付
2-1
付録
2
ン
調査票
2 1
委
元
* IT サ 業務 外部委 委 連鎖 形態
貴社及び 回答者
い
伺い
S1 貴社 主 業種 選びく い ○ 1
1 農林漁業 協 組合 鉱業 7 卸売業 売業
2 建設業 8 金融業 保険業
3 製造業 9 サ 業
4 電気 熱供給 水遈業 10 教育 学習支援業
5 情報通信業 →S1-1 回答く い 11 療 福祉
6 運輸業 郵便業 12
S1-1 S1 選択肢 5 情報通信業 選 方 伺い 情報通信業 類 う 貴社 業種 当 選びく い ○ 1
1 通信業 4 ン ネ 附随サ 業
2 業 5 映像 音声 文 情報制作業
3 情報サ 業 6
S2 貴社 総従業員数 社員 準社員等 含 * 選びく い ○ 1
* 1ヶ 超え 用契約者 人材派遣業者 派遣従業者 含
1 ~50 5 501 ~1,000
2 51 ~100 6 1,001 ~5,000
3 101 ~300 7 5,001 ~10,000
4 301 ~500 8 10,001 以
S3 貴社 総売 高 選びく い わ い場合 構い ○ 1
1 10億 未満 5 500億 ~1,000億 未満
2 10億 ~50億 未満 6 1,000億 ~5,000億 未満
3 50億 ~100億 未満 7 5,000億 ~1兆 未満
4 100億 ~500億 未満 8 1兆 以
S4 回答者 所属部門 選びく い 複数 部門 回答 場合 主 回答 部門 選びく い ○ 1
1 調遉部門 3 業部門
2 情報 部門 情報 ュ 部門 4
S5 回答者 役職 選びく い ○ 1
1 締役 役員 5 係長 主任
2 業部長 6 一般社員
3 部長 7 専門職
4 課長 8
本調査
IT
サプ
チェーン
*おける貴社 情報セキュ テ
対する取組
つい お伺いし す
付
2-2
貴社
け
IT
サ
業務委
以
業務委
いい
状況
い
伺い
以
設問
う
IT
サ
ン
い
貴社
委 元
引
回答く
い
問1 貴社 い 直接 引 あ 委 先 社数 選びく い ○ 1
1 1 社~10 社 4 101 社以
2 11 社~50 社 5 わ い
3 51 社~100 社
問2 再委 先 あ 再々委 先等 無 把握 い ○ 1
1 再委 先 い 4 再委 先 あ 再々委 先 あ う わ い
2 再委 先 あ 再々委 先 い 5 再委 先等 あ う わ い
3 再委 先 あ 再々委 先以降 あ
問3 貴社 委 先 所在地 い 当 選びく い ○ 1
1 国 2 海外 3 国 海外 両方
問4 貴社 委 先 属性 い 当 全 選びく い ○ いく
1 系列企業 企業 2 系列企業 企業以外
問5 貴社 委 IT サ 業務 当 全 選びく い ○ いく
1 PMO ネ ン 5 サ 提供 ASP SaaS等
2 要件定義 設計 6 ン 提供 IaaS ン Webサ 構築等
3 開発 7 処理 析
4 運用 保 8
問6 貴社 う 業領域 業務 委 い 当 全 選びく い ○ いく
業部門所管領域: 1 BtoB ン ネ ネ Webサ 広告等
2 BtoC ン ネ ネ SNS EC コン ン 販売等
3 情報処理サ 等
4 ネ ワ ン ョン
5 ソ ( 開発 ソ 等
6 (情報通信機器等
7 IoT 遠隔監視 等
コ 部門所管領域: 8 社 業務等
9 企業 対外的 サ
付
2-3
貴社
情報
ュ
委 先管理
い
伺い
<業務委
対
評価 方針決定>
問7 業務 委 う 効果 期待 い
特 期待 効果 選択肢 番号 優先 3 以 枠 入く い
優先 優先 優先
1 コ 業 経営資源 中 5 務体質 改善
2 コ 削減 6 組織 化
3 業務 改善 7 業 移転
4 外部 専門性 活用 8
問8 情報 ュ 観点 業務委 扱う情報資産 特定 会社 業務 委 必要 情報 ュ 対策 何 等 断 い ○ 1
1 社 基 断 い
2 社 い 必要 応 断 い
3 断 い い
問9 業務委 扱う情報資産 情報 ュ 程度懸念 い 威 対 懸念 度合い 当 選びく い ✔ 各行 1
1 非常 懸念 い 2あ 程度懸念 い 3 あ 懸念 い い 4全く懸念 い い
a. 部 □ □ □ □
b. 外部攻撃
感染や 等 □ □ □ □
c. 人的 誤操作等 □ □ □ □
d. 害 停 □ □ □ □
e. 災害 □ □ □ □
<体制
整備>
問10 情報 ュ 委 先管理 組 い 業務委 扱う情報 種類 実施状況 当 全 選びく い ✔ 各行 いく
1 個人情報 2 営業秘密 3
非公開情報
4 当該 組
い
a. 情報 ュ 考慮 委 先選定 □ □ □ □
b. 委 契約 け 情報 ュ
要求 明確化 □ □ □ □
c. 業務委 扱う情報資産 厳格 管理
授 廃棄等 一連 □ □ □ □
d. 委 先 情報 ュ 対策
実施状況 確認 □ □ □ □
e. ン ン 対 対応体制 整備 □ □ □ □
f. 業務委 完了時 情報 ュ
付
2-4
問11 情報 ュ 委 先管理 組 い 所管 部門 選びく
い 1 組 対 複数 部門 場合 部門全 選びく い ✔ 各行 いく
1.調遉部門 2情報 部門 情報
ュ 部門
3法務部門 4 業部門 5 部門
6 当該 組
い
a. 情報 ュ 考慮 委 先選定
□ □ □ □ □
□
b. 委 契約 け 情報 ュ 要求
明確化 □ □ □ □
□
□
c. 業務委 扱う情報資産 厳格 管理
授 廃棄等 一連 □ □ □ □
□
□
d. 委 先 情報 ュ 対策
実施状況 確認 □ □ □ □
□
□
e. ン ン 対 対応体制 整備
□ □ □ □ □
□
f. 業務委 完了時 情報 ュ
観点 検 評価 □ □ □ □
□
□
問12 情報 ュ 委 先管理 い 社 う 規定類 整備 い 当 全 選びく い ○ いく
1 情報 ュ 目 含 委 先選定基準
2 情報 ュ 対策 評価結果 基 く推奨委 先
3 委 先 求 情報 ュ 対策 基準 ン 規格等 参照 場合 含
4 情報 ュ 要求 含 契約書雛形
5 委 先 情報 ュ 対策状況 確認形式 等
6
7 特 や規定類 整備 い い
問13 情報 ュ 委 先管理 規定類 策定 入 い 参考 い 基 準 ン 規格等 あ 当 全 選びく い ○ いく
基 準 ・ ガ イ ド ラ イ ン
1 府機 等 情報 ュ 対策 統一基準群 NISC: サ ュ ン
2 個人情報 保護 ン 各省庁
3 営業秘密管理指針 経済産業省
4 情報 ュ 管理基準 経済産業省
5 請適 引等 推進 ン 経済産業省 総務省 国土交通省
6 情報 引 契約書 経済産業省
7 中 企業 情報 ュ 対策 ン IPA
8 組織 け 部 防 ン IPA
9 金融機 等コン ュ 全対策基準 FISC:金融情報 ン
10 サ ン情報 ュ 管理基準 JASA:特定非営利活動法人日本 ュ 監査協会
11 ソ 開発委 基本 契約書JISA:一般社団法人情報サ 産業協会
12 非 型開発 適 契約書 IPA
13 CMMI 能力成熟度 統合
14 PCI DSS Payment Card Industry Data Security Standard
規 格
15 JIS Q 27000 (情報 ュ ネ ン 連規格:ISMS)
16 JIS X 5070-1 情報 術 ュ 評価基準:CC
17 JIS Q15001 個人情報保護 ネ ン :P
18 SP800 NIST:米国国立標準 術研究所
付
2-5
問14 貴社 参加 IT サ ン 断的 情報 ュ 対策 あ 当 全 選びく い ○ いく
1 共通 情報 ュ 基準等 展開
2 共通 情報 ュ 要求 基 く委 先 適合確認
3 情報 ュ 情報共 組
4 情報 ュ 普及啓発
5 ITサ ン参加企業 対象 ン ン 対応組織 CSIRT*等 設置
6
7 特 ITサ ン 断的 組 い
*Computer Security Incident Response Team 略 コン ュ ュ ン ン 対処 組織
問15 情報 ュ 委 先管理 推進 い う 点 課 考え 特 課 考え 選択肢 番号 最大3 以 枠 入く い
1 自社 属 業界 い 委 先 情報 ュ 確保 意識 い
2 社 十 知見 持 人材 い い
3 業務委 対 統一的 管理体制や 適用 難 い
4 委 先 情報 ュ 対策 わ 部門間 調整 大変 あ
5 海外 委 先 対 国 委 先 管理 適用 現実的 い
6
<委
先選定>
問16 委 先選定 い 委 先 う 点 重視 い
特 重視 目 選択肢 番号 優先 4 以 枠 入く い
優先 優先 優先 優先
1 業務 品質 価格 納期 5 過去 ン ン 発生 無
2 委 先 過去 発注実績 過去業務 評価 6 系列企業 企業 あ
3 委 先 経営 務状況 7 国 企業 あ
4 情報 ュ 対策 実施状況や認証 得状況
ISMSやP 等
付
2-6
問17 委 先 実施 具体的 情報 ュ 対策 様書等 明 い ○ 1
1 明 い →問17-1 回答く い 2 明 い い
問17-1 問 17 選択肢 1 明 い 選 方 伺い 委 先 最 限実施 情報 ュ 対策 明 全 選びく い 再委 行う場合 再委 先 最 限実施 情 報 ュ 対策 明 全 選びく い ✔ 委 先 再委 先 いく
○情報 ュ 対 組織的 組 状況 委 先 再委 先
1 情報 ュ や情報 ュ 管理 規程 整備及び実践 □ □
2 全社的 情報 ュ 推進体制やコン ン 推進体制 整備 □ □
3 重要 情報資産 対 重要性 類 応 表示や 扱方法 規定 □ □
4 重要 情報 利用 保管 持 出 消去 破棄等 対 扱い手 規定 □ □
5 再委 時 契約 け 情報 ュ 要求 明 □ □
6 従業者 対 情報 ュ 就業 義務 明確化
採用 職時 け 秘義務 書面 交わ 等 □ □
7 従業者 対 情報 ュ 自組織 組 や 連規程類 い 計画的
教育や指 実施 □ □
○情報 ュ 対 術的 組 状況 委 先 再委 先
8 重要 情報資産 あ 建物や 画 対 物理的 ュ 対策 入 室管理 実施 □ □
9 重要 書類 PC 憶媒体 対 施錠管理等 適 管理 実施 □ □
10 重要 や 連 手 文書化及び実施 □ □
11 ワ 木馬 対策実施 □ □
12 情報 対 適 迅速 弱性対策 実施 □ □
13 ネ ワ 対 暗号化 適 保護策 実施 □ □
14 PC 憶媒体や 外部持 出 対 盗難 紛失 想定 対策 実施 □ □
15 や情報 利用者ID 管理 利用者 識 認証 実施 □ □
16 や情報 業務 ョン 対 付 制御 実施 □ □
17 ネ ワ 制御 実施 □ □
○情報 ュ ン ン 対応状況 委 先 再委 先
18 ン ン 発生時 適 迅速 初動対応 報告 実施 □ □
問18 様書等 い 部 防 観点 委 先 実施 情報 ュ 対策 明 全 選びく い ○ いく
1 操作 等 得 保
2 私物 機器や 憶媒体 対 持 込 持 出 管理
3 単独作業 制限 認手
4 従業者 当該業務委 秘密保持等 誓約書 得
5
付
2-7
問19 貴社 要求 情報 ュ 対策 委 先 対応 い場合 う 対応 多い ○ 1
1 委 先 情報 ュ 対策 代替案 提案 求
2 情報 ュ 対策 要求範 変更
3 委 先 変更
4 業務委 や
5 ( )
問20 委 先 選定 い 情報 ュ 観点 う 点 課 考え 特 課 考え 選択肢 番号 最大3 以 枠 入く い
1 社 十 知見 持 人材 い い
2 委 先 情報 ュ 対策 異 評価 選定 難 い
3 実績や 術力 持 委 先 あ 情報 ュ 要求 満 選定 い
4 委 先 情報 ュ 対策 コ 委 費用 映 い 社 理解 得 い
5 選定時 委 先 情報 ュ 対策 情報 提供 え い
6
<契約>
問21 委 先 契約 い う 情報 ュ わ 要求 含 い 当 全 選びく い ○ いく
1 秘密保持
2 具体的 情報 ュ 対策 実施 既 基準 適合や認証 得等 含
3 証跡 提示 監査協力等
4 情報 ュ 契約 容 遊 場合 措置
5 情報 ュ 委 元 委 先 責任範 →問21-1 回答く い
6 ン ン 発生 場合 対応 →問21-2 回答く い
7 情報 ュ SLA Service Level Agreement
8 新 威 弱性等 顕在化 場合 情報共 対応
9 再委 禁 制限
10 契約終了後 情報資産 扱い 返却 消去 廃棄等
11
問21-1 問21 選択肢 5情報 ュ 委 元 委 先 責任範 選 方 伺い 情報 ュ 委 元 委 先 責任範 い う 明示 い 当
全 選びく い ○ いく
1 一定 条件 い 委 先 責任 わ い免責規定 定 い
2 損害賠償 業務委 契約金 等 限 設定 い
3 ソ 開発等 い 瑕疵担保条 中 業務委 完了後 発覚 弱性等 対象 い
4
付
2-8
問21-2 問 21 選択肢 6 ン ン 発生 場合 対応 選 方 伺い
ン ン 発生 場合 対応 う 容 含 い 当 全 選びく い ○ いく
1 初動対応 4 報告 容
2 報告窓口 5 調査 復旧 わ 委 元 委 先 限 担
3 報告期限 6
問22 委 先 契約 い 情報 ュ 観点 う 点 課 考え 特 課 考え 選択肢 番号 最大3 以 枠 入く い
1 情報 ュ 要件 何 決 わ い
2 実施 具体的 情報 ュ 対策 明示 い い
3 情報 ュ 責任範 責任 界点 わ い
4 再委 い 契約 規定 い 情報 ュ 対 あ
5 約款 基 くサ 利用 等 場合 自社 情報 ュ 要求 満 い
6
<契約期間中 追加対応>
問23 過去 業務委 い 契約期間中 発生 新 威 弱性等 対応 追加 費用 担 け入 あ ○ 1
1 け入 あ 2 け入 い 3 過去 例 い 4 わ い
<委
先
情報
ュ
対策 確認>
問24 委 先 情報 ュ 対策 実施状況 う 方法 ン 確認 い 実 施方 法 実施 ン 当 全 選びく い ✔ 各行 いく
1 選定時 2 契約時 3 契約
期間中
4 契約
終了時
5 当該確認
い
a. 委 先 部監査 □ □ □ □ □
b. 実地調査 委 元 委 先 監査 □ □ □ □ □
c. 外部監査 外部監査法人等 委 先 監査 □ □ □ □ □
d. 各種認証 制度 ISMS P 等 得証明書 □ □ □ □ □
e. 誓約書 □ □ □ □ □
f. □ □ □ □ □
問25 問2 再委 先 あ 答えい い 方 選択肢2 3 4 選択 方 伺い 再委 先 情報 ュ 対策 実施状況 確認方法 い 貴社 う 定 い ○ 1
1 再委 先 対 直接確認
2 委 先 介 結果 書面 確認
3 確認 規定 い
付
2-9
問26 問3 海外 委 先 あ 答えい い 方 選択肢2 3 選 方 伺 い 海外 委 先 情報 ュ 対策 う 確認 い ○ 1
1 国 企業 厳 い 確認 い
2 国 企業 確認 い
3 国 企業 い 確認 い い
4 確認 い い
5 ( )
問27 委 先 情報 ュ 対策 的 維持 改善 貴社 委 先 間 う 組 入 い 当 全 選びく い ○ いく
1 係者間 定例会議等 け 報告
2 係者間 情報共 活用 ン 等
3 情報 ュ 連絡窓口 設置
4
5 特 組 い
問28 委 先 情報 ュ 対策 確認等 い う 点 課 考え 特 課 考え 選択肢 番号 最大3 以 枠 入く い
1 社 十 知見 持 人材 い い
2 情報 ュ 対策 確認 コ 担 大 い
3 再委 先以降 情報 ュ 対策 確認 難 い
4 海外 委 先 情報 ュ 対策 確認 難 い
5 重要 情報 ITサ ン あ わ い
6
< ン
ン 対応>
問29 過去 3 年間 業務委 委 先 再委 先以降 い ン ン 発生 あ 当 選びく い ✔ 各行 1
1 あ
→問29-1, 2 回答く い
2 い 3 わ い
委 先 □ □ □
再委 先以降 □ □ □
問29-1 問29 選択肢 1 あ 選 方 伺い う ン ン 発生 当 全 選びく い ○ いく
1 情報漏えい 暴露
2 サ 害 遅延 停
3 情報 機器 利用
4 等 改
5 毀損 消失
付
2-10
問29-2 問29 選択肢 1 あ 選 方 伺い 発生 ン ン う
最 影響 大 い 被害 容 被害 影響 及 範 組織 個人 当 全 選びく い ✔ 各行 いく
1 自社 2 委 先 3 再委 先
以降
4
引先 係先
5 個人
顧客
6 当該被
害 い
a. IT サ 害 遅延 停
逸失利益 □ □ □ □ □ □
b. 個人顧客 賠償や法人 引先 補償 担 □ □ □ □ □ □
c. 原因調査 復旧 わ 人件費等 経費 担 □ □ □ □ □ □
d. 裁 調停等 わ 人件費等 経費 担 □ □ □ □ □ □
e. 個人顧客や法人 引先 対 信頼 失墜 □ □ □ □ □ □
問30 ン ン 対応 い う 点 課 考え
特 課 考え 選択肢 番号 最大3 以 枠 入く い
1 社 十 知見 持 人材 い い
2 ン ン 発生 何 いい わ い
3 ン ン 発生 手 対応 わ い
4 委 先 け 証拠保全や原因調査 難 い
5 ン ン 報告 い
6 ン ン 発生 委 先 費用 担 調整 難 い
7
IT
サ
ン
け 情報
ュ
向
国
IPA
期待
施策
い
伺い
問31 ITサ ン け 情報 ュ 向 国 IPA 求 施策 あ 施策 期待 全 選びく い ○ いく
1 企業向け ン 整備
2 委 先管理 利用 ン 各種雛形等 整備
3 ITサ ン ン ン 例 整備
4 委 先管理 整備
5 委 先管理者向け普及啓発 教育
6
付
2-11
2 2
委
先
* IT サ 業務 外部委 委 連鎖 形態
貴社及び 回答者
い
伺い
S1 貴社 主 業種 選びく い ○ 1
1 ソ 業 7 民生用電気機械器具製造業
2 情報処理サ 業 8 電子計算機 付属装置製造業
3 情報提供サ 業 9 業計器製造業
4 情報サ 業 10 発電機 電動機 回転
5 国 国 電気通信業 11 電気機械製造業
6 電気通信 附帯 サ 業 12
S2 貴社 総従業員数 社員 準社員等 含 * 選びく い ○ 1
*
1ヶ 超え 用契約者 人材派遣業者 派遣従業者 含
1 ~50 5 501 ~1,000
2 51 ~100 6 1,001 ~5,000
3 101 ~300 7 5,001 ~10,000
4 301 ~500 8 10,001 以
S3 貴社 総売 高 選びく い わ い場合 構い ○ 1
1 10億 未満 5 500億 ~1,000億 未満
2 10億 ~50億 未満 6 1,000億 ~5,000億 未満
3 50億 ~100億 未満 7 5,000億 ~1兆 未満
4 100億 ~500億 未満 8 1兆 以
S4 回答者 所属部門 選びく い 複数 部門 回答 場合 主 回答 部門 選びく い ○ 1
1 営業部門 3 業部門
2 情報 部門 情報 ュ 部門 4
S5 回答者 役職 選びく い ○ 1
1 締役 役員 5 係長 主任
2 業部長 6 一般社員
3 部長 7 専門職
4 課長 8
本調査
IT
サプ
チェーン
*おける貴社 情報セキュ テ
対する取組
つい お伺いし す
付
2-12
貴社
IT
サ
業務 以
業務
いい
状況
い
伺い
以
設問
う
IT
サ
ン
い
貴社
委 先
引
回答く
い
問1 貴社 主 IT サ 引 い 貴社 置付け 最 近い 選びく い ○ 1
1 元請け ン 2 次請け以降
問2 貴社 い 直接 引 あ 委 元 社数 選びく い ○ 1
1 1 社~10 社 4 101 社以
2 11 社~50 社 5 わ い
3 51 社~100 社
問3 再委 先 貴社 見 委 先 あ 再々委 先 貴社 見 再委 先 等 無 把握 い ○ 1
1 再委 先 い 4 再委 先 あ 再々委 先 あ う わ い
2 再委 先 あ 再々委 先 い 5 再委 先等 あ う わ い
3 再委 先 あ 再々委 先以降 あ
問4 貴社 委 元 所在地 い 当 選びく い ○ 1
1 国 2 海外 3 国 海外 両方
問5 貴社 委 元 属性 い 当 全 選びく い ○ いく
1 系列企業 企業 2 系列企業 企業以外
問6 貴社 IT サ 業務 当 全 選びく い ○ いく
1 PMO ネ ン 5 サ 提供 ASP SaaS等
2 要件定義 設計 6 ン 提供 IaaS ン Webサ 構築等
3 開発 7 処理 析
付
2-13
問7 う 業領域 わ 業務 い 当 全 選 びく い ○ いく
業部門所管領域: 1 BtoB ン ネ ネ Webサ 広告等
2 BtoC ン ネ ネ SNS EC コン ン 販売等
3 情報処理サ ( 等
4 ネ ワ ン ョン
5 ソ ( 開発 ソ 等
6 (情報通信機器等
7 IoT 遠隔監視 等
コ 部門所管領域: 8 社 業務等
9 企業 対外的 サ
: 10 業領域
11 委 元 業領域 わ い
貴社
業務
け 情報
ュ
対策
い
伺い
<
業務 対
評価 方針決定>
問8 情報 ュ 観点 業務 扱う情報資産 特定 会社 業務 必要 情報 ュ 対策 何 等 断 い ○ 1
1 社 基 断 い
2 社 い 必要 応 断 い
3 断 い い
問9 業務 扱う情報資産 情報 ュ 程度懸念 い 威 対 懸念 度合い 当 選びく い ✔ 各行 1
1非常 懸念 い 2あ 程度懸念 い 3あ 懸念 い い 4全く懸念 い い
a. 部 □ □ □ □
b. 外部攻撃(
感染や 等) □ □ □ □
c. 人的 (誤操作等) □ □ □ □
d. 害 停 □ □ □ □
e. 災害 □ □ □ □
<体制
整備>
問10 業務 け 情報 ュ 対策 い 業務 扱う情報 種類 実施状況 当 全 選びく い ✔ 各行 いく
1 個人情報 2 営業秘密 3
非公開情報
4 当該 組
い
a. 提案時 情報 ュ 対策 説明 □ □ □ □
b. 情報管理 情報 ュ 契約 容確認 □ □ □ □
c. 業務 扱う情報資産 厳格 管理
授 廃棄等 一連 □ □ □ □
d. 委 元 情報 ュ 対策 実施状況
確認 対応 □ □ □ □
付
2-14
問11 業務 け 情報 ュ 対策 い 所管 部門 選びく い
1 組 対 複数 部門 場合 部門全 選びく い ✔ 各行 いく
1営業部門 2情報
部門
情報 ュ
部門
3法務部門 4 業部門 5
部門
6 当該 組
い
a. 提案時 情報 ュ 対策 説明
□ □ □ □ □
□
b. 情報管理 情報 ュ
契約 容確認 □ □ □ □
□
□
c. 業務 扱う情報資産 厳格 管理
授 廃棄等 一連 □ □ □ □
□
□
d. 委 元 情報 ュ 対策
実施状況 確認 対応 □ □ □ □
□
□
e. ン ン 対 対応体制 整備
□ □ □ □ □
□
問12 業務 け 情報 ュ 対策 入 い 参考 い 基準 ン 規格等 あ 当 全 選びく い ○ いく
基 準 ・ ガ イ ド ラ イ ン
1 府機 等 情報 ュ 対策 統一基準群 NISC: サ ュ ン
2 個人情報 保護 ン 各省庁
3 営業秘密管理指針 経済産業省
4 情報 ュ 管理基準 経済産業省
5 請適 引等 推進 ン 経済産業省 総務省 国土交通省
6 情報 引 契約書 経済産業省
7 中 企業 情報 ュ 対策 ン IPA
8 組織 け 部 防 ン IPA
9 金融機 等コン ュ 全対策基準 FISC:金融情報 ン
10 サ ン情報 ュ 管理基準 JASA:特定非営利活動法人日本 ュ 監査協会
11 ソ 開発委 基本 契約書JISA:一般社団法人情報サ 産業協会
12 非 型開発 適 契約書IPA
13 CMMI 能力成熟度 統合
14 PCI DSS Payment Card Industry Data Security Standard
規 格
15 JIS Q 27000 (情報 ュ ネ ン 連規格:ISMS)
16 JIS X 5070-1 情報 術 ュ 評価基準:CC
17 JIS Q15001 個人情報保護 ネ ン :P
18 SP800 NIST:米国国立標準 術研究所
19 ( )
問13 貴社 参加 ITサ ン 断的 情報 ュ 対策 あ 当 全 選 びく い ○ いく
1 共通 情報 ュ 基準等 展開
2 共通 情報 ュ 要求 基 く再委 先 自社 見 委 先 適合確認
3 情報 ュ 情報共 組
4 情報 ュ 普及啓発
5 ITサ ン参加企業 対象 ン ン 対応組織 CSIRT*等 設置
6
7 特 ITサ ン 断的 組 い
付
2-15
問14 業務 け 情報 ュ 対策 い う 点 課 考え 特 課 考え 選択肢 番号 最大3 以 枠 入く い
1 情報 ュ 確保 意識 い委 元 多い
2 社 十 知見 持 人材 い い
3 様々 種類 業務 対応 情報 ュ 対策 実施 難 い
4 業務 け 情報 ュ 対策 わ 係部門 担 大 い
5
<委
元
提案>
問15 委 元 業務 提案 い 貴社 う 点 い
特 目 選択肢 番号 優先 4 以 枠 入く い
優先 優先 優先 優先
1 業務 品質 価格 納期 5 過去 ン ン 無い 少 い
2 類似業務 過去 注実績 業界 6 系列企業 企業 あ
3 経営 務状況 7 国 企業 あ
4 情報 ュ 対策 実施状況や認証 得状況
ISMSやP 等
8 企業 あ
問 16 業務 い 最 限 う 情報 ュ 対策 実施 当 全 選びく い ○ いく
○情報 ュ 対 組織的 組 状況
1 情報 ュ や情報 ュ 管理 規程 整備及び実践
2 全社的 情報 ュ 推進体制やコン ン 推進体制 整備
3 重要 情報資産 対 重要性 類 応 表示や 扱方法 規定
4 重要 情報 利用 保管 持 出 消去 破棄等 対 扱い手 規定
5 再委 時 契約 け 情報 ュ 要求 明
6 従業者 対 情報 ュ 就業 義務 明確化
採用 職時 け 秘義務 書面 交わ 等
7 従業者 対 情報 ュ 自組織 組 や 連規程類 い 計画的 教育や指 実施
○情報 ュ 対 術的 組 状況
8 重要 情報資産 あ 建物や 画 対 物理的 ュ 対策 入 室管理 実施
9 重要 書類 PC 憶媒体 対 施錠管理等 適 管理 実施
10 重要 や 連 手 文書化及び実施
11 ワ 木馬 対策実施
12 情報 対 適 迅速 弱性対策 実施
13 ネ ワ 対 暗号化 適 保護策 実施
14 PC 憶媒体や 外部持 出 対 盗難 紛失 想定 対策 実施
付
2-16
15 や情報 利用者ID 管理 利用者 識 認証 実施
16 や情報 業務 ョン 対 付 制御 実施
17 ネ ワ 制御 実施
○情報 ュ ン ン 対応状況
18 ン ン 発生時 適 迅速 初動対応 報告 実施
問17 業務 い 部 防 観点 う 情報 ュ 対策 実施 当 全 選びく い ○ いく
1 操作 等 得 保
2 私物 機器や 憶媒体 対 持 込 持 出 管理
3 単独作業 制限 認手
4 従業者 当該業務委 秘密保持等 誓約書 得
5
6 特 実施 い い
問18 委 元 提案 あ 業務 け 情報 ュ や対策 い う 説明 行 う 多い ○ 1
1 業務 合わ 都度資料 作成 説明 い
2 定型資料や公開 い 報告書等 用い 説明 い
3
4 特 説明 行わ い
問19 委 元 要求 情報 ュ 対策 貴社 対応 い場合 委 元 対 う 提案 行う 多い ○ 1
1 情報 ュ 対策 代替案 提案
2 情報 ュ 対策 要求範 変更 依頼
3 い 説明 情報 ュ 対策 免除 依頼
4
5 特 提案 行わ い
問20 問3 再委 先 あ 答えい い 方 選択肢2 3 4 選 方 伺い 再委 先 貴社 見 委 先 対 要求 情報 ュ 対策 い 社 う 定 い
○ 1
1 委 元 自社 求 等 情報 ュ 対策 要求
2 自社 基準 基 く情報 ュ 対策 要求
付
2-17
問21 委 元 提案 い 情報 ュ 観点 う 点 課 考え
特 課 考え 選択肢 番号 最大3 以 枠 入く い
1 委 元 提案 い 情報 ュ 観点 社 確認 い い
2 委 元 情報 ュ 要求 水準 高く コ 担 大 い
3 委 元 情報 ュ 要求 異 個 対応 荷 高い
4 情報 ュ 対策 コ い 委 元 理解 得 い
5 情報 ュ 提案 競合 社 差 要因 い
6
<契約>
問22 委 元 契約 い う 情報 ュ わ 要求 含 い 当 全 選びく い ○ いく
1 秘密保持
2 具体的 情報 ュ 対策 実施 既 基準 適合や認証 得等 含
3 証跡 提示 監査協力等
4 情報 ュ 契約 容 遊 場合 措置
5 情報 ュ 委 元 自社 責任範 →問22-1 回答く い
6 ン ン 発生 場合 対応 →問22-2 回答く い
7 情報 ュ SLA Service Level Agreement
8 新 威 弱性等 顕在化 場合 情報共 対応
9 再委 自社 見 委 禁 制限
10 契約終了後 情報資産 扱い 返却 消去 廃棄等
11
問22-1 問22 選択肢 5情報 ュ 委 元 自社 責任範 選 方 伺い 情報 ュ 委 元 自社 責任範 い う 明示 い 当 全 選びく い ○ いく
1 一定 条件 い 自社 責任 わ い免責規定 定 い
2 損害賠償 業務 契約金 等 限 設定 い
3 ソ 開発等 い 瑕疵担保条 中 業務完了後 発覚 弱性等 対象 い
4
5 具体的 容 明示 い い
問22-2 問 22 選択肢 6 ン ン 発生 場合 対応 選 方 伺い ン ン 発生 場合 対応 う 容 含 い 当 全 選びく い ○ いく
1 初動対応 4 報告 容
2 報告窓口 5 調査 復旧 わ 委 元 委 先 限 担
付
2-18
問23 委 元 契約 い 情報 ュ 観点 う 点 課 考え
特 課 考え 選択肢 番号 最大3 以 枠 入く い
1 委 元 情報 ュ 要件 何 決 理解 い い
2 実施 具体的 情報 ュ 対策 明示 い い
3 情報 ュ 責任範 責任 界点 わ い
4 再委 先 自社 見 委 先 管理 い 責任 う 高い
5 委 元 雛形 用い ン ン 発生 利 容 い
6
<契約期間中 追加 対応>
問24 過去 業務 い 契約期間中 発生 新 威 弱性等 対応 追加 費用 担 要 求 あ ○ 1
1 要求 あ 2 要求 い 3 過去 例 い 4 わ い
<委
元
情報
ュ
対策 確認>
問25 委 元 貴社 情報 ュ 対策 実施状況 う 方法 ン 確認 い 実施方法 実施 ン 当 全 選びく い ✔ 各行 いく
1 選定時 2 契約時 3 契約
期間中
4 契約
終了時
5 当該確認
い
a. 自社 部監査 □ □ □ □ □
b. 実地調査 委 元 自社 監査 □ □ □ □ □
c. 外部監査 外部監査法人等 自社 監査 □ □ □ □ □
d. 各種認証 制度 ISMS P 等 得証明書 □ □ □ □ □
e. 誓約書 □ □ □ □ □
f. □ □ □ □ □
問26 問3 再委 先 あ 答えい い 方 選択肢 2 3 4 選択 方 伺い 委 元 再委 先 貴社 見 委 先 情報 ュ 対策 実施状況 う 確認 い
○ 1
1 委 元 直接確認 い
2 自社 再委 先 自社 見 委 先 確認 結果 書面 確認 い
3 特 確認 い い
4 ( )
問27 業務 情報 ュ 対策 的 維持 改善 貴社 委 元 間 う 組 入 い 当 全 選びく い ○ いく
1 係者間 定例会議等 け 報告
2 係者間 情報共 活用 ン 等
3 情報 ュ 連絡窓口 設置
4 ( )
付
2-19
問28 委 元 情報 ュ 対策 確認等 い う 点 課 考 え
特 課 考え 選択肢 番号 最大3 以 枠 入く い
1 社 十 知見 持 人材 い い
2 様々 委 元 確認 対応 部門 担 大 い
3 再委 先 自社 見 委 先 対 確認 自社 担 大 い
4 海外 再委 先 自社 見 委 先 情報 ュ 対策 確認 難 い
5 重要 情報 ITサ ン あ わ い
6 契約後 追加 情報 ュ 対策要求 あ
7 追加 情報 ュ 対策要求 対 委 先 費用 出 い
8
< ン
ン 対応>
問29 過去 3 年間 業務 貴社や再委 先以降 貴社 見 委 先以降 い ン ン 発生 あ ✔ 各行 1
1 あ
→問29-1, 2 回答く い
2 い 3 わ い
a 自社 □ □ □
b 再委 先以降
自社 見 委 先以降 □ □ □
問29-1 問29 選択肢 1 あ 選 方 伺い う ン ン 発生 当 全 選びく い ○ いく
1 情報漏えい 暴露
2 サ 害 遅延 停
3 情報 機器 利用
4 等 改
5 毀損 消失
6
問29-2 問29 選択肢 1 あ 選 方 伺い 発生 ン ン う 最 影響 大
い 被害 容 被害 影響 及 範 組織 個人 当 全 選びく い ✔ 各行 いく
1委 元 2 自社
3 再委 先
以降 自社 見 委 先以降
4
引先 係先
5 委 元
個人顧客
6 当該
被害 い
a. IT サ 害 遅延 停
逸失利益 □ □ □ □ □ □
b. 個人顧客 賠償や法人 引先 補償 担 □ □ □ □ □ □
c. 原因調査 復旧 わ 人件費等 経費 担 □ □ □ □ □ □
d. 裁 調停等 わ 人件費等 経費 担 □ □ □ □ □ □
付
2-20
問30 ン ン 対応 い う 点 課 考え
特 課 考え 選択肢 番号 最大3 以 枠 入く い
1 社 十 知見 持 人材 い い
2 ン ン 発生 何 いい わ い
3 ン ン 発生 手 対応 わ い
4 再委 先 自社 見 委 先 け 証拠保全や調査実施 難 い
5 範 対応 わ い 報告対象 ン ン 範 等
6 委 元 費用 担 調整 難 い
7
IT
サ
ン
け 情報
ュ
向
国
IPA
期待
施策
い
伺い
問31 ITサ ン け 情報 ュ 向 国 IPA 求 施策 あ 施策 期待 全 選びく い ○ いく
1 企業向け ン 整備
2 委 先管理 利用 ン 各種雛形等 整備
3 ITサ ン ン ン 例 整備
4 委 先管理 整備
5 委 先管理者向け普及啓発 教育
6
