<!– メタディスクリプション:★3の委託先セキュリティ管理要件はNDA・基本契約書の延長で対応できます。委託先に★3取得を求める必要はありません。既存契約に何が足りないかを確認する方法を解説します。 –>
「★3を取得しようとしているが、委託先のフリーランスや小規模な外注先にも同じレベルのセキュリティを求めなければならないのか」
この問いを持つ経営者は多い。結論から言うと、委託先に★3取得を求める必要はありません。
★3の委託先管理要件(取引先管理領域)で求められているのは、機密情報を共有する委託先との間でNDA(秘密保持契約)とインシデント対応条項を書面で取り交わすことです。既に基本契約書・NDAを締結している場合は、インシデント対応条項が含まれているかを確認するだけで対応できる可能性があります。
委託先管理の★3要件は、新しい仕組みを作ることより、既存の契約書に何が足りないかを確認することから始まります。
本記事では、★3の委託先セキュリティ管理要件の正確な内容を整理した上で、既存契約で対応できる範囲と追加が必要な項目を解説します。
この記事でわかること
- ★3の委託先管理要件の正確な内容(何を求められているか)
- 委託先に★3取得を求める必要がない理由
- 既存のNDA・基本契約書で対応できる範囲
- 追加が必要になる可能性がある条項
- フリーランス・個人事業主への委託での対応方法
委託先セキュリティ管理とは何か|★3の取引先管理領域の全体像
★3の取引先管理要件は3項目
SCS評価制度★3の取引先管理領域(2-1-x)の要求事項を正確に確認すると、★3で求められるのは以下の3項目です。
| 要求事項No. | 内容 | ★の区分 |
|---|---|---|
| 2-1-1 | 取引先との関係把握 | ★3 |
| 2-1-2 | 機密情報の取扱い | ★3 |
| 2-1-4 | インシデント発生時の役割・責任 | ★3 |
| 2-1-3 | 取引先のセキュリティ対策状況の把握 | ★4 |
| 2-1-5 | 機密情報の回収・破棄 | ★4 |
重要なのは、よく誤解される「委託先のセキュリティ対策状況の確認(チェックシートや訪問監査)」は★4の要件であり、★3では求められていないという点です。
委託先に★3取得を求める必要はない
SCS評価制度の設計思想は「委託元が委託先に適切な段階(★)を提示し、示された対策を促すとともに実施状況を確認すること」ですが、これは★4以上の取引で想定されているシナリオです。
★3を取得しようとしている中小企業(発注側)が委託先に対して求めるのは「★3取得」ではなく「機密情報の取扱いに関する書面の取り交わし」です。
セキュリティ対策評価制度が中小企業に与える影響でも整理していますが、★3は「全てのサプライチェーン企業が最低限実装すべきセキュリティ対策」として位置づけられており、委託先への要求水準は★4より大幅に低く設定されています。
委託先セキュリティ管理の★3要件①|取引先との関係把握(2-1-1)
求められていること
「自社以外の組織(顧客・子会社・関係会社・クラウドサービス提供者を含む取引先)が管理・提供し、自社の資産が接続しているシステムを把握するための仕組みを整備すること。」
実務的な対応
どの委託先が自社のどのシステム・データにアクセスしているかをリスト化することが求められます。
IT資産台帳 中小企業の作り方で整理している情報資産管理台帳の「外部サービス・取引先」の欄がこの要件に対応します。台帳に「委託先名・アクセスできるシステム・取り扱う情報の種類」を記載しておくことで要件を満たせます。
この項目は書面を取り交わすものではなく、自社内でリストを整備する要件です。
委託先セキュリティ管理の★3要件②|機密情報の取扱い(2-1-2)
求められていること
「自社の機密情報を共有する取引先との間で、業務開始前に機密情報の取扱いについて以下の事項を取り交わすこと。」
- 機密情報の定義
- 機密情報の取扱い(表示・保管方法・複製可否・第三者への提供可否)
- 機密情報の返還または廃棄
既存のNDA・基本契約書で対応できるか
これはNDA(秘密保持契約)の標準的な記載内容とほぼ一致しています。既に基本契約書・NDAを締結している場合、多くのケースでこの要件を既に満たしている可能性があります。
確認すべき項目:
| 確認項目 | 既存契約書での確認箇所 |
|---|---|
| 機密情報の定義 | 秘密情報の定義条項 |
| 取扱い・複製可否 | 秘密保持義務条項 |
| 第三者への提供可否 | 第三者提供禁止条項 |
| 返還・廃棄 | 契約終了時の処理条項 |
これらが全て含まれていれば、2-1-2の要件は既存契約で満たせます。
委託先セキュリティ管理の★3要件③|インシデント発生時の役割・責任(2-1-4)
求められていること
「機密情報を共有する子会社又は取引先との間で、セキュリティインシデント発生時の自社と取引先の役割及び責任について、以下の事項を定めること。」
- セキュリティインシデント発生時の相手方への通知義務
- セキュリティインシデント発生時の連絡先
- 再発防止策の協議方法
既存契約で対応できるか
これが★3の委託先管理要件で最も追加が必要になりやすい項目です。従来のNDA・基本契約書には「秘密情報の漏洩が発生した場合は速やかに通知する」という条項が入っていることがありますが、以下が明記されていないケースがあります。
- 連絡先の明記:「誰に・どの連絡先に通知するか」が具体的に書かれているか
- 再発防止策の協議:「インシデント後に再発防止策を協議する」という条項があるか
この2点が既存契約書に含まれていない場合、覚書や契約書の追加条項として取り交わすことで対応できます。
フリーランス・個人事業主への委託での対応
フリーランス・個人事業主への委託でも同じ要件が適用されます。ただし要求するのは「★3の取得」ではなく「インシデント発生時の通知先と協議方法を書面で定めること」だけです。
業務委託契約書にこの条項を追加するか、別途覚書を1枚取り交わすだけで対応できます。相手がフリーランス・個人事業主であっても、「何かあったときはこの番号に連絡する・再発防止策を協議する」という1〜2行の追記で済みます。
委託先セキュリティ管理の対象範囲|全ての委託先が対象ではない
対象は「機密情報を共有する委託先」のみ
2-1-2・2-1-4の要件は「機密情報を共有する取引先」が対象です。機密情報を共有しない委託先(例:清掃業者・宅配業者・一般的な消耗品の仕入れ先)はこの要件の対象外です。
対象になりやすい委託先の例:
- システム開発・保守を委託しているエンジニア(社内システムにアクセスする)
- 経理・労務を委託している税理士・社労士(財務情報・人事情報を扱う)
- マーケティング・制作を委託しているフリーランス(顧客情報・売上データを扱う)
- クラウドサービス提供者(SaaS・IaaS等)
対象外になりやすい委託先の例:
- 機密情報にアクセスしない一般業務の委託先
優先順位の付け方
全ての委託先を同時に対応するのは現実的ではありません。IT資産台帳 中小企業の作り方で整理した情報資産管理台帳の重要度評価と連動して、重要度の高い機密情報を扱う委託先から順番に対応することが現実的です。
委託先セキュリティ管理の★3対応手順|今日からできること
ステップ1:委託先リストを作る
現在業務委託している全ての相手をリスト化します。その中から「機密情報を共有している委託先」を抽出します。
ステップ2:既存契約書を確認する
抽出した委託先との既存のNDA・基本契約書を確認し、以下の項目が含まれているかをチェックします。
チェック項目:
- 機密情報の定義が明記されているか
- 取扱い・複製可否・第三者提供禁止が明記されているか
- 返還・廃棄の条項があるか
- インシデント発生時の通知義務があるか
- インシデント発生時の連絡先が明記されているか
- 再発防止策の協議について定めがあるか
ステップ3:不足項目を追加する
上記チェックで不足が発覚した場合は、覚書または契約書の追加条項として取り交わします。特にインシデント対応条項(通知先・再発防止協議)は多くの既存契約書に含まれていないため、この部分の追加が主な対応になります。
ステップ4:書面を保管する
★3の専門家確認では「機密情報を共有する委託先との書面が存在すること」が確認されます。締結した契約書・NDA・覚書を適切に保管・管理しておくことが必要です。
セキュリティポリシー 中小企業向け|★3審査で見られる3箇所でも整理していますが、★3は「書面の存在」と「実態としての運用」の両方が求められます。書面を作って引き出しの中に入れたままでは不十分です。
委託先セキュリティ管理が不十分だった場合のリスク|★3取得後も注意が必要
★3を取得した後も、委託先との書面が不十分なまま取引を続けている場合、以下の3つのリスクがあります。
リスク①:★3の更新時に問題になる
★3は取得して終わりではなく、定期的な更新が想定されています。更新時の専門家確認で「機密情報を共有している委託先との書面が揃っていない」という状態が発覚した場合、更新が認められない可能性があります。取得時に整備できていても、その後に新しい委託先が増えた場合は追加で書面を取り交わす必要があります。
リスク②:インシデント発生時に管理義務違反を問われるリスク
委託先でランサムウェア感染・情報漏洩が発生し、自社の顧客情報・機密情報が流出した場合、取引先や顧客から「御社は委託先のセキュリティ管理をしていたのか」と問われます。
この問いに対して書面が存在しない場合、「管理義務を果たしていなかった」という判断につながる可能性があります。★3を取得していても、委託先管理の書面がなければ免責にはなりません。
リスク③:発注元からの証拠提示要求に対応できない
自社が★3を取得していても、発注元の大手企業から「御社の委託先管理の状況を証拠で示してください」と求められた場合に対応できなくなります。★3取得証明と委託先管理の書面はセットで機能します。
ただし対象は「機密情報を共有する委託先」のみ
3つのリスクはいずれも「機密情報を共有している委託先との書面が不十分な場合」に限られます。機密情報を共有していない委託先(清掃業者・一般消耗品の仕入れ先等)との書面がなくても★3の要件上は問題ありません。
委託先リストを整備し「機密情報を共有しているか・していないか」を明確にしておくことが、リスク管理の起点になります。
まとめ|委託先セキュリティ管理の★3対応は契約書の確認から始まる
★3の委託先セキュリティ管理要件は、委託先に★3取得を求めることではありません。機密情報を共有する委託先との間でNDAとインシデント対応条項を書面で取り交わすことが求められています。
既に基本契約書・NDAを締結している場合、多くの項目は既に満たされている可能性があります。最も追加が必要になりやすいのはインシデント発生時の通知先・再発防止協議の条項です。この条項を既存契約書に追記するか覚書で取り交わすだけで、★3の委託先管理要件の大部分に対応できます。
フリーランス・個人事業主への委託でも求められるのは同じ書面です。「何かあったときはこの番号に連絡する・再発防止策を協議する」という内容を業務委託契約書に1〜2行追加するだけで済みます。
★3の委託先管理対応は、新しい仕組みを一から作ることではなく、既存の契約書に何が足りないかを確認することから始まります。
コメント