2017 5 30日降個人情報保護委員会ン個

人情報保護法いン通則編 10 原則一元化

化流企業外ン利用広結果企業機

密情報外流出国経全保問繋い問意識広

企業社会的任果いう観委先や引先含情報

体制構築必要う背踏え経産業省い 2007 度

情報ン確立及施策組 11 一環企業

ン行う析基適情報対策施

ン 2009 ン情報対策ン

12

い 2012 経産業省委業特定非営利活動法

人日査協会 JASA ン参加企業最限

情報管理示ン情報管理基準策定行

い

近省庁等対攻撃増加い踏え国家全保

観情報ン対応視い

9 情報処理推進機構情報白書2006 版 2006

https://www.ipa.go.jp/files/000016951.pdf

2005 情報 10大威 SQL ンン被害 Winny 通

感個人情報漏えい多い個人情報漏えいンンい

10 個人情報保護委員会個人情報保護法いン通則編 2016

https://www.ppc.go.jp/files/pdf/guidelines01.pdf

11 経産業省情報対策情報ン

http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html

12 経産業省ン情報対策ン 2008

(28)

ン定政府機等情報対策統一基準群 13

い情報構築やン開等外部委や機器等調遉

遵示当遵適実施調遉様書策定い解

説外部委等情報ン対応

様書策定手引書 14 2016 策定い手引書

ン対応述国規格 ISO/IEC 27036:2014 容一部入い

2015 経営者認識ン

経産業省経営ン 2017 Ver 2.0

改訂いン経営者認識 3原則 1

や委先含ン対対策必要性提示い

国 IT ンンわ主基準ン及び規格等

表 3.1-1 示

表 3.1-1 国内主基準ン及び規格等

基準ン及び規格等概要

個人情報保護委員会個

人情報保護関法

律いン

通則編 2016年

個人情報保護法具体的指針を示ン個人情報保護法

第 22 条委先監督い委先い個人対

安全管理措置適切講う必要適切監督をた

指針示さい

経済産業省ソシ

ン関情報セュ

対策ンス 2008

年

企業実施ソシンい計画実行評価改善各

プロセス沿ス管理体制を構築実施たンス

ソシンけ情報セュスを整理い

JASA サプン情

報セュ管理基準

2012年

IPA 情報セュ対策ベンマ JIS Q 27002 をベスを基

委先等情報セュ管理策をサプンい重

視事項整理そ実装運用指針を詳細示い

NISC 政府機関等情報

セュ対策た

統一基準群 2016年

国行政機関及び独立行政法人等情報セュ水準を向上させ

た統一的枠組外部委実施際情報セュ

対策を実施こを委先選定条件仕様内容含う規定

い

NISC 外部委等け

情報セュ上サ

プンス対応

た仕様書策定手引

書 2016年

示さた情報シスム構築等外部委や機器等調達け

情報セュ確保要求対情報セュ対策要件定

方や仕様書載事項例を示い対策考え方や具体的

対策事項述関 ISO/IEC 27036 策定内容を参考

い

経済産業省サバセ

ュ経営ン

Ver2.0 2017年

15

企業 IT 利活用を推進いく中経営者認識サバ

セュ関原則や経営者シップ取組

項目を取たン経営者認識 3 原則 1

サプン対セュ対策必要性を提示

い

13 ン政府機等情報対策統一基準群 2016

https://www.nisc.go.jp/active/general/kijun28.html

14 ン外部委等情報ン対

応様書策定手引書 2016

https://www.nisc.go.jp/active/general/pdf/risktaiou28.pdf

15 経産業省経営ンVer 2.0 2017

(29)

3.1.2. 海外動向

米国 2008 当時大統領指示策定戦略

Comprehensive National Cybersecurity Initiative : CNCI 中ン

ン多方面必要方針示国

立標準術研究所 NIST 米国連邦政府情報推奨情報管

理策 NIST SP 800-5316 米国連邦政府 ICT や製品等調遉

情報 NIST IR 762217 策定進現在 NIST IR

7622 容 NIST SP 800-16118 移行一部連邦政府機情報調遉 NIST SP 800-161 遵義務付い米国連邦政府

利用米国連邦政府利用可能認証 FedRAMP19 いう

運用 2012 開始い米国連邦政府外組織管理非

格付情報20 保護い NIST SP800-17121 制定い米国国防総省防衛装

備品納全世界委先対 2017 12 31日 NIST SP800-171 定

対策基準対応要請米国防衛装備品調遉通遉22 行い

NIST SP 800-161 策定国標準化影響え NIST SP 800-161 作者中

心 ISO/IEC 27002 供給者係管理策細化形 IT 製品

調遉管理策 ISO/IEC 27036:2014 策定い 2016 度調査

い NIST SP 800-161 策定経緯や考え方政府機や民間組状況い NIST

ン実施い細参照い23

NIST 行米国要ン向ワ

Framework for Improving Critical Infrastructure Cybersecurity24

い現在1.1版改訂作業行

16_{NIST SP 800-53 Revision 4: Security and Privacy Controls for Federal Information Systems and}

Organizations 2013

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800 -53r4.pdf

17_{NIST IR 7622: Notional Supply Chain Risk Management Practices for Federal Information Systems}

2012

http://nvlpubs.nist.gov/nistpubs/ir/2012/NIST.IR.7622.pdf

18_{NIST SP 800-161: Supply Chain Risk Management Practices for Federal Information Systems and}

Organizations 2015

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800 -161.pdf

19_{FedRAMP: Federal Risk and Authorization Management Program}

https://www.fedramp.gov/

20 管理非格付情報 Controlled Unclassified Information 米国連邦政府機定要

情報あ

21_{NIST SP 800-171 Revision 1: Protecting Controlled Unclassified Information in Nonfederal Systems and}

Organizations 2016

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800 -171r1.pdf

22₂₀₁₆ ₁₀ 行 DFARS 252.204-7012 Safeguarding Covered Defense Information and Cyber

Incident Reporting. 指

23 情報処理推進機構情報ンン調査報告書 2017

参考資料4(2) NIST ン調査結果

https://www.ipa.go.jp/files/000058299.pdf

24_NIST,“_{Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 Draft 2}” ₂₀₁₇

(30)

わい公開い現時 Draft.2 25 NIST SP 800-53 参照形

ンン SCRM 容追加い

外 IT ンンわ主基準ン及び規格等

表3.1-2 示

表 3.1-2 海外主基準ン及び規格等

基準ン及び規格等概要

NIST SP800-53 Rev.4 “Security and Privacy Controls for Federal Information Systems and Organizations” 2013

米国連邦政府情報推奨情報

管理策あン保護要求

SA-12 含い

NIST IR 7622 “Notional Supply Chain Risk Management Practices for Federal Information Systems” 2012

2008 大統領当時指示策定

戦略Comprehensive National Cybersecurity Initiative

CNCI 示ン

ン SCRM 組一環整備米国

連邦政府 ICT や製品等調遉情報

NIST SP 800-161 “Supply Chain Risk Management Practices for Federal Information Systems and Organizations” 2015

NIST IR 7622 移行形整備 SCRM

2015 一部米国連邦政府機い

NIST SP 800-161 遵義務化 2016 米国行政管理算局 OMB 行通遉A-130号改訂 SCRM

要件 NIST SP 800-161 追加

FedRAMP: Federal Risk and Authorization Management Program

米国連邦政府利用可能認証

NIST SP800-53 評価基準や術要件

提供運用連邦政府一般調遉局 GSA

所管 FedRAMP

準足目い NIST SP 800-161 参

照置付い

NIST SP 800-171Rev.1 “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations” 2016

米国連邦政府外組織い管理非格付

情報 CUI 保護対策基準 NIST SP 800-53

中管理策ン出い米

国国防総省防衛装備品納全世界委先 2017 12

基準対応求

ISO/IEC 27002：2013(JIS Q

27002:2014) Information technologySecurity techniques -Code of practice for information security controls

ISO/IEC 27001 基情報ン

実施い管理策選定実施

手引ン管理策 15:供給者係

Supplier relationships 載

ISO/IEC 27036:2014 Information technology -- Security techniques --

Information security for supplier relationships

ISO/IEC 27002 管理策15:供給者係細化形製品

や調遉情報対策

指針提供

NIST, “Framework for

Improving Critical Infrastructure Cybersecurity” Version1.1 Draft 2 2017

米国要ン向

ワ 2014 初版行現在改訂中 1.1

版 SCRM 容ワ

管理策 ID.SC 追加い

各基準ン及び規格等番号表 3.1-2 連番

(31)

3.1.1. 示国含各基準ン及び規格等係い 3.1-1 示

従来情報委先管理い組織情報対策中

考慮近 IT ン全体情報確保要性認識

IT ンン特化基準ン及び

規格等策定や検討進い 3.1-1 示う IT ン

ン米国連邦政府機組先行い組派生国

規格 ISO/IEC 27036 策定う先行例参考国外一般企

業組行う検討進考え

各基準ン及び規格等番号表 3.1-1及び表 3.1-2 対応

3.1-1 各基準ン及び規格間係

組織情報ュィ対策

サ

ェーンけ情報ュィ対策

NISC政府統一基準群

(2016)

NISC外部委等様書策定手引書

(2016)

対策内容等参考情報構築等外部委や機器等調遉

体的要件や様書載提示

米国情報ュ基準ン

ISO/IEC 27036 ISO/IEC 27001

NIST IR 7622 (2012)

ISO/IEC 27002

NIST SP 800-161 (2015) NIST SP 800-53

(2013改訂)

経済産業省ソンン (2008)

JASAサン管理基準(2012)

移行

引用

サン

管理策追加細化

サン

管理策追加細化

間接的参照 FedRAMP

2011 サ

基準術要件等策定

Cybersecurity Framework(2014)

3原則 1 サン対

ュ対策必要性提示

Cybersecurity Framework 対応整理

参照

個人情報保護法ン通則編(2016)

NIST SP 800-171 (2016)

情報ュ国規格国内情報ュ基準ン

CUI 対象中ュ管理策ン出

(32)

3.2. ITサンネン全体像

文献調査結果 IT ンン全体的実施

示い 3.3. 個い体的組例示

IT ン情報確保実務い 3.1. 経産

業省ン情報対策ン業務委実施

計画実行評価改善各

い考慮体的情報管理示い

NISC 外部委等情報ン対応

様書策定手引書い業務委行う企画要件定義情報調

遉構築情報運用開始前及び運用保廃棄 3 段い

ン軽減考慮提示い

文献調査結果参考企業実施 IT ンン

組業務委方針決定ンや委先管理整備計画段

委先選定契約業務遂行実施段業務検評価評価段

3 段 7 業務委 3.2-1 示う整理各

組委元委先立場い再委あ場合委先

委元及び委先両方立場組行う必要あ

組表 3.2-1 表 3.2-2 示う部門所管多い

第4章 4.4-10 4.4-11参照係部門連携認識共委

元委先中一組機能望い

実業務委実施特～実施段各検評価

い委元委先両者間情報要求及び任範明確合

意い要

3.2-1 業務委け ITサンネン組

委託元

委託先

方針決定セン

体制整備教育

契約

ニン開発運用

ンン対応

検収評価選定

/提案

計画実施

委託元組織内情報セュ関す委託先管理一貫性あ取組し確立しい

情報セュ上や必要対策関す認識合致しい

委託先し実施す情報セュ対策組織内合意さい

評価

体制整備教育方針決定

(33)

表 3.2-1 ITサンネン組所管部門例(委元)

部門

番号 3.2-1 対応

調遉部門

情報情報

部門

法務部門業部門

情報考慮委先選定

◎

委契約情報要求

明確化

◎ ◎ ◎

業務委扱う情報資産厳格管理

授廃棄等一連 ◎

委先情報対策実施状

況確認

◎ ◎

ンン対対応体制整備

◎ ◎

業務委完了時情報観

検評価

◎ ◎

◎ 主所管部門係部門

表 3.2-2 ITサンネン組所管部門例(委先)

部門

番号 3.2-1 対応

営業部門

情報情報

部門

法務部門業部門

提案時情報対策説明

◎ ◎

情報管理情報契

約容確認

○ ◎ ◎

業務扱う情報資産厳格管理

授廃棄等一連 ◎

委元情報対策実

施状況確認対応

◎ ◎

ンン対対応体制整備

◎ ◎

(34)

3.3. 個け情報ュ確保組

3.2-1 示主個情報確保組体例示

各体的組容表 3.1 1及び表 3.1 2 示基準

ン及び規格等参考い各組委元及び委先立場示い

再委あ場合委先委元委先両方立場組行う必要

3.3.1. 計画段階方針決定ン

委元業務委実施あ業務や情報資産委様々

十考慮適対応検討必要あ委先い個業務

注断基準様観ン行い注可否適情報

対策や見積提案行う必要あ

経産業省ン情報対策ンい業務

委実施ン考慮表 3.3-1 示容提示

い委元委先示情報要求明確化実施

観考慮あ要求対応委先ンい

様観適用考え

表 3.3-1 ンけ考慮

ン考慮容

a. 業務委形態

注形態業務種業務保等

業務委形態

b. 預情報範

手法種類

委先提供情報範

種類物理的論理的組織

情報

ワ間接

c. 預情報漏えい

棄損等影響度

委先提供情報価値扱慎要

度合い d. 委先従業員理解度

委先従業員情報理解

度情報教育実施状況

e. 委先管理状況

委先い預情報管理適

いう

f. 情報格納処理通信共

及び交換対管理状況

委先提供情報適保護必要

情報格納処理通信共及び交換

管理策実施状況

g. 委先業務過失影響度

委先過失業務容誤生影

響度

h. ンン生時業性

委先情報ンン生

業困影響度

i. 法及び規制要求

契約義務

委業務連法及び規制契約義

務

j. 契約係者及

影響度合い

業務委契約業務や係者利害及影

響度

(35)

ン結果業務委期待効果総合的断業務委実施当

情報観う各対応方針明必要あ

表 3.3-2 対応

対応種類説明例

減弱性対情報対策講

威生可能性

情報対策

適用

保影響力い特

減対策行わ

許容範容経営合意

明確基準設望い

対策状況変化

無い視

回避威生要因停あい全方法

変更生可能性

去

業務委中委業

務範容変更等

移転金銭等損失担社移保険適用等

出所 IPA 情報ン PDCA 等基作

3.3.2. 計画段階体制整備教育

計画段個々業務委い確実情報組実施共通

管理基整備要 3.2-1 示実施及び評価段各

情報組所管部門体制表 3.2-1 表 3.2-2参照整

備必要手いや規定類整備個々業務委

応段的規定類適用場合扱う情報資産種や3.3.1.

実施ン結果等適用規定類断基準明

確化望い規定遵業務委係

要員対教育実施

委元委先管理規定類例表 3.3-3 示

表 3.3-3 情報ュ委先管理規定類例

規定類例

選定提案情報目含委先選定基準

情報対策評価結果基推奨委先

契約情報要求含契約書雛形

委先従業者提出求誓約書雛形

ン委先情報対策状況確認形式等

ンン対応ンン対応

検評価情報観検評価基準

様組い委元委先再委先含 IT ン係者全体

(36)

企業等い企業対共通情報

や規則適用 IT ン全体一組実現い例

あ

ン調査全体情報共

全体標的型攻撃訓練実施い例あ IT

ン提供 IT企業対ン調査外社策定

統一基準あ社情報対策や従業員

対情報教育基準従実施いあ

業界 ISAC Information Sharing and Analysis Center 26 企業断情報

共例：委先査情報企業間共等27 行い業界全体 IT

ン情報向目指組あ

3.3.3. 実施段階選定／提案

(1)情報ュ要求明確化

委元委先求情報要求業務委果物や運

用対象 IT 機能要件業務委情報

減目的ン管理策 2 種類あ

例参考基準ン及び規格等表 3.3-4 示報告書い

主 IT ンン 2. 中心検討行

表 3.3-4 情報ュ要求種類

情報

要求

要求例

基準ン

及び規格等

1. 果物や運用対象 IT

機能要件

実装暗号

化やン等

弱性対策

やIDS/IPS等

等適用方針

等

ISO/IEC15408 Common Criteria：CC

IPA 全

作方等

2.業務委情報

減

目的

ン管理策

委先類等整備

扱う情報資産適保護

入室管理等物理的対策

従業者教育や誓約書得等

業務使用情報や

ワ適保護

ンン対応

ISO/IEC 27000 等

26 一般社団法人金融ISACや一般社団法人ICT-ISAC 業界情報

共向組検討行い

27 情報処理推進機構攻撃ン狙う～ン情報対策～

2017

(37)

表 3.3-4 2. 業務委情報ン組

参照最汎用的容情報ン国規格

ISO/IEC 27001 附属書A及びISO/IEC 27002 示い管理策国最広認知

い規格基情報ン ISMS 適合性評価制度国

認証得組織数々増加 2017 12 時 5,444件遉い 28 経産業省

策定組織効果的情報ン体制構築適管理策整備運用

規範あ情報管理基準 15 経産業省告示第112号 29

規格基 2016 改版最新 ISO/IEC 27001:2013 JIS Q 27001:2014 及びISO/IEC 27002:2013 JIS Q 27002:2014 整合い

ISO/IEC 27001及びISO/IEC 27002 管理策目数多載い容

易い組織標準的利用い ISMS 第者評価

認証制度あ認証得一定要 IPA JIS Q 27001附属書A 情

報管理策 133 目基組織必要主要情報対策網羅

形易実装わやい組 27 目評価目整理基組織

情報対策実施状況自己診断行う情報ン

2005 公開い 30 2016 9 30日現在利用件数延 3万8000件超え

企業情報組確認国一定実績あ

3.1.1. 紹 JASA ン情報管理基準情報

ン表 3.3-5 示ンい要基準整理

体的実装運用方法示い

28 情報ン認定ン ISMS認証得組織数推移

https://isms.jp/lst/ind/suii.html

29 経産業省情報管理基準 28 改版 2016

http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf

30 情報処理推進機構情報対策ン

(38)

表 3.3-5 サン管理基準 Ⅰ サンい要基準抜粋

ンい要基準

大目1 情報対組織的組状況

1 情報や情報管理規程定実践い

2 経営含情報推進体制やンン (法 ) 推進体制整備い

3 要情報資産情報及び情報要性類応表

示や扱方法定い

4 要情報例え個人や機密情報い入手作利用保管交換提供消去

破棄一連業務細適措置講い

5 外部組織業務や情報運用管理委契約書理由相手

方求載い

6 従業者派遣含対用職秘義務書面交わ

就業義務明確い

7 経営や派遣含全従業者対情報自組織組や連規程類い

計画的教育や指実施い

大目2 物理的環境的施策

1 特強化い建物や画対必要応対策実施い

2 要書類 PC 憶媒体い適管理行い

大目3 情報及び通信ワ運用管理

1 要や連手文書化実施い

2 ワ木馬対策実施い

3 入い情報対適い弱性対策実施い

4 通信ワ流や公開対暗号化適保護策実施

い

5 PC やUSB 憶媒体や外部持出場合盗紛失想定適

対策実施い

大目 4 情報制御状況及び情報開保対策状

況

1 情報や情報制限利用者ID 管理利用者識認証

適実施い

2 情報や情報業務ン対付制御

適実施い

3 ワ制御適実施い

大目5 情報故対応状況

1 情報連件や故生必要行動適迅速実施う

備えい

出所 JASA ン情報管理基準 2012

情報要求明確化実施方法体例経産業省公

開～情報引契約書～開一部企画含保運用第

一版 2007 31 い委元委先提示要求様書ン

載い～情報引契約書～ SaaS/ASP活用

保運用＜追補版＞ 2008 32 要件定義活用

31 経産業省～情報引契約書～開一部企画含保運用第一版

2007

http://www.meti.go.jp/policy/it_policy/keiyaku/model_keiyakusyo.pdf

書契約対象要ン企業基幹開一部規企画

含保運用想定契約当者あン対等交力あ想定

い

(39)

JIS Q 27001 基載い

近 IT 運用い委先従業者部ン

ン例生い 2.1.2.(2)参照必要応部防観追加

対策要求必要あ部対策特示う人的管理対策要

従業者入替わ等想定対策実施状況い定期的的確認行

う必要あ

部対策例

操作等得保存

私物機器や憶媒体対持込持出管理

単独作業制限認手

従業者当業務委秘密保持等誓約書得

外従業員部防観含委先従業員対日

厳格人的管理求用時個人情報や経歴等提供求情報い

確認ン行う一般的行わい NIST SP800-53及

びSP800-161 情報や開者対組織定審査基準基

審査行う管理策あ体的審査基準ン素性調査ン

民国籍挙いン調査圏従業員定着

率い状況あ職時秘密保持契約ン作業

解ン 1人中避管理い例あ

一方日公用選考や個人情報保護観用時社会的差原因

あ個人情報原則認い 33 委元委先

求従業者人的管理適範組限定

(2) 係者間合意形成

(1) 検討情報要求実効性高委元委先間

要求対応可否や過足体的対応方法や費用担対応い場合替

措置等い契約段初期段十協議行う要

あ

情報要求合意委元委先個部門や担当者

断社係部門体制ン中実施う社手

や情報共担当者教育等併行い望い

＜追補版＞ 2008

http://www.meti.go.jp/policy/it_policy/softseibi/model_tuiho/model_tuiho.pdf

書契約対象 SaaS ASP 利用一般業務想定

IT 専門知識い情報業提供ン契約当者想定い

33 厚生労働省公用選考基

(40)

3.3.4. 実施段階契約

(1)業務委契約含内容

2.2. 述通委元委先情報任範明確化契約

書紐要文書様書要説明書要件定義書基設計書運用手

書等い情報要求明確化要あ経産業省

経営ンVer 2.0 要10 目う指示9:

や委先等含ン全体対策及び状況把握実施方法

系列企業やンや管理委先等

対策容明確契約交わいう対策例示い

ン調査委元欧米社置場合情報要求

含契約書載非常細あ例え使用や

設定提示あ管理面契約書従細ン徹底

い意見あ一方国企業ン契約段情報

要求細決いい多いいう意見あ委元委先任範合

意課い

2.2. 述通ンン生任範明確化損害賠

償金免等扱いンン生対応い規定要あ

国及び外 IT企業対ン調査委元契約交い主議

論損害賠償限値通常業務委契約金多い設定あ

意見あ

場合委契約業者約款やSLA

基利用情報ンン

業者任範や免等明い利用当文書十確

認必要あ

(41)

表 3.3-6 委契約含目例

目容

秘密保持委業務扱う秘密情報扱い規定 IPA

中企業情報対策ン

34

委契約時機密保持契約条ン提

供い

体的情報対策実施委業務実施体的情報

対策示契約付文書細化

形や基準ン及び規格等準求

形あ

証跡提示査協力等情報対策実施状況確認方法や

ンい規定委先協力

得

情報

契約容遊場合措置

損害賠償等い要件規定

情報委元

委先任範

業務いンンや故損害

生場合委元委先任範規定

免明損害賠償契約金等限

設定等

ンン生場合対応ンン生報告先報告容初動

調査復旧等各対応実施主体実施方法い

規定

情報

SLA Service Level Agreement

等い委元委先間

容範品質等保証 SLA 基

提供一般的あ情報

目 SLA 含い

新威弱性等

顕在化場合情報共対応

契約時想定いい新威等顕在化

委元委先間情報共対応方針決

定い規定

再委禁制限再委禁制限い定再委認

場合再委実施必要手前報告認

等委先再委先示情報要

求及び確認方法等い規定

契約終了情報資産扱い

返却消去廃棄等

契約終了情報資産扱い及び確認方法

い規定

合意管轄条裁紛解決行う場合管轄裁所準法

明特業務外実施場合裁

所所在地国準法異

要

(2)契約内容社内確認

委契約含目い委元委先部法務部門や管理部門法務

情報観適容い確認行う

34 情報処理推進機構中企業情報対策ン第2.1版 2017

(42)

必要あ特委元委先任範ンン生

想定要専門的知見基確認行う要あ

契約書委先委元い企業整備契約雛形基締結形

多い相手方雛形用い場合相手方利容い場合多い係部

門等相談許容い容い相手方交行う必要あ

逆自社雛形あ相手方交中目変更等加え場合い

い係部門十確認行う必要あ

3.3.5. 実施段階ニン

委元委先情報要求遵状況委先選定時や契約期

間中定期的委先確認確認方法委元やン

等委先渡委先結果入委元提出形多い

特要情報資産扱う業務等対委元担当者委先出向い委元

実地調査定期的実施例あ経産業省経営ン

Ver 2.0 要10 目う指示9: や委先等含

ン全体対策及び状況把握個人情報や術情報等要情報委先預

場合委先経営状況等踏え情報全性確保可能あう定期的

確認いう対策例示いう委元確認方法確認実施ン

い契約中載必要あ

等い提供業者個々利用者情報

対策確認対応現実的い各種認証得や外部査法人等第

者外部査結果利用者提示形35 確認替多い

人的管理一環委先業務携わ従業者情報対策遵

い誓約書得一般的行わい

再委先情報対策実施状況確認い委先督任

契約等途委元直接確認行う定い場合除い委先再委

先確認結果書面確認方法多い一部業種い

再委先管理い委元督強化動出い 2013 立施行

金融商品引法等一部改法金融庁銀行業務報告徴求立入検査

35_JASA 推進協議 JCISPA 2015 情報査制度

CS 運用開始い 2016 一般団法人日情報経社会推進協会 JIPDEC

ISMS 国規格ISO/IEC 27017:2015 込 ISMS

認証運用開始い

JASA 推進協議情報査制度

http://jcispa.jasa.jp/cloud_security/

一般団法人日情報経社会推進協会 ISMS 認証開始い認証基準公表

認証機認定審査開始 2016

(43)

対象従来委先い再委先再々委先等含大 36 FISC 2016

公表金融機外部委識者検討会

報告書い再委先管理い要情報外部委

場合委先契約金融機等再委先対査明提案

い 37

委先情報対策実施状況確認方法例表 3.3-7 示

表 3.3-7 委先け情報ュ対策実施状況確認方法例

方法実施例

委先部査

委元情報要求沿形

やン入委先求

容い委元確認

実地調査

委元委先査

委元委先出向い直接情報

要求遵状況い確認

外部査

外部査法人等委先査

委先外部査法人等査委

元査報告確認

各種認証制度 ISMS P 等得証明書

各種認証制度得情報対

策確認替

誓約書委先業務携わ従業者秘密保持や情報

遵い誓約書得

委先情報対策組向決ン

情報対策実施状況確認行う委業務実施中委元委

先係者日常的情報情報共行う形ン行う

効果的あ体的委業務係者間定例会議等情報

報告等行う機会設情報係者間連絡窓口や連

絡手段使日情報共行う実新威やンン確認

対応迅速行う期待

3.3.6. 実施段階ンン対応

業務委中委先や再委先降いンン生場合備え委

元委先間表 3.3-8 示う対応方針い合意必要あ

3.1.1. 経産業省経営ンVer 2.0 経営者

認識 3原則 1 時及び緊急時ンン生時いい

36 金融庁金融商品引法等一部改法 25 法第45号係説明資料 2013

http://www.fsa.go.jp/common/diet/183/setsumei.pdf

37 金融情報ン金融機外部委識者検討会報告書 2016

調査報告書 プレス発表 「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開：IPA 独立行政法人 情報処理推進機構

ＩＴサプ

チェーンの業務委託における

セキュ

ン

ン 及びマネ メン に

関する調査報告書

目

次

IT

サプライチェーン

～

調査報告書プレス発表「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書を公開：IPA 独立行政法人情報処理推進機構

ン及びマネメンに