🏢 Phase2：組織と管理（Day10）｜委託先管理の落とし穴と契約上の注意点｜📘 30日間連続講座｜情報セキュリティマネジメント合格ロードマップ

---

前回の記事

---

1. リスクは“外に出すと増える”

業務委託、クラウド利用、外部ベンダー。

便利です。
しかし同時に、

管理対象が社外に広がる

という意味を持ちます。

情報を渡した瞬間、
その管理責任は完全には消えません。

ここが試験の重要論点です。

---

2. 委託＝責任移転ではない

よくある誤解：

「外注したから安心」

違います。

情報の最終責任は、
委託元にあります。

例えば：

• 顧客データを処理委託
• システム運用を外部委託
• クラウドにデータ保管

事故が起きれば、
社会的責任を問われるのは自社です。

---

3. 委託先リスクとは何か？

委託によって発生する代表的リスク：

• 情報漏えい
• 不十分なアクセス管理
• 再委託による管理の希薄化
• 契約外利用
• インシデント報告遅延

特に再委託は頻出テーマです。

“再々委託”で管理不能になるケースもあります。

---

4. 試験で問われる基本原則

委託先管理の基本は：

✔ 選定
✔ 契約
✔ 監督
✔ 見直し

この4段階で理解すると整理できます。

---

5. ① 選定段階

委託前に確認すべきこと：

• セキュリティ体制
• ISMS取得状況
• 管理責任者の有無
• 過去の事故歴

ここで重要なのは、

「価格だけで選ばない」

という点。

試験では、

“安全性の確認”がキーワードになります。

---

6. ② 契約段階（最重要）

契約で明確にすべき事項：

• 情報の利用目的
• 秘密保持義務
• 再委託の可否と条件
• インシデント報告義務
• 損害賠償範囲
• 契約終了時のデータ返却・削除

試験では、

「どの条項が不足しているか？」

が問われます。

---

7. ③ 監督段階

契約して終わりではありません。

• 定期報告
• 監査権の行使
• ログ確認
• 改善要求

これが“監督”。

ISMSのPDCAで言えば「Check」に該当します。

---

8. ④ 見直し段階

委託内容は固定ではありません。

• 業務範囲変更
• システム更新
• 法令改正

変化に応じて契約を見直す必要があります。

継続的管理が本質です。

---

9. クラウド利用時の注意

クラウドは典型的な委託。

ここで重要なのは：

共有責任モデル

• クラウド事業者の責任
• 利用者の責任

の境界を理解すること。

データ設定ミスは、
利用者側責任になることが多い。

試験でも頻出です。

---

10. よくある落とし穴

❌ NDA（秘密保持契約）だけで安心
→ 管理体制は保証されない

❌ ISMS認証取得済だから問題ない
→ 個別契約は必要

❌ 大手企業だから安全
→ 実際の管理体制が重要

試験では、
こうした“思い込み”を狙ってきます。

---

11. 経営視点での理解

委託は効率化の手段。

しかし同時に、

統制の難易度を上げる行為でもある。

経営として考えるべきは：

• 委託の範囲は妥当か
• 内製化すべき領域はないか
• リスクとコストは見合っているか

ここまで考えられると、
理解は本物です。

---

12. 今日のアウトプット課題

考えてみてください。

• 自社の主要な委託先はどこか
• 再委託は発生していないか
• インシデント報告義務は契約に明記されているか
• 契約終了時のデータ削除条項はあるか

答えられれば、管理視点は身についています。

---

13. 今日のまとめ

✔ 委託＝責任移転ではない
✔ 選定・契約・監督・見直しが基本
✔ 再委託は要注意
✔ 契約条項が得点ポイント
✔ 共有責任モデルを理解する

---

次回：

Day11｜クラウド利用時の共有責任モデルを図解する

いよいよクラウド管理の核心に入ります。

---