ＩＴサプライチェーンの業務委託における

セキュリティインシデント及びマネジメントに

関する調査報告書

発行日 2018年3月26日

改訂日 2018年10月19日

改版履歴

年月日 内容

2018年 3月 26日 発行

2018年 10月 19日 P8表 1.3-4委託先発送数の発送件数及び合計の誤りを修正

誤 33,574→正 3,574

誤 44,596→正 4,596

i

目 次

1. はじめに .................................................................................................................................................... 1

1.1. 調査背景・目的 ................................................................................................................................. 1

1.2. 調査のスコープ ................................................................................................................................. 2

1.3. 調査の実施概要 ................................................................................................................................. 3

文献調査 ...................................................................................................................................... 4

アンケート調査 .......................................................................................................................... 5

インタビュー調査 ...................................................................................................................... 9

2. IT サプライチェーンにおけるインシデントの状況（文献調査） .................................................. 11

2.1. IT サプライチェーンにおけるインシデント事例 ....................................................................... 11

近年のインシデント事例 ........................................................................................................ 11

インシデントの典型パターン ................................................................................................ 16

2.2. IT サプライチェーンにおけるインシデントにかかわる紛争の状況........................................ 20

3. IT サプライチェーンリスクマネジメントの標準と考え方（文献調査） ....................................... 23

3.1. IT サプライチェーンリスクマネジメントに関する基準、ガイドライン及び規格等 ............ 23

国内の動向 ................................................................................................................................ 23

海外の動向 ................................................................................................................................ 25

3.2. IT サプライチェーンリスクマネジメントの全体像 ................................................................... 28

3.3. 個別プロセスにおける情報セキュリティ確保の取組み ........................................................... 30

計画段階（①方針決定・リスクアセスメント） ................................................................ 30

計画段階（②体制・ルール整備・教育） ............................................................................ 31

実施段階（③選定／提案） .................................................................................................... 32

実施段階（④契約） ................................................................................................................ 36

実施段階（⑤モニタリング） ................................................................................................ 38

実施段階（⑥インシデント対応） ........................................................................................ 39

評価段階（⑦検収・評価） .................................................................................................... 40

4. IT サプライチェーンリスクマネジメントに対する企業の取組みの現状 ....................................... 42

4.1. アンケート調査及びインタビュー調査の仮説検討 ................................................................... 42

4.2. アンケート調査回答者属性 ........................................................................................................... 43

4.3. IT システム・サービスの業務委託の状況 ................................................................................... 44

4.4. IT サプライチェーンリスクマネジメントに関する取組み ....................................................... 48

計画段階（①方針決定・リスクアセスメント） ................................................................ 48

計画段階（②体制・ルール整備・教育） ............................................................................ 51

実施段階（③選定／提案） .................................................................................................... 65

実施段階（④契約） ................................................................................................................ 77

実施段階（⑤モニタリング） ................................................................................................ 85

ii

実施段階（⑥インシデント対応） ........................................................................................ 94

評価段階（⑦検収・評価） .................................................................................................. 101

5. まとめ .................................................................................................................................................... 102

付録 1 IT サプライチェーンで発生したインシデント事例集

付録 2 アンケート調査票

付録 3 アンケート単純集計結果

1

1. はじめに

1.1. 調査背景・目的

近年、企業における IT システム・サービスに関する業務を系列企業やビジネスパートナー等に

外部委託し、その委託が連鎖する形態1（図 1.2-1 参照。以下「IT サプライチェーン」という。）は

一般的となっている。こうした IT サプライチェーン上の組織における情報漏えい事件等の影響

は、直接の被害を受けた組織だけでなく関係する複数組織に及ぶことで、被害が想定外に拡大し

たり、問題解決が困難になる可能性もあることから、看過できない課題となっている。

しかしながら、現時点では、IT サプライチェーン上のセキュリティインシデント（以下「イン

シデント」という。）が何を原因とし、IT サプライチェーン上のどこで発生したか、その影響範囲

がどこまで及んだか等に関する詳細な分析が行われていない。また、2016 年度に実施した「情報

セキュリティに関するサプライチェーンリスクマネジメント調査」2において、IT サプライチェー

ンリスクへの企業の意識は高いものの、再委託先以降の情報セキュリティ状況の把握は難しいこ

と等の課題が挙げられ、企業において IT サプライチェーンリスクの把握とその対策が十分にでき

ていないことが示唆された。

このような背景から、本調査においては、昨年度の調査の知見も参考に、特に IT サプライチェ

ーンの委託元・委託先・再委託先・再々委託先と連鎖的に続く委託形態に注目し、インシデント

や情報セキュリティ上のリスク、並びに企業における当該リスクの防止・低減のためのマネジメ

ント（以下「IT サプライチェーンリスクマネジメント」という。）を調査・分析した。また、その

情報を広く公表することにより、我が国企業における IT サプライチェーンリスクマネジメントへ

の取組み向上に資することを目的とした。

1 後述の 2016 年度調査では、IT サプライチェーンを「IT システムの構築や関連する機器の調達における、発注

者に対して当該 IT システム等が納入されるまでの設計・開発・製造等の工程に加えて、運用・保守・廃棄に至

るまでの一連のプロセス」と定義している。2016 年度調査では、IT システムの委託や調達のプロセスに着目し

ているが、本年度調査は委託元・委託先・再委託先・再々委託先と連鎖的に続く委託形態に注目して調査を実施

した。 2 情報処理推進機構「情報セキュリティに関するサプライチェーンリスクマネジメント調査」報告書（2017 年）

https://www.ipa.go.jp/files/000058299.pdf

2

1.2. 調査のスコープ

本調査は IT サプライチェーンリスクマネジメントの実態や課題を把握、分析するため、IT シス

テム・サービスの業務委託におけるインシデント、リスク、企業の取組みを軸に幅広く調査を行

った。

調査対象とする組織としては、図 1.2-1 に示すように、IT システム・サービスの業務委託にお

いて、委託元、委託先（再委託先以降も含む）となる企業とした。

なお、IT システム・サービスの業務委託は表 1.2-1 に示すように様々な形態があるが、本調査

においては多様な視点から実態や課題を把握するため、対象となる業務委託の形態は特に限定し

ていない。

図 1.2-1 調査対象

表 1.2-1 ITシステム・サービスの業務委託の形態の例

業務委託の

形態 具体例

事業内容

PMO（プロジェクトマネジメントオフィス）

要件定義・設計

開発・テスト

運用・保守

サービス提供（ASP、SaaS 等）

インフラ提供（IaaS、ホスティング、Web サイト構築等）

データ処理・分析

事業領域

BtoB インターネットビジネス（Web サイト、広告等）

BtoC インターネットビジネス（SNS、ポータル、電子商取引、コンテンツ販売等）

情報処理サービス（クラウド等）

システム・ネットワークインテグレーション

ソフトウエア（受託開発、パッケージソフト等）

ハードウエア（情報通信機器等）

IoT（遠隔監視、データ収集等）

社内システム（バックオフィス業務等）

企業の対外的ポータルサイト

契約形態

委任（準委任）型

請負型

派遣型

委託元 委託先 再委託先 再々委託先

役務・成果物

役務・成果物

役務・成果物

契約

ITサプライチェーン仕様・要求事項

仕様・要求事項

仕様・要求事項

契約 契約

3

1.3. 調査の実施概要

本調査では、国内の IT サプライチェーンにおけるセキュリティにかかわる脅威・リスクやイン

シデント発生状況、並びに企業の対策状況について、以下に示す 3 つの調査を行い、その結果を

本報告書に取りまとめた。調査の実施イメージを図 1.3-1 に示す。

1. IT サプライチェーン上で生じるインシデントやリスクに関する文献調査

以下の観点で国内外の文献調査を行い、2.アンケート調査及び 3.インタビュー調査の調査仮

説の検討を行った。

(1) インシデント事例の調査

IT サプライチェーンにおけるインシデントの実態を把握するため、IT サプライチェー

ンで発生した国内外のインシデント事例の収集・整理・分析を行った。

(2) IT サプライチェーンリスクマネジメント関連文献の調査

IT サプライチェーンにおける契約実務、紛争対応の実態に関する調査及び基準、ガイ

ドライン及び規格等に関する調査に基づき、IT サプライチェーンリスクマネジメント

のあるべき姿やベストプラクティスの考察を行った。

2. アンケート調査

文献調査で検討した調査仮説を基に、委託元・委託先の両方の視点から、IT サプライチェ

ーンリスクマネジメントに関する企業の取組みの実態を把握するために国内企業向けの郵

送アンケート調査を行った。

3. インタビュー調査

2.のアンケート調査と併せて、IT システム・サービスの業務委託を行う企業及び IT サプラ

イチェーンリスクマネジメントに関する有識者へのインタビュー調査を行い、IT サプライ

チェーンにおけるインシデントの経験とそれに伴う対策の見直しや IT サプライチェーンリ

スクマネジメントに関する企業の取組み・課題意識について、より具体的な内容を調査した。

図 1.3-1 調査の実施イメージ

ITサプライチェーンリスクマネジメントの企業の取組みの実態を把握

1. 文献調査

(1)ITサプライチェーン上のインシデント事例調査

(2)ITサプライチェーンリスクマネジメントに関する基準、ガイドライン及び規格等に対する調査

3. インタビュー調査

ITシステム・サービスの業務委託を行う企業及び有識者へのインタビュー調査

➢ インシデントの経験と対策の見直し

➢ ITサプライチェーンリスクマネジメントに関する企業の取組みと課題意識

4. 調査報告書

公開報告書として取りまとめ

2. アンケート調査

国内企業向け郵送アンケート調査

➢ 委託元・委託先の両方の視点から、ITサプライチェーンリスクマネジメントの企業の取組みを調査

調査仮説の設定 企業の取組みの向上のための情報を提供

4

各調査の対象及び実施方法について次項以降に示す。

文献調査

インシデント事例の調査

ITサプライチェーンにおける実際のインシデントの発生状況の傾向や発生原因の特徴等から IT

サプライチェーンにおけるセキュリティ確保のポイントを明らかにするため、以下の手順で、イ

ンシデント事例の調査を実施した。調査の結果は 2.1.及び付録 1 に示す。

まず、IT サプライチェーン上で発生した国内外のインシデントのうち、過去 5 年以内に公表さ

れた事例について、報道や判例、報告書等の公開情報に関する情報源（表 2.1-1 参照）から情報収

集を行った。

収集したインシデント事例を、表 1.3-1 に示すように、インシデントの内容、発覚、原因、影

響、対応の軸で整理した。

表 1.3-1 インシデント事例の整理軸

整理軸 記載項目

インシデントの内容

・ インシデントの公表年

・ インシデントの関係者

・ 委託元の業種

・ インシデントが発生した事業分野3

発覚 ・ インシデントの発覚経緯

原因

・ インシデントの原因区分

・ インシデントの発生箇所

・ インシデントの原因内容

影響 ・ 被害内容

対応 ・ 対応内容

・ 再発防止策

インシデント事例の傾向を以下の観点で分析するとともに、IT サプライチェーンにおけるイン

シデントの典型パターンの検討を行った。

・ インシデントがどのような経緯で発覚したか

・ インシデントは、どの業務委託関係者（委託元、委託先、再委託先等）で発生したか

・ インシデントが発生した事業分野で、インシデントの発生原因に傾向があるか

3 事業分野は、次のとおり分類する。

・ インターネットビジネス事業（WEB サイト運用、コンテンツ販売、電子商取引）

・ IT ソリューション事業（SI 事業、クラウドサービス事業）

・ IoT ソリューション事業

5

ITサプライチェーンリスクマネジメント関連文献の調査

企業が IT サプライチェーンリスクマネジメントを実現する上で、指針として活用できる情報を

整理するため、IT サプライチェーンリスクマネジメントに関する以下の文献調査を行い、IT サプ

ライチェーンのリスクマネジメントのあるべき姿やベストプラクティスについて考察した。

・ IT サプライチェーンにおける契約実務、紛争対応

・ IT サプライチェーンリスクマネジメントに関する基準、ガイドライン及び規格等

具体的には、IT サプライチェーンにおける契約実務、紛争対応に関して、文献調査と有識者イ

ンタビューをもとに、紛争による企業の損害を低減するための契約実務上の防衛策を検討した。

調査の結果は 2.2.に示す。

また、IT サプライチェーンリスクマネジメントに関する基準、ガイドライン及び規格等から得

られた情報を基に、IT サプライチェーンリスクマネジメントの企業の取組みを業務委託の各プロ

セスに沿って整理し、個別のプロセスにおける取組みの例を示した。調査の結果は第 3 章に示す。

調査仮説の検討

文献調査を通じて確認した IT サプライチェーンにおけるインシデント事例と IT サプライチェ

ーンリスクマネジメントのあるべき姿やベストプラクティスを基に、企業における IT サプライチ

ェーンリスクマネジメントの取組みの実態を把握するため、アンケート調査及びインタビュー調

査の調査仮説の検討を行った。アンケート調査及びインタビュー調査は企業の取組みについて、

委託元、委託先の両方の視点から調査しており、委託元、委託先それぞれが抱える課題や両者の

意識のギャップなどを検証する観点で検討を行った。検討した調査仮説は 4.1.に示す。

アンケート調査

調査対象

文献調査で検討した調査仮説を基に、国内企業を対象とした郵送アンケート調査を実施した。

アンケート調査では、IT システム・サービスの業務委託における委託元と委託先の IT サプライチ

ェーンのリスクマネジメントに対する取組みや認識の違いを検証するため、委託元と委託先向け

の 2 種類の調査票を作成し、それぞれ IT システム・サービスの業務委託にかかわる関係部門に回

答を依頼した。委託元と委託先の調査対象を表 1.3-2 に示す。

6

表 1.3-2 アンケート調査の調査対象

分類 定義 回答を依頼した部門

① 委託元 自社事業のために IT システム・

サービス（社内システムや顧客向

けシステム）の構築・運用等を委

託するユーザ企業

・ 調達部門（IT システム・サービスの業務の

発注等を行う部門）

・ 情報システム部門・情報セキュリティ部門

・ 現場の事業部門（IT システム・サービスの

業務委託の実施を決定する部門）

② 委託先 委託元より IT システム・サービ

スの構築・運用等を受託する企業

または当該 IT システム・サービ

スの構築・運用等の再委託を受け

る企業

・ 営業部門（IT システム・サービスの業務を

受注等する部門）

・ 情報システム部門・情報セキュリティ部門

・ 現場の事業部門（IT システム・サービスの

受託業務を実施する部門）

調査においては、委託元、委託先の大企業、中小企業それぞれから 150 社以上、全体で計 600 社

以上の有効回答を確保することを目標とした。大企業と中小企業の区分については中小企業庁

定義4を参考に、委託元については従業員数 301 人以上、委託先についてはサービス業の定義であ

る従業員数 101 人以上を大企業とした。

委託元と委託先のアンケート調査票の送付対象の選定方法は以下の通りとした。

①委託元

委託元については、総務省の「経済センサス」5の日本標準産業分類に基づく従業員規模毎・業

種毎の企業数分布に則り、層別抽出（比例割当法）した。

また、IT システム・サービスを利活用している企業からの回答を十分に回収するために、経済

産業省「情報処理実態調査」6を参考に、「資本金 3,000 万円以上かつ従業員数 50 人以上」の企業

を対象とした。

委託元への調査票の発送数を表 1.3-3 に示す。

4 中小企業庁 中小企業・小規模企業者の定義

http://www.chusho.meti.go.jp/soshiki/teigi.html 5 総務省統計局 経済センサス

http://www.stat.go.jp/data/e-census/index.htm 6 経済産業省 情報処理実態調査

http://www.meti.go.jp/statistics/zyo/zyouhou/index.html

7

表 1.3-3 委託元発送数

業種区分 日本標準産業分類との対応 発送件数

大企業 中小企業

農林漁業・同協同組合、鉱業 ABC 2 15

建設業 D 39 236

製造業 E 249 963

電気・ガス・熱供給・水道業 F 3 8

情報通信業 G 51 174

運輸業、郵便業 H 65 228

卸売業、小売業 I 199 653

金融業、保険業 J 21 30

その他のサービス業 KLMNQR 199 539

教育、学習支援業 O 8 21

医療、福祉 P 12 35

合計 848 件 2,902 件

②委託先

委託先については、民間の企業データベース（帝国データバンク）に登録された業種（副業務

として登録された 1 業種を含む）のうち IT システムの構築・運用等に該当すると考えられる「ソ

フトウエア業」・「情報処理サービス業」・「情報提供サービス業」・「その他の情報サービス業」・「国

内・国際電気通信業」・「電気通信に附帯するサービス業」・「民生用電気機械器具製造業」「電子計

算機・同付属装置製造業」・「工業計器製造業」・「発電機・電動機・その他の回転電気機械製造業」

を対象に、調査票を送付した。

また、委託先も委託元と同様、経済産業省「情報処理実態調査」を参考に対象企業の規模に下

限を設けたが、IT システム・サービスの委託先には委託元と比較して小規模な企業が多いことが

想定されたため、従業員数の下限をさらに引下げ「資本金 3,000 万円以上かつ従業員数 20 人以上」

の企業を対象とした。

なお、委託先の大企業は元々の母数が少なく、委託元の大企業が副業務で IT システムの構築・

運用等を実施している可能性を考慮し、委託元の大企業に調査票を送付する際に、委託元・委託

先の 2 種類の調査票を送付した。

また、委託先の中小企業についても、委託元の情報通信業の企業については、IT システム・サ

ービスの業務を受託している可能性を考慮し、委託元・委託先の 2 種類の調査票を送付した。

委託先への調査票の発送数を表 1.3-4 に示す。

8

表 1.3-4 委託先発送数

業種区分 発送件数

ソフトウエア業

情報処理サービス業

情報提供サービス業

その他の情報サービス業

国内・国際電気通信業

電気通信に附帯するサービス業

民生用電気機械器具製造業

電子計算機・同付属装置製造業

工業計器製造業

発電機・電動機・その他の回転電気機械製造業

（上記から委託元企業との重複分を除く）

3,574 件

委託元用／委託先用の

2 種類の調査票送付対象企業

大企業 848 件

中小企業の情報通信業 174 件

合計 4,596 件

調査方法

対象企業に対しては、郵送で調査票を送付し、回答については郵送による調査票の返送と調査

専用ウェブサイトによる回答を併用した。調査は 2017 年 11 月から 12 月にかけて実施した。

調査項目

アンケート調査票の構成を表 1.3-5 に示す。

第 2 章及び第 3 章に示した文献調査の結果を基に、調査仮説の検討を行い（4.1.参照）、委託元

及び委託先に対するアンケート調査票の作成を行った。アンケート調査票の作成に当たっては、

IT サプライチェーンにおける委託元と委託先の関係性、IT サプライチェーンリスクマネジメント

の在り方等の観点から有識者 2 名にインタビューを行い、調査仮説についてアドバイスを頂いた。

基本的な設問構成は委託元及び委託先共通とし、それぞれ業務を委託する立場、業務を受託す

る立場から回答いただくことで、両者の取組みや認識の違いについて検証を行うこととした。

表 1.3-5 アンケート調査票構成

大項目 委託元調査票 委託先調査票

Ⅰ 回答企業・回答者属性 業種、企業規模、回答者所属等

Ⅱ 業務委託の状況 取引数、再委託有無、委託する業務内容等

Ⅲ

情報セキュリティに関す

る委託先管理（委託元）

受託業務における情報セ

キュリティ対策（委託先）

・ 業務委託に対するリスク評

価・方針決定

・ 体制・ルール整備

・ 委託先選定

・ 契約

・ 契約期間中の追加対応

・ 委託先の情報セキュリティ

対策の確認

・ インシデント対応

・ 受託業務に対するリスク評

価・方針決定

・ 体制・ルール整備

・ 委託元への提案

・ 契約

・ 契約期間中の追加の対応

・ 委託元による情報セキュリ

ティ対策の確認

・ インシデント対応

アンケート調査票は付録 2-1（委託元）、2-2（委託先）に示す。

9

回収結果

アンケートの回収結果を表 1.3-6 に示す。当初の回収数の目標とした委託元、委託先から各 300

件以上、計 600 件以上を大きく上回り、合計で 1,119 件の有効回答を得た。

表 1.3-6 アンケート回収結果

対象 大企業 中小企業 不明 合計

委託元 220 277 2 499

委託先 266 354 0 620

合計 1,119

アンケートの調査結果については第 4 章に詳細を示す。またアンケート調査の単純集計結果は

付録 3-1（委託元）、3-2（委託先）に示す。

インタビュー調査

1.3.2.のアンケート調査と併せて、IT サプライチェーンにおいてインシデント対応やリスクマネ

ジメントに関する知見を有する企業や有識者を対象にインタビュー調査を実施した。インタビュ

ー調査は、アンケート調査と併せて企業の IT サプライチェーンリスクマネジメントの取組みを把

握するとともに、特にアンケート調査だけでは確認することが難しい具体的な取組みや課題につ

いて情報を得るために実施した。

インタビュー調査は、アンケート調査と同様、委託元と委託先の両方を対象とした。委託先に

関しては、グローバルに IT システム・サービスを提供するアジア圏の IT 企業及び有識者も対象

とし、委託元が国内企業の場合と海外企業の場合の情報セキュリティの要求事項や IT サプライチ

ェーンリスクマネジメントの取組みの違いや、海外（アジア圏）の IT 企業に業務を委託する際に

考慮すべきリスク等についても確認することとした。

インタビュー調査の実施概要を表 1.3-7 に示す。

10

表 1.3-7 インタビュー調査実施概要

対象 インタビュー先 件数 インタビュー内容

①委託元

金融業

2 件

・ IT サプライチェーンにおける委託元

の情報セキュリティ対策に関する課

題認識と取組み

・ 委託先に求めるセキュリティ要件と

その遵守状況の確認方法

・ インシデント発生後の情報セキュリ

ティ対策の見直し方針

サービス業

②委託先

国内 IT 企業

国内 IT 企業 A

（SI 事業で従業員 101 名以上）

4 件

・ IT サプライチェーンにおける委託先

の情報セキュリティ対策に関する課

題意識と取組み

・ 委託元から求められるセキュリティ

要件の内容とその対応

・ 情報セキュリティ対策に関する委託

元と委託先の認識の違い、委託先に

おける営業と現場の認識の違い

・ インシデント発生時の委託元との責

任範囲

国内 IT 企業 B

（SI 事業で従業員 101 名以上）

国内 IT 企業 C

（SI 事業で従業員 100 名以下）

国内 IT 企業 D

（システム基盤提供で

従業員 101 名以上）

アジア圏 IT 企業

有識者

アジア圏 IT 企業

2 件

・ 委託元が国内と海外の場合の、情報

セキュリティの要求事項や IT サプ

ライチェーンリスクマネジメントの

取組みの違い

・ 海外業務委託特有のリスク（カント

リーリスク、商慣習等）の有無とそ

の対応

アジア圏 IT 有識者

③IT サプライチェーンリスク

マネジメントに関する有識者

有識者 A

2 件

・ IT サプライチェーンリスクマネジメ

ントの必要性

・ 紛争に至ったインシデント事例

・ インシデント発生時に備えた企業の

防衛策

有識者 B

11

2. ITサプライチェーンにおけるインシデントの状況（文献調査）

本章の 2.1.では文献調査により、IT サプライチェーンにおける国内外のインシデントの事例を

調査することでインシデントの実態を把握するとともに、事例から IT サプライチェーンのインシ

デント典型パターンとそれらから見える問題の解決策の検討を行った。

さらに、2.2.では IT サプライチェーンの当事者間の情報セキュリティに関する紛争について、

文献調査及び有識者によるインタビュー調査を参考に、その要因と企業が取るべき防衛策につい

て検討を行った。

2.1. ITサプライチェーンにおけるインシデント事例

近年のインシデント事例

報道や判例、報告書等の公開情報から、IT サプライチェーン上で発生した国内外のインシデン

トのうち、過去 5 年以内に公表された事例について、情報収集を行った。

インシデント事例の情報収集は、表 2.1-1 に示す手順で実施した。

表 2.1-1 インシデント事例の情報収集手順

手順

① 以下の情報源から、IT サプライチェーン上で発生した（※1）国内外のインシデントのう

ち、過去 5 年以内（※2）に公表されたものを収集した。

※1 インシデントの関係者が委託元と委託先の両方を含むもの

※2 2012 年 10 月～2017 年 10 月

＜情報源＞

・情報処理推進機構「サイバーセキュリティ経営ガイドライン解説書」別添：被害事例集

・情報処理推進機構「組織における内部不正防止ガイドライン」付録 1：内部不正事例集

・三井物産セキュアディレクション｢サイバーセキュリティ事件簿｣

・日本ネットワークセキュリティ協会｢情報セキュリティインシデントに関する調査報告

－個人情報漏えい編｣

・Security NEXT「個人情報漏洩事件・事故一覧」

・サイバーセキュリティ.com「セキュリティインシデント事例」

① ①を基に、委託元の業種及び原因区分の網羅性、インシデント被害のインパクトの観点で

約 50 件抽出し、一次情報（※3）を収集した。

※3 インシデントの関係者自身がインターネット等で情報を公表しているもの

表 2.1-1 の手順に従って収集した事例は、付録 1 に示す。表 2.1-2 は、付録 1 のサンプルであ

り、表 2.1-3 の項目で整理した。収集したインシデント事例の委託元業種と原因区分の属性は、表

2.1-4 に示す。

12

表 2.1-2 ITサプライチェーンにおけるインシデント事例集（付録 1.のサンプル）

発覚

公表年 関係者委託元

業種発覚経緯

原因

区分

発生

箇所原因内容

1 2012年

再委託

先

委託先

委託元

顧客

卸売

業、小

売業

インター

ネットビ

ジネス事

業

電子商

取引

利用者から、委託先の

顧客情報の一部がイン

ターネット上で閲覧可能

な状況であると連絡が

あった。

SWのバ

グ

再委託

先

委託先が商品発送管

理を委託している再委

託先で、システム仕様

上の脆弱性があった。

2 2013年

委託先

委託元

顧客

卸売

業、小

売業

インター

ネットビ

ジネス事

業

WEBサ

イト運用

委託元のWebサイト担

当者が会員向けサービ

スのデータに異常がある

のを発見した。

不正アク

セス委託先

委託元のWEBサイトの

一部サーバに対して不

正アクセスの痕跡があっ

た。WEBサイトは、委

託先で運営していた。

N

o

インシデントの内容 原因

事業分野

影響

被害内容 対応内容 再発防止策

～委託先顧客の個人情

報が数千万件漏えいし

た。

安全性が確認できるま

でインターネット商品販

売を停止した。

情報漏えいの可能性の

ある顧客に個別にお詫

びをした。

所管官庁へ報告した。

委託先選定、システム選定でのセ

キュリティ基準を強化した。

従業員に対してセキュリティ教育を実

施した。

定期的な内部監査を実施した。

委託先を変更した。新委託先のシス

テム導入時には第三者機関によるセ

キュリティ調査を実施した。

委託元の他システムでも第三者機

関調査を実施し、システム上の脆弱

性は存在しないことを確認した。

会員の個人情報が改

ざんされた。

改ざんが確認された

サーバーには、数十万

件の会員の個人情報

が保存されていた。

警察署に被害届を提

出した。

発生日から発生日の約

2ヶ月後までサービスを

停止した。

ー

対応

13

表 2.1-3 インシデント事例集の項目説明

整理軸 項目名称 項目の説明 記載ルール

インシデント

の内容

公表年 インシデントを

公表した年

西暦表記

関係者 インシデントに

関係した主体

委託元・委託先・再委託先・再々委託先・顧客の

うちインシデントに関係した主体を全て記載

委託元業種 委託元の業種

表 1.3-3 に次の 3 区分を追加

・ 国家公務、地方公務

・ 公益法人、社団法人、財団法人、NPO 法人

・ 教育機関

事業分野

インシデントが

発生した

事業分野

次の分類で記載

・ インターネットビジネス事業（WEB サイト

運用、コンテンツ販売、電子商取引）

・ IT ソリューション事業（SI 事業、クラウド

サービス事業）

・ IoT ソリューション事業

発覚 発覚経緯 インシデントが

発覚した方法

インシデントがどのように発覚したかを記載

原因

原因区分 インシデントの

原因区分

次の分類で記載

・ 不正アクセス

・ ウイルス（明確に原因がウイルス感染とさ

れているもの）

・ ソフトウエア（SW）のバグ

・ 内部不正（明確に原因が内部犯行とされて

いるもの）

・ 人的ミス（システム設定におけるオペレー

ションミスやメールの誤送信など、原因が

人が介在したミスであるもの）

・ 盗難・紛失

発生箇所 インシデントが

発生した関係者

委託元・委託先・再委託先・再々委託先・顧客の

うち、インシデントが発生した主体

原因内容 インシデントが

発生した原因

インシデントが発生した原因を記載

影響 被害内容 インシデントに

よる被害内容

インシデントにより、誰がどのような被害にあっ

たかを記載

対応

対応内容 インシデント

発生後の対応

インシデントに対してどのような対応をとったか

を記載

再発防止策 インシデントの

再発防止策

インシデントの再発防止のためにどのような対応

をしたか記載

14

表 2.1-4 インシデント事例集の属性

委託元業種

原因区分

不正ア

クセス

ウイル

ス

SW の

バグ

内部

不正

人的

ミス

盗難・

紛失

製造業 1

1

電気・ガス・熱供給・水道業

1

1

情報通信業 1

1

1

運輸業、郵便業

1

卸売業、小売業 8

2

金融業、保険業 1

1

その他のサービス業 7 1

1 1

教育、学習支援業

2

医療、福祉 1

国家公務、地方公務 8 1

3 1

公益法人、社団法人、財団法人、

NPO 法人

1

教育機関 2

3

単位：件

収集したインシデント事例を、次の観点で分析した。

・ インシデントがどのような経緯で発覚したか

・ インシデントは、どの業務委託関係者（委託元、委託先、再委託先等）で発生したか

・ インシデントが発生した事業分野で、インシデントの発生原因に傾向があるか

前述のとおり、インシデント事例の情報収集は、インターネット等で公表されているものを対

象としている。また、インシデント事例は、委託元業種及び原因区分の網羅性、インシデント被

害のインパクトの観点で約 50 件抽出している。そのため、以下のインシデント事例の分析は、

公開情報のうち意図的に抽出したものに対して実施しており、発生したインシデント全体の傾向

でない点に注意が必要である。

インシデントが発覚する主体（委託元、委託先、顧客）によって発覚経緯に特徴がある。

公表情報から得られる IT サプライチェーンにおけるインシデント事例では、委託元、委託先、

顧客のいずれからも発覚するケースがあったが、その発覚経緯に特徴があった。

委託元から発覚するケースは、委託元が業務中に WEB サイトの改ざん（参考事例は、付録 1 事

例 No.14, 25, 46）やシステムの動作やデータの異常（参考事例は、付録 1 事例 No.2, 26, 40）を発

見している。

委託先から発覚するケースは、個人情報が保存された端末、電子媒体、携帯電話の紛失（参考

事例は、付録 1 事例 No.17, 24）とシステム運用中の異常検知（参考事例は、付録 1 事例 No.30, 43,

51）である。

顧客から発覚するケースは、クレジットカードの不正利用（参考事例は、付録 1 事例 No.38, 45）

15

やインターネット上への顧客情報漏えい（参考事例は、付録 1 事例 No.1, 5, 12）など、被害がある

ことに気付いた顧客から指摘される事例がある。

インシデントの発生箇所は委託先が多い

インシデントの発生箇所は委託先が最も多く 42 件であったが、再委託先や再々委託先での事例

もあった。

委託先で発生するケースは、委託元から運営委託された WEB サイトや EC サイトに対する不正

アクセスの事例があった。（参考事例は、付録 1 事例 No.2, 14, 33 等）

再委託先で発生するケースでは、再委託先以降の社員による内部不正で、顧客の個人情報を窃

取する事例もある。（参考事例は、付録 1 事例 No.10, 19）

事業分野ごとに、インシデントの原因に特徴がある

表 2.1-5 では、インシデントが発生した「事業分野」×「原因区分」ごとに、インシデント件数

を集計した。

(a)インターネットビジネス事業では、不正アクセスが原因のインシデントが発生している

インターネットビジネス事業では、インシデントの原因として不正アクセスが多い。（表 2.1-5

参照）

インターネットビジネス事業では、運営されるシステムがインターネットに公開されているこ

とから、委託先には最新の脅威や攻撃等を把握しつつ適切な対策を行う技術力が要求される。そ

の一方で、委託元では委託先の技術力を確認できる人材、スキルがないために、適切な判断・指

示が行えず、大規模な情報漏えいが発生する可能性がある。（参考事例は、付録 1 事例 No36, 42,

45 等）

(b)ITソリューション事業の SI事業では、委託先による内部不正が原因となるインシデントが発

生している

IT ソリューション事業の SI 事業では、他の事業分野では見られなかった、委託元の顧客のクレ

ジットカード情報の窃取による不正利用や、委託元からの機密情報の不正取得等、委託先での内

部不正が原因となるインシデントが発生している。（表 2.1-5 参照）

個人情報などの重要情報を扱うシステム開発・保守の業務委託では、情報の保護の観点から、

委託元に常駐型での作業となるケースが多い。常駐者が作業を実施するために、システムのアク

セス権を付与する必要があり、その作業内容によっては、委託元の情報システムの運用者レベル

の高いアクセス権限を付与する場合もある。一方、委託元で常駐者に対する管理がセキュリティ

規定で整備されていない場合があり、そのために監査対象から抜け落ちてしまうという問題が生

じる可能性もある。正規の権限を持つ内部者による犯行の場合、被害の発覚に至るまで時間を要

する場合もある。被害を受けた委託元においては、技術的対策とともに委託先の従業者に対する

16

人的管理面での対策の見直しが行われている。（参考事例は、付録 1 事例 No10, 16, 19）

(c)IT ソリューション事業のクラウドサービス事業では、委託元と委託先の責任範囲の認識齟齬

が原因となるインシデントが発生している

IT ソリューション事業のクラウドサービス事業では、人的なアクセス権限付与ミスが原因とな

るインシデントが発生している。（表 2.1-5 参照）

近年、クラウドサービス事業では、情報セキュリティ確保をサービスのアピールポイントの 1

つと位置付け、SLA（Service Level Agreement）や第三者監査などの取組みにも積極的であること

から、高い水準の技術的対策が実施されていることが多く、インシデントの発生は多くない。一

方で、クラウドサービスは安価な利用料金で多数のユーザにサービスを提供する性質上、環境や

アプリケーションのみを提供して、具体的なサービスの利用設定等については利用者側の責任で

実施する形態のものも多い。サービス設定等はクラウド事業者が全て実施するものと、利用者が

思い込んでいる場合、クラウド事業者とその利用者間でサービスに対する認識齟齬が原因となり、

アクセス権限付与ミス等の人的要因によるインシデントが発生する事例もある。（参考事例は、付

録 1 事例 No26, 27）

表 2.1-5 インシデント事例集の事業分野×原因区分ごとの件数

事業分野

原因区分

不正ア

クセス

ウイル

ス

SW の

バグ

内部

不正

人的

ミス

盗難

・紛失

インターネットビジネス事業 28 2 3

3 1

IT ソリューション事業 1 1

4 5 3

IoT ソリューション事業

1

単位：件

インシデントの典型パターン

2.1.1.の IT サプライチェーンにおけるインシデント事例の分析から、2.1.1.(3)の事業分野ごとに

発生しやすい原因に注目し、事業と原因の観点で、インシデントの典型パターンを作成した。

・ インシデント典型パターン 1 インターネットビジネス事業×不正アクセス

・ インシデント典型パターン 2 IT ソリューション事業（SI 事業）×内部不正

・ インシデント典型パターン 3 IT ソリューション事業（クラウドサービス事業）×人的ミス

なお、IoT ソリューション事業に関しては、今回調査対象の事業分野の 1 つとして含めたものの

公表されているインシデント事例は殆ど確認できなかったため、インシデントの典型パターンに

は含めていない。IoT については、サービスの提供が本格的に始まった段階であり、IT サプライ

チェーンに起因するインシデントが起きた際の課題については、今後徐々に議論になっていくと

考えられる。

17

インシデント典型パターン 1 インターネットビジネス事業×不正アクセス

図 2.1-1 では、委託元ではインターネットビジネスを展開しており、そのシステム運用を外部

企業に業務委託していることを想定する。インシデントの関係者は、委託元の顧客、委託元、委

託先、第三者である。①顧客から委託元への問合せを起点に、②委託元が委託先に調査を依頼し

たところ、③システムの脆弱性を突いた悪意ある第三者からの不正アクセスにより、顧客の個人

情報が漏えいしていたことが判明した。④委託先はただちにシステムの脆弱性対策を実施すると

ともに、⑤委託元は顧客への説明と謝罪をした。（参考事例は、付録 1 事例 No38, 44, 45）

インターネットに公開されるシステムの運用については、委託先に専門的な知識と高い技術力

が要求される。特に個人情報やクレジットカード情報等を取り扱う場合においては、委託元と委

託先の間で、適切な情報セキュリティ対策について合意するとともに、新たな脆弱性や攻撃手法

等の脅威が発生した際の情報共有・対応について合意することが望ましい。（3.3.2.及び 3.3.3.参照）

インタビュー調査では、インシデント発生後に、管理するシステムに対して適切なレベルの情

報セキュリティ対策を実施するため、グループ会社を含めたシステムの棚卸しや保有情報の確認

を行うとともに、グループ企業全体でセキュリティに関する情報共有やセキュリティ教育を整備・

実施したという事例があった。

図 2.1-1 インターネットビジネス事業×不正アクセスでのインシデント典型パターン

18

インシデント典型パターン 2 ITソリューション事業（SI事業）×内部不正

図 2.1-2 では、委託元は、重要情報を含んだシステムの運用を外部企業に業務委託しており、委

託先はその一部運用を再委託先に業務委託していることを想定する。インシデントの関係者は、

委託元の顧客、委託元、委託先、再委託先である。①委託元でのアクセスログ確認を起点に、②

委託元が委託先に調査を依頼したところ、再委託先で重要情報を不正取得していたことが判明し

た。③その原因は、業務委託において、重要情報へのアクセス権限が作業者 1 人に集中していた

ことであった。④委託先、再委託先はただちにシステムの運用体制の見直しを実施するとともに、

⑤委託元は顧客への説明と謝罪をした。（参考事例は、付録 1 事例 No10, 16, 19）

委託元においては、内部不正を防止する観点で、委託先の人的管理について情報セキュリティ

の要求事項の中で明示するとともに、その実施状況を定期的・継続的に確認することが望ましい。

（3.3.3.(1)参照）

インタビュー調査では、再委託先以降にも委託先と同じセキュリティ対策を実施するよう要求

しており、人的管理に関しては、担当者が同一業務に長期滞留しないようにすること、及び担当

者 1 人に権限集中しないようにすることを求める対策をとったという事例があった。

図 2.1-2 ITソリューション事業（SI事業）×内部不正でのインシデント典型パターン

顧客 委託元 委託先 再委託先

調査依頼アクセスログの確認

運用会社

再委託先管理の徹底

調査依頼

顧客の個人情報

運用体制の見直し

顧客の個人情報

一部委託

インシデント内容

発

覚

対

応

個人情報氏名、住所電話番号クレジット番号

重要業務の一部委託

謝罪、説明

再発防止対策

企業イメージダウン

………….…………..…………….

権限集中

内部不正

内部不正が判明

逮捕

アクセスが多い

① ②

③

④⑤

④

19

インシデント典型パターン 3 ITソリューション事業（クラウドサービス事業）×人的ミス

図 2.1-3 では、委託元の社内システムはクラウドを利用して運営していることを想定する。イ

ンシデントの関係者は、委託元の顧客、委託元、委託先（クラウド事業者）である。①委託元で

は、社内のグループごとに顧客との取引情報を整理しており、顧客との取決めで取引情報は関係

者限りとしている。そのため、システムでは他グループの取引情報を照会不可とすべきところ、

実際には他グループの情報も照会できる状態になっていたことが委託元で判明した。②委託元で

はグループごとのアクセス権限付与は、社内システム運営を委託しているクラウド事業者側で当

然実施されるものと考えていたが、③委託先のクラウド事業者としては社内のアクセス権限付与

は委託元の責任で実施するものと切り分けしていた。④このように、アクセス権限付与の作業範

囲が曖昧であったため、委託元と委託先で認識齟齬が生じてしまった。⑤委託先は委託元に作業

範囲の説明を実施し、⑥委託元は顧客への説明と謝罪をした。（参考事例は、付録 1 事例 No26, 27）

クラウドサービスによっては、委託元にも一定の知識・スキルが要求されるものも多く、サー

ビスの利用に当たり、委託元でサービス内容について十分に確認する必要がある。（3.3.4.参照）

クラウドサービスを提供している IT 企業のインタビュー調査では、パブリッククラウドサービ

スについて、委託元と委託先の責任範囲を約款、SLA、マニュアル等で明確化（公開）している。

また、委託元から求められるセキュリティ要求について、その重要性に応じて、クラウドサービ

スの機能として追加する等の対応を実施している。

図 2.1-3 ITソリューション事業（クラウドサービス事業）×人的ミスでの

インシデント典型パターン

20

2.2. ITサプライチェーンにおけるインシデントにかかわる紛争の状況

IT サプライチェーンで発生したインシデントにより発生した損害に関して、委託元、委託先、

その他関係先等の当事者同士の話合いによる解決や直接交渉による示談が難しい場合、損害賠償

や費用請求を巡って訴訟や調停、ADR（裁判外紛争解決手続）等、裁判所や第三者が介在した紛

争解決に至るケースがある。紛争の種類によっても異なるが、紛争の解決は数年に及ぶこともあ

り、紛争期間中の対応にかかる費用や関係者の負担は、企業にとって大きな損失となる。近年 IT

サプライチェーン上で発生した情報セキュリティにかかわるインシデントで、紛争に至った主な

事例を表 2.2-1 に示す。いずれの事例も発生から解決に至るまで 2～3 年を要している。

IT システム・サービスの取引の全体の中で、インシデントが発生し、かつ実際に紛争にまで至

る割合はそれほど高くはないと考えられるが、インシデントの場合、その発生が予測できない場

合も多く、インシデントの被害内容によっては大きな損害が発生する可能性もある。例えば、表

2.2-1 に示す事例ではそれぞれ数千万円単位の損害が発生している。企業としてインシデントの発

生、さらに紛争に至った場合のリスクを想定して防衛策を講じておくことが重要である。

表 2.2-1 ITサプライチェーンにおけるインシデントにかかわる紛争の事例

判決 発生時期 概要 認められた損害

東京地裁

平成 25 年 3 月 19 日判決

（平成 23(ワ)39121）

平成 22年

7～11 月

クーポン共同購入サイトの運営会

社がサイトから顧客のクレジット

カード情報を最大 603 件流出させ

た。同運営会社（委託元）が利用し

ていたクレジットカード決済代行

サービス業者（委託先）が、同運営

会社に（委託元）に対して、適切な

情報セキュリティ対策を実施しな

かったとして債務不履行に基づく

損害賠償を請求。

関係先への違約

金、事故調査費用

（ 1617 万 5630

円）、PCI-DSS 再

取得費用（111 万

3720 円）等

東京地裁

平成 26 年１月 23 日判決

（平成 23(ワ)32060）

平成 23年

4 月

あるウェブ受注サイトを運営する

ユーザ企業がそのサイトの開発・保

守をベンダに委託していたが、顧客

のクレジットカード情報が暗号化

等の対策が採られていないレンタ

ルサーバ上に保存されていたこと

で、サーバが SQL インジェクショ

ンを受け、顧客のクレジットカード

情報が１万件弱流出した。

ユーザ企業（委託元）は、ベンダ（委

託先）に債務不履行に基づく約 1 億

900 万の損害賠償を請求。

計 3231万 9568円

（顧客への謝罪

関係費用、顧客へ

の問合せ対応費

用、調査費用、売

上損失等）

※ただし、原告の

過失相殺により、

請求金額は 3 割

減殺された。

なお、委託契約の

代金は 2074 万

1175 円だった。

松島淳也、伊藤雅浩『システム開発紛争ハンドブック ―発注から運用までの実務対応―』LexisNexis（2015）

等を基に作成

21

IT サプライチェーンにおける情報セキュリティインシデントに関して、紛争に至る要因として、

文献7や有識者インタビューの結果も踏まえ、以下の 2 点に注目した。

情報セキュリティの要求事項に関する合意文書がない

本来、委託する業務で確保すべき情報セキュリティレベルは、委託元からの仕様書の要求事項

と委託先の提案に基づき契約書として合意するとともに、プロジェクト初期段階で要件定義書、

基本設計書、運用手順書等の形で具体的な要件まで明示されることが基本となる。また、インシ

デント等により損害が発生した場合の双方の責任範囲についても、契約書で明示されることが重

要となる。

一方で、セキュリティのような非機能要件については、明確な合意がないまま進められたり、

限られた予算の中で他の要件を優先するために、本来必要な要件であっても断念するなどの調整

の対象になってしまうこともある。セキュリティ要件が曖昧なまま開発や運用が進み、結果とし

てインシデントが発生した場合、当事者が被った損害の責任をめぐって当事者間での紛争に至る

場合がある。

平成 25 年 3 月 19 日判決の事例では、委託元が同意した委託先のサービスの約款において、契

約者はクレジットカード情報を第三者に閲覧、改ざんまたは破壊されないための措置をとるいう

という内容が含まれていたものの、同措置の具体的な内容について両者の間で合意されておらず、

委託元が上記の義務を履行していたといえるかが争点となった。判決では、委託元がクレジット

カード情報を扱うウェブサイトについて、それに応じた情報セキュリティ対策を実施し、サイト

を適切に管理する義務を履行していなかったと判断された。

平成 26 年 1 月 23 日判決の事例でも、委託先が個人情報を取り扱う事業者として、適切な水準

の情報セキュリティ対策を実施していたかが争点の 1 つとなった。判決では、委託元から明確な

指示がない場合においても、委託先は IT の専門家として、その時点の技術水準に沿ったセキュリ

ティ対策を実施することが黙示的に合意されていたとして、委託先において適切な SQL インジェ

クション対策が採られたアプリケーションを提供すべき債務の不履行があったと認めている。一

方、委託元も委託先から情報セキュリティ対策の提案や注意喚起があった場合は、これに真摯に

対応し何らかの対応を実施するなどの協力義務があるとされている。

このように紛争では、委託先がインシデントを防止するために講ずべき義務違反（債務不履行）

の有無が争点となるが、義務の範囲、程度を画定する際には、契約書等の合意文書をはじめ、議

事録などの委託元と委託先のやりとりも重要な証跡となる。また、明確な合意が存在しない場合

には、その時点における IT 技術や脅威のトレンドなどの社会通念も斟酌される（平成 26 年 1 月

23 日判決の事例参照）。

例えば、委託先においては、依頼時点での委託元からの明確な指示の有無にかかわらず、受託

業務で扱う情報資産やリスクに基づく情報セキュリティ対策について提案の中で明示するととも

7 伊藤雅浩、久礼美紀子、高瀬亜富『IT ビジネスの契約実務』商事法務（2017 年）

松島淳也、伊藤雅浩『システム開発紛争ハンドブック ―発注から運用までの実務対応―』LexisNexis（2015

年）

細川義洋『紛争事例に学ぶ IT ユーザの心得【契約・費用・法律編】』翔泳社（2017 年）

22

に、提案の範囲に含まれない対策が考えられる場合には、追加の費用見積とともにその必要性や

効果を説明することが重要である。委託元も委託先からの提案に対して真摯に検討を行い、その

是非について判断を示すことが求められる。

なお、委託先が実施すべき情報セキュリティ対策の水準は IT 技術や脅威のトレンドによって変

化していくものであるため、契約時点で合意した情報セキュリティの要件が、開発の過程や運用

段階では不十分な対策になっている可能性もある。開発・運用・保守が長期にわたる場合は、委

託元・委託先の間で情報セキュリティ対策の妥当性に関して継続的に確認、改善を行うための仕

組みを予め合意しておくことも有効である。

インシデントが発生した際の損害に対する責任の負担が十分検討されていない。

IT サプライチェーンにおいて、情報漏えい等の情報セキュリティ上のインシデントが発生した

場合、被害の範囲によっては、顧客（被害者）への賠償や原因究明にかかる調査費用などの金銭

的被害が、委託する業務自体の契約金額と比較して非常に大きくなる場合がある。業務委託契約

において、委託先の損害賠償金額に契約金額やサービスの利用料金で上限を設定する条項（責任

制限条項）は一般的であるが、上記の場合、委託元は損害賠償だけでは実際の被害を補填できな

い可能性がある。一方、委託先も責任制限条項だけではリスクヘッジとして十分でない可能性が

ある。例えば、上記の平成 26 年１月 23 日判決では委託先の重過失が認められたため、責任制限

条項は適用されないとされた。

このように、契約上の制限だけでは、委託元、委託先ともに情報セキュリティ上のインシデン

トによる損害に対応できない可能性もある。経済産業省の「～情報システム・モデル取引・契約

書～（受託開発（一部企画を含む）、保守運用）〈第一版〉」8では、情報システムの契約における損

害賠償責任の範囲、上限額について、情報システムの信頼性の向上の観点からユーザ企業（委託

元）とベンダ（委託先）の双方が、リスクの性質・規模を的確に認識し、管理の仕方を検討するこ

とを前提とし、さらに、「両者が責任の負担を検討することにより、リスクを軽減するための具体

的な対策（例えば、十分なテスト期間の確保、データの二重化、運用回避策等）や、保険制度等に

よるリスクヘッジの必要性・コストを十分に検討することが期待される」としている。また、経

済産業省「サイバーセキュリティ経営ガイドライン Ver 2.0」でも、重要 10 項目のうち「指示 9:

ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」について、

「緊急時に備え、委託先に起因する被害に対するリスクマネーの確保として、委託先がサイバー

保険に加入していることが望ましい」としている。これらの文献でも示されているように、近年

リスクヘッジの手段としてインシデントで発生した損害を包括的に補償する情報セキュリティ保

険のサービスの提供が広がっており、こうしたサービスを利用することも有効と考えられる。

業務委託の実施においては、委託元、委託先双方で業務委託における十分なリスクアセスメン

トを行った上で、必要な情報セキュリティ対策について合意することを前提に、契約上の取決め

や保険等の適用による包括的な視点からリスクへの対応を検討することが重要である。

8 経済産業省「～情報システム・モデル取引・契約書～（受託開発（一部企画を含む）、保守運用）〈第一版〉」

（2007 年）

http://www.meti.go.jp/policy/it_policy/keiyaku/model_keiyakusyo.pdf

23

3. ITサプライチェーンリスクマネジメントの標準と考え方（文献調査）

本章では、IT サプライチェーンリスクマネジメントに関する標準について、基準、ガイドライ

ン及び規格等に対する文献調査、並びに有識者に対するインタビュー調査を行った。文献やイン

タビュー等から得られた IT サプライチェーンリスクマネジメントの考え方や実施方法等につい

て、IT システム・サービスの業務委託のプロセスに沿って検討を行った。

3.1. ITサプライチェーンリスクマネジメントに関する基準、ガイドライン及び規格等

国内の動向

IT サプライチェーンリスクマネジメントに関しては 10 年以上前から国内外でその重要性が指

摘されている。国内では 2005 年の個人情報の保護に関する法律（平成 15 年法律第 57 号）の全

面施行により企業における個人情報の管理が課題となる中、業務委託先や関係先による個人情報

漏えい等のインシデントが相次いだ9ことで、委託先管理の重要性も認識されることになった。個

人情報保護法に基づく具体的な指針は、同法施行以後各省庁によって整備されていたが、改正個

人情報保護法の全面施行日（2017 年 5 月 30 日）以降、個人情報保護委員会のガイドライン①「個

人情報の保護に関する法律についてのガイドライン（通則編）」10に原則一元化された。

さらに、グローバル化の流れで企業の海外アウトソーシングの利用が広がった結果、企業の機

密情報の海外への流出が我が国の経済安全保障上の問題にも繋がりかねないとの問題意識が広が

ったことから、企業が社会的責任を果たすという観点からも委託先や取引先を含めた情報セキュ

リティ体制の構築が必要とされた。このような背景も踏まえ、経済産業省においては、2007 年度

から情報セキュリティガバナンスの確立・普及のための施策に取り組み11、その一環として企業が

アウトソーシングを行うに際して、リスク分析に基づき適切な情報セキュリティ対策を施すため

のガイダンスとして、2009年に②「アウトソーシングに関する情報セキュリティ対策ガイダンス」

12を取りまとめている。さらに、2012 年には、経済産業省の委託事業として、特定非営利活動法

人日本セキュリティ監査協会（JASA）がサプライチェーンに参加する企業が順守すべき最低限の

情報セキュリティ管理を示した③「サプライチェーン情報セキュリティ管理基準」の策定を行っ

ている。

また、近年では省庁等に対するサイバー攻撃が増加していることも踏まえ、国家安全保障上の

観点からも情報セキュリティ上のサプライチェーンリスクへの対応が重視されている。内閣サイ

9 情報処理推進機構「情報セキュリティ白書 2006 年版」（2006 年）

https://www.ipa.go.jp/files/000016951.pdf

2005 年の情報セキュリティの 10 大脅威として、SQL インジェクションによる不正アクセス被害、Winny を通

じたウイルス感染による個人情報漏えいの多発といった個人情報漏えいのインシデントが取り上げられている。 10 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」（2016 年）

https://www.ppc.go.jp/files/pdf/guidelines01.pdf 11 経済産業省 情報セキュリティ対策ポータル 情報セキュリティガバナンスとは

http://www.meti.go.jp/policy/netsecurity/sec_gov-TopPage.html 12 経済産業省「アウトソーシングに関する情報セキュリティ対策ガイダンス」（2008 年）

http://www.meti.go.jp/policy/netsecurity/docs/secgov/2009_OutsourcingJohoSecurityTaisakuGuidance.pdf

24

バーセキュリティセンターが定める④「政府機関等の情報セキュリティ対策のための統一基準群」

13においては、情報システムの構築やアプリケーションの開発等の外部委託や機器等の調達に際

した遵守事項を示すとともに、当該遵守事項を適切に実施するための調達仕様書策定について解

説した⑤「外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕

様書策定手引書」14を 2016 年に策定している。なお、同手引書ではグローバルなサプライチェー

ンリスクにも対応するため、後述の国際規格⑬ISO/IEC 27036:2014 の内容を一部取り入れている。

また、2015 年には、経営者が認識すべきサイバーセキュリティに関するガイドラインとして、

経済産業省が⑥「サイバーセキュリティ経営ガイドライン」を取りまとめ、2017 年には Ver 2.0 に

改訂されている。同ガイドラインでは、「経営者が認識すべき 3 原則」の 1 つとして、ビジネスパ

ートナーや委託先も含めたサプライチェーンに対するセキュリティ対策の必要性を提示している。

国内の IT サプライチェーンリスクマネジメントにかかわる主な基準、ガイドライン及び規格等

を表 3.1-1 に示す。

表 3.1-1 国内の主な基準、ガイドライン及び規格等

基準、ガイドライン及び規格等 概要

① 個人情報保護委員会「個

人情報の保護に関する法

律についてのガイドライン

（通則編）」（2016年）

個人情報保護法の具体的な指針を示すガイドライン。個人情報保護法

第 22 条の委託先の監督について、委託先において個人データに対す

る安全管理措置が適切に講じられるよう必要かつ適切な監督をするため

の指針が示されている。

② 経済産業省「アウトソーシ

ングに関する情報セキュリ

ティ対策ガイダンス」（2008

年）

企業が実施するアウトソーシングにおいて、計画、実行・評価、改善の各

プロセスに沿ってリスク管理体制を構築・実施するためのガイダンス。ア

ウトソーシングにおける情報セキュリティリスクを整理している。

③ JASA「サプライチェーン情

報セキュリティ管理基準」

（2012年）

IPA の情報セキュリティ対策ベンチマーク（JIS Q 27002 をベース）を基

に、委託先等の情報セキュリティ管理策を「サプライチェーンにおいて重

視する事項」として整理し、その実装・運用の指針を詳細に示している。

④ NISC「政府機関等の情報

セキュリティ対策のための

統一基準群」（2016年）

国の行政機関及び独立行政法人等の情報セキュリティ水準を向上させ

るための統一的な枠組み。外部委託の実施に際して、情報セキュリティ

対策を実施することを委託先選定条件とし、仕様内容にも含めるよう規定

している。

⑤ NISC「外部委託等におけ

る情報セキュリティ上のサ

プライチェーン・リスク対応

のための仕様書策定手引

書」（2016年）

④に示された情報システムの構築等の外部委託や機器等の調達におけ

る情報セキュリティ確保の要求に対して、情報セキュリティ対策要件の定

め方や仕様書への記載事項の例を示している。対策の考え方や具体的

な対策事項の記述に関しては ISO/IEC 27036 の策定内容を参考にして

いる。

⑥ 経済産業省「サイバーセキ

ュリティ経営ガイドライン

Ver2.0」（2017年）15

企業が IT の利活用を推進していく中で、経営者が認識すべきサイバ

ーセキュリティに関する原則や、経営者のリーダーシップによって取り組

むべき項目を取りまとめたガイドライン。経営者が認識すべき 3 原則の 1

つとしてサプライチェーンに対するセキュリティ対策の必要性を提示して

いる。

13 内閣サイバーセキュリティセンター「政府機関等の情報セキュリティ対策のための統一基準群」（2016 年）

https://www.nisc.go.jp/active/general/kijun28.html 14 内閣サイバーセキュリティセンター「外部委託等における情報セキュリティ上のサプライチェーン・リスク対

応のための仕様書策定手引書」（2016 年）

https://www.nisc.go.jp/active/general/pdf/risktaiou28.pdf 15 経済産業省「サイバーセキュリティ経営ガイドライン Ver 2.0」（2017 年）

http://www.meti.go.jp/press/2017/11/20171116003/20171116003-1.pdf

25

海外の動向

米国では 2008 年に当時のブッシュ大統領の指示で策定されたサイバーセキュリティ戦略

（Comprehensive National Cybersecurity Initiative : CNCI）の中で、グローバルなサプライチェーン

リスクマネジメントのための多方面のアプローチが必要との方針が示された。これを受けて、国

立標準技術研究所（NIST）では、米国連邦政府の情報システムにおける推奨情報セキュリティ管

理策集⑦NIST SP 800-5316をベースにした、米国連邦政府の ICT システムや製品等の調達における

情報セキュリティに関するプラクティス集⑧NIST IR 762217の策定が進められた。現在、NIST IR

7622 の内容は⑨NIST SP 800-16118に移行され、一部の連邦政府機関では情報システムの調達に際

して NIST SP 800-161 への遵守が義務付けられている。また、米国連邦政府のクラウドサービスの

利用に関して、米国連邦政府として利用可能なサービスを認証する⑩FedRAMP19というプログラ

ムの運用が 2012 年から開始されている。米国連邦政府外のシステムと組織における管理された非

格付け情報20の保護については⑪NIST SP800-17121が制定されている。米国国防総省では、防衛装

備品などを納める全世界の委託先に対して、2017 年 12 月 31 日までに NIST SP800-171 の定める

セキュリティ対策基準への対応を要請する米国防衛装備品調達に関する通達22を発行している。

NIST SP 800-161 の策定は、国際標準化にも影響を与えており、NIST SP 800-161 の作成者が中

心となって⑫ISO/IEC 27002 の供給者関係に関する管理策を詳細化する形で、IT の製品・サービス

の調達における管理策をまとめた⑬ISO/IEC 27036:2014 が策定されている。なお、2016 年度調査

において NIST SP 800-161 の策定経緯や考え方、政府機関や民間における取組み状況ついて NIST

にヒアリングを実施しているので、詳細はこちらを参照されたい23。

また、NIST が発行する米国重要インフラ向けサイバーセキュリティフレームワーク⑭

Framework for Improving Critical Infrastructure Cybersecurity24について、現在 1.1 版の改訂作業が行

16 NIST SP 800-53 Revision 4: Security and Privacy Controls for Federal Information Systems and

Organizations（2013 年）

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf 17 NIST IR 7622: Notional Supply Chain Risk Management Practices for Federal Information Systems

（2012 年）

http://nvlpubs.nist.gov/nistpubs/ir/2012/NIST.IR.7622.pdf 18 NIST SP 800-161: Supply Chain Risk Management Practices for Federal Information Systems and

Organizations（2015 年）

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161.pdf 19 FedRAMP: Federal Risk and Authorization Management Program

https://www.fedramp.gov/ 20 管理された非格付け情報（Controlled Unclassified Information）は米国連邦政府機関ごとに定められた重要

情報である。 21 NIST SP 800-171 Revision 1: Protecting Controlled Unclassified Information in Nonfederal Systems and

Organizations（2016 年）

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r1.pdf 22 2016 年 10 月に発行された「DFARS 252.204-7012 Safeguarding Covered Defense Information and Cyber

Incident Reporting.」を指す。 23 情報処理推進機構「情報セキュリティに関するサプライチェーンリスクマネジメント調査」報告書（2017

年）参考資料 4(2) NIST のヒアリング調査結果

https://www.ipa.go.jp/files/000058299.pdf 24 NIST, “Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 Draft 2”（2017 年）

https://www.nist.gov/sites/default/files/documents/2017/12/05/draft-2_framework-v1-1_without-markup.pdf

26

われているが、公開されている現時点のドラフト（Draft.2）25では、NIST SP 800-53 も参照する形

で、サプライチェーンリスクマネジメント（SCRM）に関する内容が追加されている。

海外の IT サプライチェーンリスクマネジメントにかかわる主な基準、ガイドライン及び規格等

を表 3.1-2 に示す。

表 3.1-2 海外の主な基準、ガイドライン及び規格等

基準、ガイドライン及び規格等 概要

⑦ NIST SP800-53 Rev.4 “Security

and Privacy Controls for Federal

Information Systems and

Organizations”（2013 年）

米国連邦政府の情報システムにおける推奨情報セキュリティ

管理策集であり、サプライチェーンの保護に関する要求事項

（SA-12）も含まれている。

⑧ NIST IR 7622 “Notional Supply

Chain Risk Management

Practices for Federal Information

Systems”（2012 年）

2008 年にブッシュ大統領（当時）の指示で策定されたサイバー

セキュリティ戦略 Comprehensive National Cybersecurity Initiative

（CNCI）で示されたグローバルなサプライチェーンリスクマ

ネジメント（SCRM）の取組みの一環として整備された、米国

連邦政府の ICT システムや製品等の調達における情報セキュ

リティに関するプラクティス集。

⑨ NIST SP 800-161 “Supply Chain

Risk Management Practices for

Federal Information Systems and

Organizations” （2015 年）

NIST IR 7622 から移行する形で整備された SCRM に関するプ

ラクティス集。2015 年より一部の米国連邦政府機関において、

NIST SP 800-161 の遵守が義務化され、2016 年には、米国行政

管理予算局（OMB）が発行する通達 A-130 号の改訂に、SCRM

の要件として NIST SP 800-161 が追加された。

⑩ FedRAMP: Federal Risk and

Authorization Management

Program

米国連邦政府が利用可能なクラウドサービスを認証するプロ

グラム。NIST が SP800-53 をベースとした評価基準や技術要件

を提供し、プログラムの運用は連邦政府一般調達局（GSA）が

所管する。なお、クラウドサービスに関しては、まず FedRAMP

に準拠した上で、不足する項目について NIST SP 800-161 を参

照する位置付けとなっている。

⑪ NIST SP 800-171Rev.1

“Protecting Controlled

Unclassified Information in

Nonfederal Systems and

Organizations” （2016 年）

米国連邦政府外のシステムと組織において、管理された非格付

け情報（CUI）の保護をするための対策基準。NIST SP 800-53 の

中位セキュリティ管理策ベースラインから導出されている。米

国国防総省の防衛装備品を納める全世界の委託先は 2017 年 12

月末までにこの基準への対応を求められた。

⑫ ISO/IEC 27002：2013(JIS Q

27002:2014) Information

technology-Security techniques-

Code of practice for information

security controls

ISO/IEC 27001 に基づく情報セキュリティマネジメントシステ

ムを実施するプロセスにおいて、管理策を選定・実施するため

の手引。サプライチェーンに関しては、管理策 15:供給者関係

（Supplier relationships）に記載。

⑬ ISO/IEC 27036:2014

Information technology --

Security techniques --

Information security for supplier

relationships

ISO/IEC 27002 の管理策 15:供給者関係を詳細化する形で、製品

やサービスの調達における情報セキュリティ対策に関しての

指針を提供。

⑭ NIST, “Framework for

Improving Critical Infrastructure

Cybersecurity” Version1.1

Draft 2（2017 年）

米国の重要インフラのサイバーセキュリティ向上のためのフ

レームワークとして、2014 年に初版が発行。現在改訂中の 1.1

版のドラフトでは、SCRM に関する内容がフレームワークコア

（管理策）のカテゴリ（ID.SC）として追加されている。

各基準、ガイドライン及び規格等の番号は表 3.1-2 からの連番

25 1.1 版のドラフト第 2 版が 2017 年 12 月に公開され、2018 年 1 月を期限として意見募集を行っている。

27

3.1.1.で示した国内分も含め、各基準、ガイドライン及び規格等の関係について図 3.1-1 に示す。

従来、情報セキュリティに関する委託先の管理については、組織の情報セキュリティ対策の中

で考慮されてきたが、近年 IT サプライチェーン全体での情報セキュリティの確保の重要性が認識

されてきたことで、IT サプライチェーンリスクマネジメントに特化した基準、ガイドライン及び

規格等の策定や検討が進んでいる。図 3.1-1 に示すように、IT サプライチェーンリスクマネジメ

ントに関しては米国の連邦政府機関の取組みが先行しているが、これらの取組みから派生して国

際規格（⑬ISO/IEC 27036）も策定されており、こうした先行例も参考に、今後国内外で一般の企

業が取組みを行う上での検討が進むと考えられる。

各基準、ガイドライン及び規格等の番号は表 3.1-1 及び表 3.1-2 に対応

図 3.1-1 各基準、ガイドライン及び規格間の関係

組織の情報セキュリティ対策

サプライチェーンにおける情報セキュリティ対策

④NISC政府統一基準群(2016)

⑤NISC外部委託等仕様書策定手引書

(2016)

対策の内容等を参考

情報システムの構築等の外部委託や機器等の調達に関して具体的要件や仕様書の記載を提示

米国情報セキュリティ基準・ガイドライン

⑬ISO/IEC 27036

ISO/IEC 27001

⑧NIST IR 7622(2012)

⑫ISO/IEC 27002

⑨NIST SP 800-161(2015)

⑦NIST SP 800-53(2013改訂)

②経済産業省アウトソーシングガイダンス(2008)

③JASAサプライチェーン管理基準(2012)

移行

引用

サプライチェーンに関する管理策を追加・詳細化

サプライチェーンに関する管理策を追加・詳細化

間接的に参照

⑩FedRAMP（2011）

クラウドサービスの基準、技術要件等を策定

⑭CybersecurityFramework(2014)

3原則の1つとしてサプライチェーンに対するセキュリティ対策の必要性を提示（Cybersecurity Frameworkとの対応を整理）

参照

①個人情報保護法ガイドライン通則編(2016)

⑪NIST SP 800-171(2016)

情報セキュリティに関する国際規格 国内情報セキュリティ基準・ガイドライン

CUIを対象とした中位セキュリティ管理策ベースラインから導出

⑥経済産業省サイバーセキュリティ経営ガイドラインV2.0(2017)

28

3.2. ITサプライチェーンリスクマネジメントの全体像

文献調査の結果をもとに、IT サプライチェーンリスクマネジメントの全体的な実施プロセスを

示し、続いて 3.3.に個別プロセスについて具体的な取組み例を示す。

IT サプライチェーンにおける情報セキュリティ確保の実務について、3.1.で取り上げた経済産

業省「アウトソーシングに関する情報セキュリティ対策ガイダンス」では、業務委託の実施プロ

セスを、「計画プロセス」、「実行・評価プロセス」、「改善プロセス」の三つのプロセスに分け、各

プロセスにおいて考慮すべきリスクと具体的な情報セキュリティ管理を示している。

また、NISC「外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のため

の仕様書策定手引書」においては、業務委託を行う際に、「企画・要件定義」、「情報システムの調

達・構築」、「情報システムの運用開始前及び運用・保守・廃棄」の 3 つの段階において、サプラ

イチェーン・リスクを軽減させるために考慮すべき事項を提示している。

これらの文献調査結果も参考とし、企業が実施する IT サプライチェーンリスクマネジメントの

取組みを、業務委託の方針決定・リスクアセスメントや委託先管理のルール整備などの「計画段

階」、委託先の選定・契約・業務遂行までの「実施段階」、業務の検収、評価などの「評価段階」の

3 つの段階と 7 つの業務委託のプロセスで以下の図 3.2-1 に示すように整理した。なお、各プロセ

スにおける取組みは委託元と委託先の立場からまとめているが、再委託がある場合には、委託先

は委託元及び委託先両方の立場から取組みを行う必要がある。

それぞれのプロセスの取組みは、表 3.2-1、表 3.2-2 に示すような部門で所管されることが多い

が（第 4 章の図 4.4-10 図 4.4-11 参照）、これらの関係部門が連携し、認識を共有することで委託

元、委託先の中で一貫した取組みとして機能することが望ましい。

実際に業務委託を実施する際には、特に③～⑥の実施段階の各プロセス、⑦の検収・評価プロ

セスにおいて、委託元と委託先の両者間で情報セキュリティの要求事項及び責任範囲が明確に合

意されていることが重要となる。

図 3.2-1 業務委託のプロセスにおける ITサプライチェーンリスクマネジメントの取組み

委託元

委託先

①方針決定・リスクアセスメント

②体制・ルール整備教育

④契約

⑤モニタリング（開発・運用）

⑥インシデント対応

⑦検収・評価③選定/提案

計画 実施

委託元の組織内で、情報セキュリティに関する委託先管理が、一貫性のある取り組みとして確立している

情報セキュリティ上のリスクや必要な対策に関する認識が合致している

委託先として実施すべき情報セキュリティ対策が組織内で合意されている

評価

②体制・ルール整備教育

①方針決定・リスクアセスメント

29

表 3.2-1 ITサプライチェーンリスクマネジメントの取組みを所管する部門の例(委託元)

部門

（番号は図 3.2-1 に対応） 調達部門

情報システム

情報セキュリ

ティ部門

法務部門 事業部門

情報セキュリティを考慮した委託先選定

〈③〉 〇 〇 ◎

委託契約における情報セキュリティ要求

事項の明確化〈④〉 ◎ ◎ 〇 ◎

業務委託で扱う情報資産の厳格な管理

（授受から廃棄等の一連のプロセス）

〈⑤〉

〇 〇 ◎

委託先の情報セキュリティ対策の実施状

況の確認〈⑤〉 ◎ 〇 ◎

インシデントに対する対応体制の整備

〈⑥〉 ◎ 〇 ◎

業務委託完了時の情報セキュリティの観

点からの検収・評価〈⑦〉 〇 ◎ ◎

◎は主に所管する部門、〇は関係する部門

表 3.2-2 ITサプライチェーンリスクマネジメントの取組みを所管する部門の例(委託先)

部門

（番号は図 3.2-1 に対応） 営業部門

情報システム

情報セキュリ

ティ部門

法務部門 事業部門

提案時の情報セキュリティ対策の説明

〈③〉 ◎ 〇 ◎

情報管理・情報セキュリティに関する契

約内容確認〈④〉 〇 ○ ◎ ◎

受託業務で扱う情報資産の厳格な管理

（授受から廃棄等の一連のプロセス

〈⑤〉

〇 〇 ◎

委託元による情報セキュリティ対策の実

施状況の確認への対応〈⑤〉 〇 ◎ ◎

インシデントに対する対応体制の整備

〈⑥〉 〇 ◎ 〇 ◎

◎は主に所管する部門、〇は関係する部門

30

3.3. 個別プロセスにおける情報セキュリティ確保の取組み

図 3.2-1 に示す主な個別プロセスにおける情報セキュリティ確保の取組みの具体例を以下に示

す。各プロセスにおける具体的な取組みの内容は、表 3.1 1 及び表 3.1 2 に示す基準、ガイドライ

ン及び規格等を参考にしている。なお、各取組みは委託元及び委託先の立場から示しているが、

再委託がある場合には、委託先は委託元と委託先両方の立場から取組みを行うことが必要となる。

計画段階（①方針決定・リスクアセスメント）

委託元は、業務委託を実施をするにあたって、業務や情報資産を委託することによる様々なリ

スクを十分に考慮し、適切な対応を検討する必要がある。また、委託先においても個別業務の受

注を判断する基準として、同様の観点でリスクアセスメントを行い、受注の可否、適切な情報セ

キュリティ対策や見積の提案を行うことが必要である。

経済産業省「アウトソーシングに関する情報セキュリティ対策ガイダンス」においては、業務

委託を実施する際のリスクアセスメントにおける考慮事項として表 3.3-1 に示す内容を提示して

いる。なお、以下は委託元が委託先に示す情報セキュリティの要求事項を明確化するために実施

する観点の考慮事項であるが、要求事項に対応する委託先でのリスクアセスメントにおいても、

同様の観点を適用することができると考えられる。

表 3.3-1 リスクアセスメントにおける考慮事項

リスクアセスメントにおける考慮事項 内容

a. 業務委託の形態 発注形態、業務種別、業務拠点、リソースの保有等の

業務委託の形態

b. 預託情報の範囲、

アクセス手法の種類

委託先に提供する情報の範囲と、それらへのアクセ

スの種類（物理的アクセス、論理的アクセス（組織の

データベース、情報システムなどへのアクセス）、ネ

ットワーク間の接続）

c. 預託情報が漏えい、

棄損等した際の影響度

委託先に提供する情報の価値、取扱に慎重を要する

度合い

d. 委託先の従業員の理解度 委託先の従業員の情報セキュリティに関する理解

度、情報セキュリティ教育の実施状況

e. 委託先のアクセス管理の状況 委託先において預託情報へのアクセス管理が適正に

なされているかどうか

f. 情報の格納、処理、通信、共有

及び交換に対する管理の状況

委託先に提供する情報を適正に保護するために必要

となる、情報の格納、処理、通信、共有及び交換にお

ける管理策の実施状況

g. 委託先の業務上の過失による影響度 委託先の過失により業務内容に誤りが生じた際の影

響度

h. インシデント発生時の事業継続性 委託先で情報セキュリティインシデントが発生し、

事業継続が困難になった際の影響度

i. 法令及び規制の要求事項、

契約上の義務

委託する業務に関連する法令及び規制、契約上の義

務

j. 契約が他の関係者に及ぼす

影響の度合い

業務委託契約が他の業務や関係者の利害に及ぼす影

響度

出所）「アウトソーシングに関する情報セキュリティ対策ガイダンス」（2008 年）を基に作成

31

リスクアセスメントの結果と業務委託への期待効果を総合的に判断して、業務委託の実施に当

たり、情報セキュリティの観点から以下のような各リスクへの対応方針を明らかにする必要があ

る。

表 3.3-2 リスクへの対応

対応の種類 説明 例

リスクの低減 脆弱性に対して情報セキュリティ対策を講じる

ことにより、脅威発生の可能性を下げること

情報セキュリティ対策の

適用

リスクの保有 リスクのもつ影響力が小さいため、特にリスク

を低減するためのセキュリティ対策を行わず、

許容範囲内として受容すること（経営層が合意

した明確な基準を設けることが望ましい）

対策せずに状況の変化が

無いか監視する

リスクの回避 脅威発生の要因を停止あるいは全く別の方法に

変更することにより、リスクが発生する可能性

を取り去ること

業務委託の中止、委託業

務範囲・内容の変更等

リスクの移転 リスクによる金銭等の損失の負担を他社に移す

こと

保険の適用等

出所）IPA「情報セキュリティマネジメントと PDCA サイクル」等を基に作成

計画段階（②体制・ルール整備・教育）

計画段階では個々の業務委託において確実に情報セキュリティの取組みを実施するため、共通

の管理基盤を整備することも重要となる。図 3.2-1 に示した実施及び評価段階の各プロセス（③

－⑦）における情報セキュリティの取組みを所管する部門の体制（表 3.2-1、表 3.2-2 参照）を整

備するとともに、必要な手続きについてルールや規定類を整備する。個々の業務委託のセキュリ

ティレベルに応じて段階的にルール・規定類が適用される場合は、取り扱う情報資産の種別や 3.3.1.

で実施するリスクアセスメントの結果等、適用されるルール・規定類を判断するための基準を明

確化することが望ましい。また、これらのルール・規定を遵守させるために、業務委託に関係す

る要員に対しては教育を実施する。

委託元による委託先管理のルール・規定類の例を表 3.3-3 に示す。

表 3.3-3 情報セキュリティに関する委託先管理のルール・規定類の例

プロセス ルール・規定類の例

③選定／提案 情報セキュリティに関する項目を含む委託先選定基準

情報セキュリティ対策の評価結果に基づく推奨委託先リスト

④契約 情報セキュリティ要求事項を含む契約書雛形

委託先の従業者に提出を求める誓約書雛形

⑤モニタリング 委託先の情報セキュリティ対策状況の確認形式（チェックリスト等）

⑥インシデント対応 インシデント対応に関するマニュアル

⑦検収・評価 情報セキュリティの観点での検収・評価基準

同様の取組みについて委託元、委託先、再委託先を含めた IT サプライチェーンに関係者全体が、

グッドプラクティスについて広く情報共有を行うことで、取組みの底上げを図る例もある。例え

32

ば、グループ企業等においては、グループ内企業に対して、グループ共通の情報セキュリティポ

リシーや規則を適用することで、IT サプライチェーン全体で一貫した取組みを実現している例が

ある。

インタビュー調査ではグループ全体にセキュリティに関する情報を共有するとともに、グルー

プ全体で標的型攻撃メール訓練を実施している事例があった。また、グローバルに IT ソリューシ

ョンサービスを提供する IT 企業に対するインタビュー調査では、海外本社が策定したグローバル

統一のセキュリティ基準があり、社内のプロジェクトにおける情報セキュリティ対策や従業員に

対する情報セキュリティ教育は同基準に従って実施しているとのことであった。

その他、業界ごとに ISAC（Information Sharing and Analysis Center）26などによる企業横断の情報

共有（例：委託先監査情報をユーザ企業間で共有する等27）を行い、業界全体で IT サプライチェ

ーンの情報セキュリティの向上を目指す取組みもある。

実施段階（③選定／提案）

情報セキュリティ要求事項の明確化

委託元が委託先に求める情報セキュリティに関する要求事項としては、業務委託の成果物や運

用対象となる IT システム・サービスの機能としてのセキュリティ要件と、業務委託における情報

セキュリティ上のリスク低減を目的としたリスクマネジメントのための管理策の 2 種類がある。

それぞれの例と参考となる基準、ガイドライン及び規格等を表 3.3-4 に示す。本報告書において

は、主に IT サプライチェーンリスクマネジメントを取り上げるため、2.を中心に検討を行った。

表 3.3-4 情報セキュリティに関する要求事項の種類

情報セキュリティに関する

要求事項 要求事項の例

基準、ガイドライン

及び規格等

1. 成果物や運用対象となる IT

システム・サービスの機能と

してのセキュリティ要件

・ システム・サービスに実装する暗号

化やアプリケーション等

・ 脆弱性対策

・ ファイアーウォールや IDS/IPS 等

・ セキュリティパッチ等の適用方針

・ セキュリティテスト等

ISO/IEC15408（Common

Criteria：CC）

IPA「安全なウェブサイ

トの作り方」等

2. 業務委託における情報セキ

ュリティ上のリスク低減を

目的としたリスクマネジメ

ントのための管理策

・ 委託先内でのポリシー類等の整備

・ 取り扱う情報資産の適切な保護

・ 入退室管理等の物理的対策

・ 従業者への教育や誓約書取得等

・ 業務で使用する情報システムやネ

ットワークの適切な保護

・ インシデント対応

ISO/IEC 27000 シリーズ

等

26 一般社団法人 金融 ISAC や一般社団法人 ICT-ISAC などが、業界内でのサイバーセキュリティに関する情報

共有、セキュリティ向上のための取組みの検討を行っている。 27 情報処理推進機構「サイバー攻撃はサプライチェーンを狙う～サプライチェーンの情報セキュリティ対策～」

（2017 年）

https://www.ipa.go.jp/files/000062279.pdf

33

表 3.3-4 の、2.の業務委託における情報セキュリティに関するリスクマネジメントの取組みとし

て、参照できる最も汎用的な内容としては、情報セキュリティマネジメントに関する国際規格

ISO/IEC 27001の附属書A及び ISO/IEC 27002に示されている管理策が国内では最も広く認知され

ている。同規格に基づく情報セキュリティマネジメントシステム（ISMS）適合性評価制度の国内

の認証取得組織数は年々増加しており 2017 年 12 月時点で 5,444 件に達している28。経済産業省が

策定し、組織が効果的な情報セキュリティマネジメント体制を構築し適切な管理策を整備・運用

するための規範である「情報セキュリティ管理基準」（平成 15 年経済産業省告示第 112 号）29も同

規格を基にしており、2016年の改正版は最新の ISO/IEC 27001:2013（JIS Q 27001:2014）及び ISO/IEC

27002:2013（JIS Q 27002:2014）と整合が取られている。

ただし、ISO/IEC 27001 及び ISO/IEC 27002 の管理策は項目数が多く、記載されている内容も平

易ではないため、すべての組織が標準的に利用することは難しい。また、ISMS は第三者評価によ

る認証制度であるため、認証取得には一定のコストを要する。IPA では JIS Q 27001 附属書 A の情

報セキュリティ管理策（133 項目）を基に、組織に必要な主要な情報セキュリティ対策を網羅する

形で、平易に実装できるわかりやすい取組みとして 27 項目に評価項目を整理し、それを基に組織

の情報セキュリティ対策の実施状況の自己診断を行うためのツール「情報セキュリティベンチマ

ーク」を 2005 年から公開している30。2016 年 9 月 30 日現在の利用件数は延べ 3 万 8000 件を超え

ており、企業が情報セキュリティの取組みを確認するツールとして、国内で一定の実績がある。

3.1.1.で紹介した、JASA の「サプライチェーン情報セキュリティ管理基準」は、この情報セキュリ

ティベンチマークをベースとし、表 3.3-5 に示す「サプライチェーンにおいて重要な基準」を整理

した上で、具体的な実装、運用の方法を示している。

28 情報マネジメントシステム認定センター「ISMS 認証取得組織数推移」

https://isms.jp/lst/ind/suii.html 29 経済産業省「情報セキュリティ管理基準（平成 28 年改正版）」（2016 年）

http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf 30 情報処理推進機構「情報セキュリティ対策ベンチマーク」

https://www.ipa.go.jp/security/benchmark/

34

表 3.3-5 サプライチェーン管理基準（「Ⅰ サプライチェーンにおいて重要な基準」の抜粋）

Ⅰ サプライチェーンにおいて重要な基準

大項目 1．情報セキュリティに対する組織的な取組状況

1 情報セキュリティポリシーや情報セキュリティ管理に関する規程を定め、それを実践している

2 経営層を含めた情報セキュリティの推進体制やコンプライアンス(法令順守)の推進体制を整備している

3 重要な情報資産（情報及び情報システム）を、その重要性のレベルごとに分類し、さらにレベルに応じた表

示や取扱をするための方法を定めている

4 重要な情報（例えば個人データや機密情報など）については、入手、作成、利用、保管、交換、提供、消去、

破棄などの一連の業務プロセスごとにきめ細かくセキュリティ上の適切な措置を講じている

5 外部の組織に業務や情報システムの運用管理を委託する際の契約書には、セキュリティ上の理由から相手

方に求めるべき事項を記載している

6 従業者（派遣を含む）に対し、採用、退職の際に守秘義務に関する書面を取り交わすなどして、セキュリテ

ィに関する就業上の義務を明確にしている

7 経営層や派遣を含む全ての従業者に対し、情報セキュリティに関する自組織の取組や関連規程類について、

計画的な教育や指導を実施している

大項目 2．物理的（環境的）セキュリティ上の施策

1 特にセキュリティを強化したい建物や区画に対して、必要に応じたセキュリティ対策を実施している

2 重要な書類、モバイル PC、記憶媒体などについて適切な管理を行っている

大項目 3．情報システム及び通信ネットワークの運用管理

1 重要なデータや関連するシステムのバックアップに関する手順を文書化し、実施している

2 不正プログラム（ウイルス、ワーム、トロイの木馬、ボット、スパイウエアなど）への対策を実施している

3 導入している情報システムに対して、適切なぜい弱性対策を実施している

4 通信ネットワークを流れるデータや、公開サーバ上のデータに対して、暗号化などの適切な保護策を実施し

ている

5 モバイル PC や USB メモリなどの記憶媒体やデータを外部に持ち出す場合、盗難、紛失などを想定した適

切なセキュリティ対策を実施している

大項目 4．情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策の状

況

1 情報（データ）や情報システムへのアクセスを制限するために、利用者 ID の管理、利用者の識別と認証を

適切に実施している

2 情報（データ）や情報システム、業務アプリケーションなどに対するアクセス権の付与と、アクセス制御を

適切に実施している

3 ネットワークのアクセス制御を適切に実施している

大項目 5．情報セキュリティ上の事故対応状況

1 情報セキュリティに関連する事件や事故が発生した際に必要な行動を、適切かつ迅速に実施できるように

備えている

出所）JASA「サプライチェーン情報セキュリティ管理基準」（2012 年）

そのほか、情報セキュリティの要求事項の明確化の実施方法の具体例として、経済産業省が公

開する「～情報システム・モデル取引・契約書～（受託開発（一部企画を含む）、保守・運用）〈第

一版」（2007 年）31においては、委託元から委託先に提示するセキュリティ要求仕様書のサンプル

を収載している。また、「～情報システム・モデル取引・契約書～（パッケージ、SaaS/ASP 活用、

保守・運用）＜追補版＞」（2008 年）32では、セキュリティに関する要件定義に活用できるセキュ

31 経済産業省「～情報システム・モデル取引・契約書～（受託開発（一部企画を含む）、保守運用）〈第一版〉」

（2007 年）

http://www.meti.go.jp/policy/it_policy/keiyaku/model_keiyakusyo.pdf

本書は契約対象として、ウォーターフォールモデルの重要インフラ・企業基幹システムの受託開発（一部規企画

を含む）、保守・運用を想定しており、契約当事者であるユーザ、ベンダともに対等に交渉力があることを想定

している。 32 経済産業省「～情報システム・モデル取引・契約書～（パッケージ、SaaS/ASP 活用、保守・運用）

35

リティチェックシート（JIS Q 27001 に基づく）を収載している。

また、近年 IT システム・サービスの運用においては、委託先の従業者の内部不正によるインシ

デントの事例が発生しているため（2.1.2.(2)参照）、必要に応じて内部不正を防止する観点の追加

の対策を要求する必要がある。内部不正対策では、特に以下に示すような人的管理の対策が重要

となり、従業者の入れ替わり等も想定して、対策の実施状況について定期的・継続的に確認を行

うことが必要である。

（内部不正対策の例）

・ 操作ログ等の取得・保存

・ 私物のモバイル機器や記憶媒体に対する持ち込み、持ち出しの管理

・ 単独作業の制限、承認手続き

・ 従業者からの当該業務委託の秘密保持等に関する誓約書の取得

なお、海外では従業員の内部不正の防止の観点も含めて、委託先の従業員に対して、日本より

も厳格な人的管理が求められる。採用時に個人情報や経歴等の提供を求め、その情報が正しいか

を確認するバックグラウンドチェックを行うことも一般的に行われている。NIST の SP800-53 及

び SP800-161 には、情報システムやサービスの開発者に対して、組織が定めた審査基準に基づき

審査を行う管理策があり、具体的な審査基準としてクリアランス、素性調査（バックグラウンド

チェック）、市民権、国籍などを挙げている。インタビュー調査では、アジア圏では従業員の定着

率が低い状況があるため、離職時の秘密保持契約だけでなく、プロジェクトメンバーの作業を分

解することで、メンバー1 人への集中を避ける管理を採っている事例があった。

一方、日本では、公正な採用選考や個人情報保護の観点から、採用時に社会的差別の原因とな

るおそれのある個人情報などの収集は原則として認められないとされており33、委託元が委託先

に求める従業者の人的管理も適正な範囲内での取組みに限定される。

関係者間の合意形成

(1)で検討した情報セキュリティに関する要求事項の実効性を高めるため、委託元と委託先の間

で要求事項の対応可否や過不足、具体的な対応方法や費用負担、さらに対応できない場合の代替

措置等について、契約の段階、または、プロジェクトの初期段階で十分に協議を行うことが重要

である。

また、情報セキュリティの要求事項に関する合意が、委託元、委託先の個別の部門や担当者の

判断だけでなく、社内の関係部門の体制によるガバナンスの中で実施されるよう、社内の手続き

や情報共有、担当者の教育等を併せて行っていくことが望ましい。

＜追補版＞」（2008 年）

http://www.meti.go.jp/policy/it_policy/softseibi/model_tuiho/model_tuiho.pdf

本書は契約対象として、パッケージソフトウェア、SaaS、ASP を利用した一般業務システムを想定しており、

IT の専門知識を有しないユーザと情報サービス業を提供するベンダを契約当事者として想定している。 33 厚生労働省 公正な採用選考の基本

http://www2.mhlw.go.jp/topics/topics/saiyo/saiyo1.htm

36

実施段階（④契約）

業務委託契約に含めるべき内容

2.2.でも述べた通り、委託元、委託先の情報セキュリティ上の責任範囲を明確化する上で、契約

書またはそれに紐づく重要文書（仕様書、重要事項説明書、要件定義書、基本設計書、運用手順

書等）において情報セキュリティに関する要求事項を明確化することが重要である。経済産業省

「サイバーセキュリティ経営ガイドライン Ver 2.0」でも、重要 10 項目のうち「指示 9: ビジネス

パートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」の実施方法として、

「系列企業やサプライチェーンのビジネスパートナーやシステム管理の委託先等のサイバーセキ

ュリティ対策の内容を明確にした上で契約を交わす。」という対策例が示されている。

インタビュー調査では、委託元が欧米に本社に置く場合、情報セキュリティに関する要求事項

も含めて契約書の記載レベルが非常に詳細であり（例えば使用するセキュリティソフトウエアや

その設定まで提示されることもある）、管理面でも契約書に従った詳細なマネジメントが徹底され

ているとの意見があった。一方、国内企業へのヒアリングでは、契約段階で情報セキュリティの

要求事項の詳細が決まっていないことが多いという意見があり、委託元と委託先の責任範囲の合

意が課題になっている。

また、2.2. でも述べた通り、インシデントが発生した際の責任範囲を明確化するため、損害賠

償金額、免責等の扱い、インシデントが発生した際の対応について規定しておくことも重要であ

る。国内及び海外の IT 企業に対するインタビュー調査では、委託元との契約交渉において主に議

論となるのは損害賠償額の上限値（通常は業務委託の契約金額とすることが多い）の設定である

との意見があった。

なお、パブリッククラウドサービスの場合は、委託契約ではなくクラウド事業者の約款や SLA

に基づくサービス利用となる。情報セキュリティのインシデントに関してもユーザとサービス事

業者の責任範囲や免責事項等が明記されているため、利用に当たってはこれらの文書を十分に確

認することが必要である。

委託契約に含める項目の例を表 3.3-6 に示す。

37

表 3.3-6 委託契約に含める項目の例

項目 内容

秘密保持 委託する業務で扱う秘密情報の扱いを規定する。IPA

は「中小企業の情報セキュリティ対策ガイドライン」34で、委託契約時の機密保持契約条項のサンプルを提

供している。

具体的な情報セキュリティ対策の実施

委託する業務で実施すべき具体的な情報セキュリテ

ィ対策を示す。契約に付随する他の文書で詳細化する

形や基準、ガイドライン及び規格等への準拠を求める

形もある。

証跡の提示、監査協力等 情報セキュリティ対策の実施状況の確認方法やその

タイミングについて規定することで、委託先の協力を

得ることができる。

情報セキュリティに関する

契約内容に違反した場合の措置

損害賠償等についてその要件を規定する。

情報セキュリティに関する委託元と

委託先の責任範囲

業務において、インシデントや事故によって損害が発

生した場合の委託元と委託先の責任範囲を規定する

（免責事項の明記、損害賠償額の契約金額等での上限

の設定等）。

インシデントが発生した場合の対応 インシデントが発生した際の報告先、報告内容、初動、

調査、復旧等の各対応の実施主体、実施方法について

規定する。

情報セキュリティに関する

SLA（Service Level Agreement）

クラウドサービス等においては、委託元と委託先間で

のサービス内容・範囲・品質等を保証する SLA に基づ

くサービス提供が一般的であり、情報セキュリティに

関する項目も SLA に含まれている。

新たな脅威（脆弱性等）が

顕在化した場合の情報共有・対応

契約時点で想定していない新たな脅威等が顕在化し

た際に、委託元と委託先の間の情報共有、対応方針決

定のスキームについて規定する。

再委託の禁止または制限 再委託の禁止、制限について定める。再委託を認める

場合には再委託の実施に必要な手続（事前報告／承認

等）、委託先から再委託先に示す情報セキュリティ要

求事項及びその確認方法等について規定する。

契約終了後の情報資産の扱い

（返却、消去、廃棄等）

契約終了後の情報資産の扱い、及びその確認方法につ

いて規定する。

その他（合意管轄条項など） 裁判による紛争解決を行う場合の管轄裁判所・準拠法

を明記する。特に、業務を海外で実施する場合は、裁

判所の所在地（国・州）により、準拠する法律が異な

るため、重要な点となる。

契約内容に関する社内の確認

委託契約に含める項目について、委託元、委託先の内部の法務部門やリスク管理部門の法務チ

ェックの際に、情報セキュリティ上のリスクの観点でも適切な内容となっているか確認を行うこ

34 情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン第 2.1 版」（2017 年）

https://www.ipa.go.jp/files/000055520.pdf

38

とが必要である。特に、委託元と委託先の責任範囲に関しては、インシデントが発生した際のリ

スクを想定する上で重要となるため、専門的な知見に基づく確認を行うことが重要である。

また、契約書は委託先または委託元いずれかの企業が整備する契約雛形に基づき締結する形が

多いが、相手方の雛形を用いる場合は相手方に有利な内容になっている場合が多いため、関係部

門等と相談して、リスクを許容できない内容については、相手方と交渉を行う必要がある。

逆に、自社の雛形であっても相手方との交渉の中で項目の変更等を加える場合については、そ

のリスクについて、関係部門に十分に確認を行う必要がある。

実施段階（⑤モニタリング）

委託元では、委託先の情報セキュリティの要求事項の遵守状況を、委託先の選定時や、契約期

間中も定期的に委託先に確認する。確認する方法としては、委託元からチェックリストやアンケ

ート等を委託先に渡し、委託先がセルフチェックした結果を記入して委託元に提出する形が多い。

また、特に重要な情報資産を扱う業務等に対しては、委託元の担当者が委託先に出向いて委託元

の実地調査を定期的に実施する例もある。経済産業省「サイバーセキュリティ経営ガイドライン

Ver 2.0」では、重要 10 項目のうち「指示 9: ビジネスパートナーや委託先等を含めたサプライチ

ェーン全体の対策及び状況把握」に関して、「個人情報や技術情報等の重要な情報を委託先に預け

る場合は、委託先の経営状況等も踏まえて、情報の安全性の確保が可能であるかどうかを定期的

に確認する。」という対策例を示している。こうした委託元からの確認方法、確認の実施タイミン

グについても契約の中で記載されることが必要である。

なお、クラウドサービス等においては、サービス提供事業者が個々の利用者による情報セキュ

リティ対策の確認に対応することは現実的でないため、各種認証の取得や外部監査法人等の第三

者による外部監査結果を利用者に提示する形35で確認の代替とさせるケースが多い。

また、人的管理の一環として、委託先で業務に携わる従業者から情報セキュリティ対策の遵守

について誓約書を取得することも一般的に行われている。

なお、再委託先の情報セキュリティ対策の実施状況の確認については、委託先の監督責任とな

るため、契約等で別途委託元が直接確認を行うことなど定めている場合を除いて、委託先が再委

託先を確認した結果を書面で確認するなどの方法をとることが多い。ただし、一部の業種におい

ては再委託先の管理について、委託元の監督を強化する動きも出ている。2013 年に成立、施行さ

れた金融商品取引法等の一部を改正する法律では、金融庁による銀行業務の報告徴求・立入検査

35 JASA のクラウドセキュリティ推進協議（JCISPA）が 2015 年より、クラウド情報セキュリティ監査制度

（CS マーク）の運用を開始している。また、2016 年より一般財団法人日本情報経済社会推進協会（JIPDEC）

が ISMS をベースに、クラウドセキュリティに関する国際規格 ISO/IEC 27017:2015 を取り込んだ ISMS クラウ

ドセキュリティ認証の運用を開始している。

JASA – クラウドセキュリティ推進協議 クラウド情報セキュリティ監査制度

http://jcispa.jasa.jp/cloud_security/

一般財団法人日本情報経済社会推進協会「ISMS クラウドセキュリティ認証の開始について— 認証基準を公表、

認証機関の認定審査開始 —」（2016 年）

https://www.jipdec.or.jp/topics/news/20160801.html

39

の対象が、従来委託先までとされていたところを、再委託先（再々委託先等を含む）までが拡大

された36。さらに、FISC が 2016 年に公表した「金融機関における外部委託に関する有識者検討会

報告書」においては、再委託先のリスク管理について、「重要な情報システム」が外部委託される

場合は、委託先との契約に金融機関等による再委託先に対する監査権を明記することが提案され

ている37。

委託先における情報セキュリティ対策の実施状況の確認方法の例を表 3.3-7 に示す。

表 3.3-7 委託先における情報セキュリティ対策の実施状況の確認方法の例

方法 実施例

チェックリストなど

（委託先のセルフチェック・内部監査）

委託元の情報セキュリティ要求事項に沿った形のチ

ェックリストやアンケートの記入を委託先に求め、

その内容について委託元が確認する。

実地調査

（委託元による委託先の監査）

委託元が、委託先に出向いて、直接情報セキュリテ

ィ要求事項の遵守状況について確認する。

外部監査

（外部監査法人等による委託先の監査）

委託先が外部の監査法人等による監査を受け、委託

元がその監査報告を確認する。

各種認証・制度（ISMS、P マーク等）の

取得証明書

各種認証・制度の取得を以て、情報セキュリティ対

策の確認を代替させる。

誓約書 委託先で業務に携わる従業者から秘密保持や情報セ

キュリティに関する遵守事項について誓約書を取得

する。

また、委託先の情報セキュリティ対策の取組みを向上する上で、予め決められたタイミングで

情報セキュリティ対策の実施状況の確認を行うだけでなく、委託業務を実施する中で委託元、委

託先の関係者が日常的に情報セキュリティに関する情報共有を行う形でのモニタリングを行うこ

とも効果的である。具体的には、委託業務に関する関係者間の定例会議等で情報セキュリティに

関する報告等を行う機会を設けたり、情報セキュリティに関する関係者間のための連絡窓口や連

絡手段を使って日頃から情報共有を行うことで、実際に新たな脅威やインシデントが確認された

際の対応をより迅速に行うことが期待される。

実施段階（⑥インシデント対応）

業務委託中に委託先や再委託先以降においてインシデントが発生した場合に備えて、予め委託

元・委託先の間で、表 3.3-8 に示すような対応方針について合意をしておくことが必要である。

3.1.1.で取り上げた経済産業省「サイバーセキュリティ経営ガイドライン Ver 2.0」でも、経営者が

認識すべき 3 原則の 1 つとして、平時及び緊急時（インシデント発生時）のいずれにおいても、

36 金融庁「金融商品取引法等の一部を改正する 法律（平成 25 年法律第 45 号）に係る説明資料」（2013 年）

http://www.fsa.go.jp/common/diet/183/setsumei.pdf 37 金融情報システムセンター「金融機関における外部委託に関する有識者検討会報告書」（2016 年）

https://www.fisc.or.jp/isolate/index.php?dl=6A4AD506A9311D154B168FE69CD6EAB28B8660A71CFD890F1

73A94D89E7F966E&No=1

40

ステークホルダーを含めた関係者とコミュニケーションが円滑に進むよう備えるべきとした上で、

具体的な指示としてインシデント発生時の緊急対応体制とインシデントによる被害に備えた復旧

体制の整備が必要としている。また、同ガイドラインの「付録 C インシデント発生時に組織内

で整理しておくべき事項」では、インシデント発生時の原因調査等を行う際に利用することを想

定して、組織内で整理しておくべき事項を提示している。

その他、具体的なインシデント対応手順については、一般社団法人 JPCERT コーディネーショ

ンセンターの「インシデントハンドリングマニュアル」38や日本セキュリティオペレーション事業

者協議会（ISOG-J）の「セキュリティ対応組織（SOC/CSIRT）の教科書～ 機能・役割・人材スキ

ル・成熟度 ～」39なども参考になる。

また、必要に応じて、合意したインシデント対応手順の確認のため、訓練や演習を行うことも

効果的であると考えられる。

表 3.3-8 インシデント対応における合意事項

合意事項 内容

初動対応 インシデントの事象ごとに、委託先・再委託先等で実施すべき初

動対応を定める。

報告手順・内容 委託元・委託先双方のインシデントの報告窓口やエスカレーショ

ンルールを明確化する。

インシデントの報告内容について所定のフォーム等を用意する。

調査・復旧にかかわる対応 インシデントの発生箇所が委託先や再委託先の場合、委託元が影

響の調査や復旧作業にどのように関与するかを予め検討してお

く必要がある。特にインシデントにおいては、インシデント発生

箇所における証拠保全が重要であるため、確実に証拠保全を行う

ための対応について合意することが重要である。

評価段階（⑦検収・評価）

業務委託完了時には、仕様書や契約書等に基づき、情報セキュリティ上の要求事項に関しても

遵守状況の検収・評価を行う必要がある。

成果物に対して、セキュリティ要件が明示されている場合、セキュリティに関するレビューや

テストを実施し、セキュリティ要件が正しく実装されているかを確認する必要がある。旧版の政

府統一基準に対応した個別マニュアル群の 1 つ「ソフトウエア開発における情報セキュリティ対

策実施規程雛形」（2011 年）40においては、セキュリティの検証と妥当性確認として、各種レビュ

ー、テストに関する具体的な要件を示している。

38 一般社団法人 JPCERT コーディネーションセンター「インシデントハンドリングマニュアル」（2015 年）

https://www.jpcert.or.jp/csirt_material/files/manual_ver1.0_20151126.pdf 39 日本セキュリティオペレーション事業者協議会「セキュリティ対応組織（SOC/CSIRT）の教科書～ 機能・役

割・人材スキル・成熟度 ～」（2017 年）

http://isog-j.org/output/2017/Textbook_soc-csirt_v2.0.pdf 40 内閣サイバーセキュリティセンター「ソフトウエア開発における情報セキュリティ対策実施規程雛形」（2011

年）

https://www.nisc.go.jp/active/general/pdf/dm6-03-101_sample.pdf

41

業務において、情報資産の預託があった場合には、お互いに合意した手順に基づき、情報資産

の返却、消去、廃棄等の手続を行い、それが確実に実施されたことを確認する。

業務委託完了時の情報セキュリティの観点からの検収・評価の実施方法を表 3.3-9 に示す。

表 3.3-9 業務委託完了時の情報セキュリティの観点からの検収・評価

方法 実施例

成果物に対するセキュリティの検証 成果物のドキュメントに対するレビューや、システムに

対するセキュリティテストを実施する。

情報資産の返却、消去、廃棄等 業務委託での利用が終了した情報資産は、委託元と予め

合意した方法により、委託先が適切に返却、消去、廃棄

等を行う。委託元は委託先において、それらの対応が確

実に実施されたことを、記録等で確認する。

その他 委託元の情報セキュリティ要求事項に沿った形のチェ

ックリストやアンケートの記入を委託先に求め、その内

容について委託元が確認する。

さらに、検収・評価の結果を社内で情報共有することで、業務委託における情報セキュリティ

の取組みの改善につなげることが期待される。

42

4. ITサプライチェーンリスクマネジメントに対する企業の取組みの現状

本章では、第 2 章及び第 3 章に示した調査結果を基に、IT サプライチェーンリスクマネジメン

トに対する企業の取組みの現状について、アンケート調査及びインタビュー調査によって検証を

行った。

4.1.にアンケート調査及びインタビュー調査の仮説検討、4.2.以降に、アンケート調査及びイン

タビュー調査で得られた主な結果を示す。アンケート調査のすべての単純集計結果は付録 3-1（委

託元）、3-2（委託先）に示す。

4.1. アンケート調査及びインタビュー調査の仮説検討

第 2章及び第 3章に示した調査結果を基に ITサプライチェーンリスクマネジメントに関する企

業の取組みに関して、アンケート調査及びインタビュー調査の仮説を検討した。調査仮説を表

4.1-1 に示す。

表 4.1-1 調査仮説

段

階

プロセス

＜3.3.の対応する項目＞

対象 調査仮説

＜4.4.の対応する項目＞ 委託元 委託先

計画

①方針決定・

リスクアセスメント

＜3.3.1.参照＞

〇 〇

委託（受託）業務におけるセキュリティ脅威、

リスク等について事前に確認していない。

〈4.4.1.(1)〉

② 体制・ルール整備・

教育

＜3.3.2.参照＞

〇 〇

業務委託における情報セキュリティの取組

みの実施状況は取り扱う情報資産の重要度

によって異なる。〈4.4.2.(1)〉

実

施

③選定／提案

＜3.3.3.参照＞

④契約

＜3.3.4.参照＞

〇 委託先の選定において、情報セキュリティ対

策の優先順位は高くない。〈4.4.3.(1)〉

〇 〇

委託先で実施する具体的な情報セキュリテ

ィ対策について、委託元・委託先間で事前に

合意するのは容易ではない。〈4.4.3.(2)、

4.4.4.(2)〉

〇 〇

委託先の情報セキュリティ対策において、内

部不正対策を含めることは少ない。

〈4.4.3.(3)〉

〇 〇

委託元が要求する情報セキュリティ対策に

委託先が対応できない場合、同等な代替策を

提案させる。〈4.4.3.(4)〉

〇 〇

個々の案件において見積書に計上すべき情

報セキュリティ対策について、委託元と委託

先の認識にズレがある。〈4.4.3.(5)〉

⑤モニタリング

＜3.3.5.参照＞

⑥インシデント対応

＜3.3.6.参照＞

〇 〇

契約期間中、あるいは期間後のインシデント

発生など新たな脅威に対し、委託元・委託先

等のサプライチェーン上のパートナーと情

報を共有するための合意がなされていない。

〈4.4.4.(3)〉

〇 〇

委託元が委託先・再委託先以降の情報セキュ

リティ状況を把握したい範囲と確認できる

範囲が異なる。〈4.4.5.(2)〉

43

調査仮説は、3.3.で検討した業務委託の個別のプロセスにおける情報セキュリティ確保の取組み

に対応する形で整理している。なお、評価段階の⑦検収・評価のプロセスに関する仮説は含まれ

ていないが、同プロセスで実施する取組みは予め契約等で委託元と委託先で合意をしておく必要

があるため、調査項目の中には内容として含めている。

4.2.以降に示すアンケート調査及びインタビュー調査によって、表 4.1-1 の調査仮説の検証を行

った。

4.2. アンケート調査回答者属性

委託元、委託先の回答企業・回答者の属性について、業種（図 4.2-1）、総従業員数（図 4.2-2）、

回答者の所属部門（図 4.2-3）を示す。 なお、1.3.2.に詳細を示す通り、調査票の送付に当たって、

委託元については、「経済センサス」の日本標準産業分類に基づく従業員規模毎・業種毎の企業数

分布に則り層別抽出を行い、委託先については、IT システムの構築・運用等に該当すると考えら

れる業種の企業を選定している。また、委託元及び委託先それぞれから、「中小企業」から 150 社

以上、「大企業」から 150 社以上、計 600 社以上の有効回答を確保することを目標としており、結

果として表 4.2-1 に示すように各区分から 200 社以上の回答を得ている。

回答者について、委託元は、①調達部門、②情報システム部門・情報セキュリティ部門、③現

場の事業部門、委託先は①営業部門、②情報システム部門・情報セキュリティ部門、③現場の事

業部門に回答を依頼している。結果として、委託元は情報システム部門・情報セキュリティ部門

の回答が 72.3％と多く、委託先も情報システム部門・セキュリティ部門が 49.4％と多いが、営業

部門（11.6％）、現場の事業部門（16.8％）からも一定数回答を得ている。

図 4.2-1 回答企業の業種（左：委託元・右：委託先）

0.8

9.4

33.3

1.4

6.0

7.6

19.4

3.2

13.2

0.6

1.2

3.6

0.2

0% 20% 40% 60% 80% 100%

農林漁業・同協同組合、鉱業

建設業

製造業

電気・ガス・熱供給・水道業

情報通信業

運輸業、郵便業

卸売業、小売業

金融業、保険業

その他のサービス業

教育、学習支援業

医療、福祉

その他

無回答

(N=499)

53.7

26.0

2.3

9.2

0.3

1.0

0.6

0.5

0.2

0.0

2.1

4.2

0.0

0% 20% 40% 60% 80% 100%

ソフトウエア業

情報処理サービス業

情報提供サービス業

その他の情報サービス業

国内・国際電気通信業

電気通信に附帯するサービス業

民生用電気機械器具製造業

電子計算機・同付属装置製造業

工業計器製造業

発電機・電動機・その他の回転

電気機械製造業

その他

無回答

(N=620)

44

図 4.2-2 回答企業の総従業員数（左：委託元・右：委託先）

表 4.2-1 アンケート回収結果（再掲）

大企業 中小企業 不明 合計

委託元：大／中小企業の区切りは従業員数 300 人 220 277 2 499

委託先：大／中小企業の区切りは従業員数 100 人 266 354 0 620

合計 1,119

図 4.2-3 回答者の所属部門（左：委託元・右：委託先）

4.3. ITシステム・サービスの業務委託の状況

委託元、委託先の回答企業における IT システム・サービスの昨年度の業務委託の状況を以下に

示す。

委託元、委託先の調査票では、IT サプライチェーンにおいて回答企業が図 4.3-1 に示すように

委託元（ユーザ企業）、あるいは、委託先（再委託先以降も含む）となる取引について回答を依頼

している。

委託先の回答企業の主な IT システム・サービスの取引における位置付けを図 4.3-2 に示す。委

託先の回答企業の 55.0％が元請け（プライムベンダ）、44.4％が二次請け以降となっている。

1.0

11.4

43.1

14.8

10.8

13.2

1.6

3.6

0.4

0% 20% 40% 60% 80% 100%

～50 名

51名～100名

101名～300名

301名～500名

501名～1,000名

1,001名～5,000名

5,001名～10,000名

10,001名以上

無回答

(N=499)

30.5

26.6

21.8

9.8

6.6

4.0

0.2

0.5

0.0

0% 20% 40% 60% 80% 100%

～50名

51名～100名

101名～300名

301名～500名

501名～1,000名

1,001名～5,000名

5,001名～10,000名

10,001名以上

無回答

(N=620)

3.4

72.3

4.6

19.2

0.4

0% 20% 40% 60% 80% 100%

調達部門

情報システム部門・

情報セキュリティ部門

事業部門

その他

無回答

(N=499)

11.6

49.4

16.8

21.8

0.5

0% 20% 40% 60% 80% 100%

営業部門

情報システム部門・

情報セキュリティ部門

事業部門

その他

無回答

(N=620)

45

図 4.3-1 回答企業の位置付け

図 4.3-2 主な ITシステム・サービスの取引における回答企業の位置付け（委託先）

回答企業で直接取引があった委託先、委託元の社数を図 4.3-3 に示す。委託元の回答企業が直

接取引を行った委託先は 10 社以下が 77.6％と最も多い。一方、委託先の回答企業が直接取引を行

った委託元は 50 社以下が 71.6％であり、101 社以上の委託先と取引がある委託元も 12.7％と一定

数あった。

図 4.3-3 直接取引のあった委託先／委託元の社数（左：委託元・右：委託先）

回答企業における（委託元から見た）再委託先、再々委託先等の有無を図 4.3-4 に示す。

再々委託先（三次請け）

再委託先（二次請け）

委託先（元請け, プライムベンダ）

ITシステム・サービスの業務委託

委託元（ユーザ企業）

ITサプライチェーン

55.0 44.4 0.6

0% 20% 40% 60% 80% 100%

元請け（プライムベンダ） 二次請け以降 無回答

(N=620)

77.6

14.0

2.2

1.0

4.2

1.0

0% 20% 40% 60% 80% 100%

1社～10社

11社～50社

51社～100社

101社以上

わからない

無回答

(N=499)

34.8

36.8

8.9

12.7

6.3

0.5

0% 20% 40% 60% 80% 100%

1社～10社

11社～50社

51社～100社

101社以上

わからない

無回答

(N=620)

46

委託元の回答企業の 54.3％、委託先の回答企業の 76.6％に再委託先がある。

図 4.3-4 再委託先、再々委託先等の有無（上：委託元・下：委託先）

回答企業の委託先／委託元の属性を図 4.3-5 に示す。委託元の回答企業の 41.9％、委託先の回

答企業の 34.2％が系列企業・グループ企業の取引を実施している。

図 4.3-5 委託先の属性（左：委託元・右：委託先）

回答企業において委託／受託する IT システム・サービスの業務を図 4.3-6 に示す。また、業務

委託／受託業務を行う事業領域を図 4.3-7 に示す。

委託元の回答企業が委託する IT システム・サービスの業務は幅広く、システム・サービスの開

発・運用（要件定義・設計～開発・テスト～運用・保守）だけでなくサービス提供やインフラ提供

といったクラウドサービスの利用も多い。一方、委託先の回答企業が受託する IT システム・サー

ビスの業務は、開発・運用（要件定義・設計～開発・テスト～運用・保守）が 8 割前後で特に多

32.7

16.8

10.2

27.3

12.0

1.0

0% 20% 40% 60% 80% 100%

再委託先はない

再委託先はあり、再々委託先はない

再委託先はあり、再々委託先以降もある

再委託先はあるが、再々委託先があるかどうかわからない

再委託先等があるかどうかわからない

無回答

(N=499)

22.1

40.5

25.0

11.1

0.8

0.5

0% 20% 40% 60% 80% 100%

再委託先はない

再委託先はあり、再々委託先はない

再委託先はあり、再々委託先以降もある

再委託先はあるが、再々委託先があるかどうかわからない

再委託先等があるかどうかわからない

無回答

(N=620)

41.9

79.4

1.8

0% 20% 40% 60% 80% 100%

系列企業・グループ企業

系列企業・グループ企業以外

無回答

(N=499)

34.2

86.6

0.8

0% 20% 40% 60% 80% 100%

系列企業・グループ企業

系列企業・グループ企業以外

無回答

(N=620)

47

くなっている。これは、委託先の回答企業の業種の割合がソフトウエア業が 53.7％と最も多いた

め（図 4.2-1 参照）、ソフトウエア開発・運用にかかわる業務が多くなっている可能性がある。業

務委託／受託業務を行う事業領域もソフトウエア（受託開発・パッケージソフト等）が最も多く

なっている。

図 4.3-6 委託／受託する ITシステム・サービスの業務（左：委託元・右：委託先）

図 4.3-7 業務委託／受託業務の事業領域（左：委託元・右：委託先）

13.4

54.1

66.3

75.6

55.5

70.1

18.4

2.2

1.2

0% 20% 40% 60% 80% 100%

PMO（プロジェクトマネジメント

オフィス）

要件定義・設計

開発・テスト

運用・保守

サービス提供（ASP、SaaS等）

インフラ提供（IaaS、ホスティン

グ、Webサイト構築等）

データ処理・分析

その他

無回答

(N=499)

29.0

78.7

87.7

82.6

36.8

39.7

28.7

4.2

0.5

0% 20% 40% 60% 80% 100%

PMO（プロジェクトマネジメント

オフィス）

要件定義・設計

開発・テスト

運用・保守

サービス提供（ASP、SaaS等）

インフラ提供（IaaS、ホスティン

グ、Webサイト構築等）

データ処理・分析

その他

無回答

(N=620)

38.1

13.2

50.1

48.3

71.5

49.7

14.6

51.3

23.2

0.6

1.4

0% 20% 40% 60% 80% 100%

BtoB インターネットビジネス

（Webサイト、広告等）

BtoC インターネットビジネス

（SNS、ポータル、EC、コンテンツ

販売等）

情報処理サービス（クラウド等）

システム・ネットワーク

インテグレーション

ソフトウエア (受託開発、

パッケージソフト等）

ハードウエア(情報通信機器等）

IoT（遠隔監視、データ収集等）

社内システム

（バックオフィス業務等）

企業の対外的ポータルサイト

その他の事業領域

無回答

(N=499)

33.9

20.3

43.2

40.8

82.4

27.6

16.8

42.1

16.1

4.0

0.6

0.5

0% 20% 40% 60% 80% 100%

BtoB インターネットビジネス

（Webサイト、広告等）

BtoC インターネットビジネス

（SNS、ポータル、EC、コンテンツ

販売等）

情報処理サービス（クラウド等）

システム・ネットワーク

インテグレーション

ソフトウエア (受託開発、

パッケージソフト等）

ハードウエア(情報通信機器等）

IoT（遠隔監視、データ収集等）

社内システム

（バックオフィス業務等）

企業の対外的ポータルサイト

その他の事業領域

受託した委託元の事業領域はわか

らない

無回答

(N=620)

48

4.4. ITサプライチェーンリスクマネジメントに関する取組み

3.3.で検討した業務委託の個別のプロセスごとに、関連するアンケート調査、インタビュー調査

の結果、及び 4.1.に示す調査仮説の検討結果を以下に示す。

計画段階（①方針決定・リスクアセスメント）

情報資産やリスクに基づく情報セキュリティ対策の判断

回答企業における情報資産やリスクに基づく情報セキュリティ対策の判断の実施状況について、

図 4.4-1（委託元）、図 4.4-2（委託先）に示す。業務委託の実施に先立ち、情報セキュリティの観

点から、業務委託／受託業務で扱う情報資産とリスクを特定し、会社として業務を委託すべきか

（受託できるか）、必要な情報セキュリティ対策は何か等の判断を行っているのは委託元、委託先

とも 95％以上の高い割合となった。一方、これを「社内ルールとして」実施しているのは、委託

元の回答企業で 51.5％、委託先の回答企業で 79.2％と開きがあった。さらに、同じ設問を企業規

模別（総従業員数別）でみた結果を、図 4.4-3（委託元）、図 4.4-4（委託先）に示す。委託元では

従業員数 301 名以上の企業の方が従業員数 300 名以下の企業と比較して、社内ルールとしての実

施率が 10 ポイント以上高い結果となった。また、委託先でも従業員数 101 名以上41の企業の方が

従業員数 100 名以下の企業と比較して 10 ポイント以上、社内ルールとしての実施率が高くなって

いる。

委託元へのインタビュー調査（表 4.4-1 参照）では、金融業の企業で情報資産ごとに委託先に要

求するセキュリティレベルを定めている例があった。また、サービス業の企業からは、委託先に

よって情報セキュリティ対策の実施状況が異なるので、個人情報の委託の扱いについて検討課題

になっているとの意見があった。

委託先へのインタビュー調査（表 4.4-1 参照）では、「委託先での情報資産やリスクに基づく情

報セキュリティ対策の判断」の具体的な実施方法として、委託元への提案に先立ち、社内のセキ

ュリティアセスメントを実施し、見積額に反映させるプロセスを整備している例があった。

調査仮説「委託（受託）業務におけるセキュリティ脅威、リスク等について事前に確認してい

ない。」に関して、3.3.1.でも述べたように、業務や情報資産を委託することによる様々なリスクを

十分に考慮し、適切な対応を検討することは、社内のルール・手順等に沿って確実に実施される

ことが重要であるが、前述のとおり情報資産やリスクに基づく業務委託の方針判断を社内ルール

に基づく取組みとして実施しているのは委託元の回答企業で 5 割程度、委託先の回答企業で 8 割

と、取組みの浸透度に差がある状況があった。

41 1.3.2.(4)に示すように、委託先については大企業と中小企業の従業員数の区切りを 100 名としている。

49

図 4.4-1 情報資産やリスクに基づく情報セキュリティ対策の判断（委託元）

図 4.4-2 情報資産やリスクに基づく情報セキュリティ対策の判断（委託先）

図 4.4-3 情報資産やリスクに基づく情報セキュリティ対策の判断（委託元、総従業員数別）

図 4.4-4 情報資産やリスクに基づく情報セキュリティ対策の判断（委託先、総従業員数別）

51.5 44.1 3.2 1.2

0% 20% 40% 60% 80% 100%

社内ルールに基づき判断している 社内ルールはないが、必要に応じて判断している

判断していない 無回答

(N=499)

79.2 19.0 0.81.0

0% 20% 40% 60% 80% 100%

社内ルールに基づき判断している 社内ルールはないが、必要に応じて判断している

判断していない 無回答

(N=620)

46.6

48.4

4.0

1.1

58.2

38.6

2.3

0.9

0% 20% 40% 60% 80% 100%

社内ルールに基づき判断している

社内ルールはないが、必要に応じて判断している

判断していない

無回答

～300名（N=277） 301名～（N=220）

74.9

22.9

0.6

1.7

85.0

13.9

1.1

0.0

0% 20% 40% 60% 80% 100%

社内ルールに基づき判断している

社内ルールはないが、必要に応じて判断している

判断していない

無回答

～100名（N=354） 101名～（N=266）

50

表 4.4-1 情報資産やリスクに基づく情報セキュリティ対策の判断に関する

インタビュー調査結果

インタビューの観点 インタビュー内容

情報資産やリスクに

基づく情報セキュリ

ティ対策の判断

（委託元）

〇金融業

情報のレベルは、個人情報の上位に、顧客の秘密情報（ID、パスワード

など）を設置し、より高度なセキュリティ要求としている。

〇サービス業

委託先は業種や規模（チェーン企業から個人経営まで）によってセキュ

リティレベルが異なるため、委託先への個人情報の委託は今後の検討課

題となっている。

情報資産やリスクに

基づく情報セキュリ

ティ対策の判断

（委託先）

〇アジア圏 IT 企業

提案時に社内のセキュリティアセスメントがあり、委託元の要望にセキ

ュリティ要件が含まれている場合は、アセスメントでハイリスク認定さ

れるため、見積額が大きくなる。

業務委託で扱う情報資産に関して懸念する情報セキュリティ上のリスク

業務委託／受託業務で扱う情報資産に関して懸念する情報セキュリティ上のリスクを図 4.4-5

（委託元）、図 4.4-6（委託先）に示す。「外部攻撃（ウイルス感染や不正アクセス等）」に対する

懸念度合いで「非常に懸念している」が、委託元（46.1％）、委託先（59.2％）とも特に高くなって

いる。2.1.1.に示すインシデント事例の調査においても、収集した公開されている事例の中では不

正アクセスの事例が最も多く、企業が懸念するリスクの傾向と一致する。

図 4.4-5 業務委託で扱う情報資産に関して懸念する情報セキュリティ上のリスク（委託元）

19.2

46.1

21.4

36.7

17.4

50.9

37.3

62.5

48.7

50.1

27.1

14.4

13.4

13.2

28.9

2.2

1.6

1.8

0.8

3.0

0.6

0.6

0.8

0.6

0.6

0% 20% 40% 60% 80% 100%

内部不正

外部攻撃

（ウイルス感染や不正アクセス等）

人的ミス（誤操作等）

システム障害、停止

災害

非常に懸念している ある程度懸念している あまり懸念していない 全く懸念していない 無回答

(N=499)

51

図 4.4-6 受託業務で扱う情報資産に関して懸念する情報セキュリティ上のリスク（委託先）

計画段階（②体制・ルール整備・教育）

業務委託における情報セキュリティに関する取組み

委託元の回答企業における情報セキュリティに関する委託先管理の取組み（業務委託で扱う情

報の種類ごと）の実施状況を図 4.4-7 に示す。取組みとして最も多く実施されているのは情報セ

キュリティを考慮した委託先選定であり、個人情報に対して 65.5％、営業秘密に対して 66.1％の

実施率であった。他の取組みも個人情報と営業秘密に関する取組みの実施状況が同程度で、その

他の非公開情報と比較して高い値になっている。

委託先管理の取組みのうち、「業務委託で扱う情報資産の厳格な管理（授受から廃棄等の一連の

プロセス）」について、委託元の回答企業の結果を業種別に見た結果を図 4.4-8 に示す。例えば、

情報通信業はいずれの情報資産に対しても取組みの実施率が 8 割前後と高く、金融業、保険業は

特に個人情報に対する実施率が 100％と特に高くなっている。委託元が個人データの取扱いを委

託する場合、委託元は個人情報保護法に基づき委託先において安全管理措置が適切に講じられる

よう、必要かつ適切な監督を行うことが求められるが、金融や医療、電気通信等の、特に厳格な

個人情報の管理が求められる特定の業種に対しては、分野毎のガイドラインが整備されており42、

こうした分野においては個人情報に対する情報セキュリティの取組み意識が高いと考えられる。

委託元へのインタビュー調査（表 4.4-2 参照）でも、情報資産のうち、特に顧客の個人情報等を

扱う業務に対しては、委託先選定に当たり、より高度なセキュリティの要求を行うといった意見

が得られている。

一方、製造業では、営業秘密に対する実施率が 59.0％と情報通信業、金融業、保険業の次に高

く、また個人情報に対する実施率（46.4％）よりも 12 ポイント以上高い点が特徴的となっている。

42 個人情報保護委員会 特定分野ガイドライン

https://www.ppc.go.jp/personal/legal/guidelines/

29.5

59.2

46.6

40.6

18.9

46.0

34.4

49.0

48.5

54.8

22.1

5.6

3.2

9.8

24.0

1.8

0.3

0.5

0.5

1.6

0.6

0.5

0.6

0.5

0.6

0% 20% 40% 60% 80% 100%

内部不正

外部攻撃

（ウイルス感染や不正アクセス等）

人的ミス（誤操作等）

システム障害、停止

災害

非常に懸念している ある程度懸念している あまり懸念していない 全く懸念していない 無回答

(N=620)

52

IPA が実施した「企業における営業秘密管理に関する実態調査」43の中で、取引先向けの対策のう

ち、「営業秘密授受等が発生する取引先には秘密保持契約を締結」という対策については、製造業

かつ大企業で特に実施率が高くなっており、法律専門家に対するインタビュー調査によれば、「中

小規模企業は情報管理を徹底できていないことが多いので、特に大規模企業は下請け企業等に渡

す営業秘密の管理を厳重に行う必要がある」という指摘がなされている。

図 4.4-7 情報セキュリティに関する委託先管理の取組み（委託元）

43 情報処理推進機構「企業における営業秘密管理に関する実態調査」調査報告書（2017 年）

https://www.ipa.go.jp/files/000057774.pdf

無作為に抽出した 12,000 社に対しアンケート調査票を郵送、2,175 社から有効回答。

65.5

57.1

57.1

48.3

46.3

38.9

66.1

58.5

56.7

47.5

45.9

41.3

45.5

41.9

40.5

36.5

34.1

30.5

15.8

22.0

23.0

33.5

35.1

41.5

2.0

2.6

2.8

2.6

2.8

3.0

0% 20% 40% 60% 80% 100%

情報セキュリティを考慮した委託先選定

委託契約における

情報セキュリティ要求事項の明確化

業務委託で扱う情報資産の厳格な管理

（授受から廃棄等の一連のプロセス）

委託先の情報セキュリティ対策の

実施状況の確認

インシデントに対する対応体制の整備

業務委託完了時の情報セキュリティの

観点からの検収・評価

個人情報 営業秘密 その他の非公開情報 当該取組みはない 無回答

(N=499)

53

図 4.4-8 業務委託で扱う情報資産の厳格な管理（授受から廃棄等の一連のプロセス）の

実施状況（委託元、業種別 ＜N=10以上のみ＞）

一方、委託先における受託業務の情報セキュリティ対策（受託業務で扱う情報の種類ごと）の

実施状況を図 4.4-9 に示す。業務委託の各プロセスの情報セキュリティ対策のいずれについても、

個人情報と営業秘密に対して 8 割前後の実施率となっており、委託元よりも取組みが浸透してい

る状況がうかがえる。

委託先へのインタビュー調査（表 4.4-2 参照）では委託元の最重要情報を取り扱う業務は、委託

の契約形態として委託元に常駐での作業として、情報の持ち出しへの厳格な制限をかける工夫を

されている企業もあるとのことであった。

調査仮説「業務委託における情報セキュリティの取組みの実施状況は取り扱う情報資産の重要

度によって異なる。」に関して、調査結果からも情報資産により取組みの実施率が異なり、特に委

託元では業種において重要度が高いと考えられる情報資産に対しては、実施率も高くなる傾向が

ある。

51.1

46.4

86.7

55.3

53.6

100.0

63.6

46.8

59.0

83.3

57.9

58.8

68.8

47.0

36.2

41.6

76.7

57.9

32.0

50.0

27.3

31.9

24.1

6.7

21.1

23.7

0.0

25.8

0.0

4.2

3.3

2.6

3.1

0.0

1.5

0% 20% 40% 60% 80% 100%

建設業（N=47）

製造業（N=166）

情報通信業（N=30）

運輸業、郵便業（N=38）

卸売業、小売業（N=97）

金融業、保険業（N=16）

その他のサービス業

（N=66）

個人情報 営業秘密 その他の非公開情報 当該取組みはない 無回答

54

図 4.4-9 受託業務における情報セキュリティ対策（委託先）

76.0

81.0

81.3

80.0

78.9

73.9

83.7

76.8

74.4

71.6

58.2

64.7

64.7

63.2

60.5

8.4

3.5

3.7

6.5

7.3

1.8

1.5

1.5

1.3

2.3

0% 20% 40% 60% 80% 100%

提案時の情報セキュリティ対策の説明

情報管理・情報セキュリティに関する

契約内容確認

受託業務で扱う情報資産の厳格な管理

（授受から廃棄等の一連のプロセス）

委託元による情報セキュリティ対策の

実施状況の確認への対応

インシデントに対する対応体制の整備

個人情報 営業秘密 その他の非公開情報 当該取組みはない 無回答

(N=620)

55

表 4.4-2 業務委託における情報セキュリティの取組みに関する

インタビュー調査結果

インタビューの観点 インタビュー内容

情報セキュリティに

関する委託先管理の

取組み（委託元）

〇金融業

従前より、リスク管理部門にて外部委託先の管理を実施しており、IT シ

ステムの委託先管理を反映した。

情報のレベルは、個人情報の上位に、顧客の秘密情報（ID、パスワード

など）を設置し、より高度なセキュリティ要求としている。（再掲）

〇サービス業

情報セキュリティ対策の対象となる情報資産は個人情報である。海外拠

点も含めて、システムの重要度（個人情報の有無や件数等で分類）に応

じて、情報セキュリティ対策のアンケート及び実査を実施している。

受託業務における情

報セキュリティ対策

（委託先）

〇日本 IT 企業 C

委託元が医薬品産業の場合、プロジェクトで重要情報を取り扱うため常

駐型となる。

〇日本 IT 企業 D

委託元から求められる個別のセキュリティ要求は、重要度に応じてサー

ビスメニューとして取り込む。例えば、委託元内部で 2 つのアクセス権

限を設定する必要があったが、当時のアクセス権限機能は個別設定でき

ない仕様であった。委託元の要望を基に個別設定できるよう機能を改修

し、現在はサービスメニュー化している。

〇アジア圏 IT 企業

委託元のセキュリティ要求に基づき個別対応することを基本スタンスと

している。例えば、機密情報を扱うプロジェクトでは、隔離された部屋

の用意を委託元から求められる場合があるが、予めそれに備えて、部屋

を柔軟に仕切ることができるように設計されている。

機密情報を扱うプロジェクトでは、常駐型となることが多い。

業務委託における情報セキュリティの取組みの所管部門

前掲（図 4.4-7、図 4.4-9 参照）で示した業務委託における情報セキュリティの取組みを所管す

る部門を図 4.4-10（委託元）、図 4.4-11（委託先）に示す。委託元の回答企業では委託先管理の取

組み全般に情報システム・情報セキュリティ部門が関与している。これは、委託元の回答企業の

回答者のうち 73.2%が情報システム部門・情報セキュリティ部門の所属であることも影響してい

ると推測される。委託先の回答企業でも情報システム部門・情報セキュリティ部門は取組み全体

に関与しているものの、取組みごとに営業部門や事業部門なども分散して関与している。なお、

3.2.で業務委託における情報セキュリティの取組みを所管する部門を表 3.2 1、表 3.2-2 に示すよう

に整理しているが、これと図 4.4-10、図 4.4-11 の結果を比較してみても、特に委託元で情報シス

テム部門・情報セキュリティ部門に役割分担が偏っており、他の関係する部門が十分に責任を果

たせていない可能性がある。

委託元へのインタビュー調査（表 4.4-3 参照）では、情報システムや情報セキュリティを所管す

る部門が委託先における情報セキュリティ対策について全体的な管理を担当していた。また、委

託先へのインタビュー調査のうち、委託先の国内 IT 企業 B では情報セキュリティに関して、プロ

セスごとに営業部門、法務部門、事業部門が関与する形で管理体制が整備されていたが、案件を

56

提案し獲得する営業部門と、遂行する事業部門の間でリスク等に対する認識のギャップがあるこ

とが課題となっており、営業部門の提案が適切な内容になっているか事業部門が現場視点で確認

を行うという取組みを行っていた。一方、国内 IT 企業 C では、営業、契約、遂行に至るまで 1 人

の担当者で対応し、遂行のスピードを重視して情報セキュリティ面での管理は意図的にしていな

いといった実態も聞かれた。

図 4.4-10 情報セキュリティに関する委託先管理の取組みの所管部門（委託元）

図 4.4-11 受託業務における情報セキュリティ対策の所管部門（委託先）

21.0

14.4

14.3

15.7

11.7

15.1

79.8

78.7

74.7

75.9

79.3

74.3

14.8

22.1

12.2

10.5

13.0

8.9

23.3

18.8

24.5

23.2

22.2

25.0

11.2

9.0

12.0

9.9

11.4

8.6

1.0

1.8

1.8

1.8

1.9

2.1

0% 20% 40% 60% 80% 100%

情報セキュリティを考慮した委託先選定

（N=420）

委託契約における

情報セキュリティ要求事項の明確化

（N=389）

業務委託で扱う情報資産の厳格な管理

（授受から廃棄等の一連のプロセス）

（N=384）

委託先の情報セキュリティ対策の

実施状況の確認

（N=332）

インシデントに対する対応体制の整備

（N=324）

業務委託完了時の情報セキュリティの

観点からの検収・評価

（N=292）

調達部門 情報システム部門・

情報セキュリティ部門

法務部門 事業部門 その他 無回答

67.1

63.0

40.4

48.8

48.5

53.7

54.0

61.8

68.8

76.2

10.7

35.3

11.7

13.3

19.5

48.8

44.5

60.3

54.3

52.2

3.9

8.9

6.5

7.1

9.9

1.1

0.7

1.0

0.9

1.2

0% 20% 40% 60% 80% 100%

提案時の情報セキュリティ対策の説明

（N=568）

情報管理・情報セキュリティに関する契約内容確認

（N=598）

受託業務で扱う情報資産の厳格な管理

（授受から廃棄等の一連のプロセス）

（N=597）

委託元による情報セキュリティ対策の実施状況の

確認への対応

（N=580）

インシデントに対する対応体制の整備

（N=575）

営業部門 情報システム部門・

情報セキュリティ部門

法務部門 事業部門 その他 無回答

57

表 4.4-3 業務委託における情報セキュリティの取組みの所管部門に関する

インタビュー調査結果

インタビューの観点 インタビュー内容

情報セキュリティに

関する委託先管理の

取組みの所管部門

（委託元）

〇金融業

個人情報を取り扱う重要システムの構築・運用を委託している委託先は、

全社 IT 管理部門が毎月の定例会と 3 か月に 1 回の実査を実施している。

それ以外の委託先（コールセンター、お客様対応窓口も含む）は、所管

部署が年 1 回実査をしている。委託先との初回契約時は全社 IT 管理部

門と主管部署の両方で実査をしている。

〇サービス業

委託先の選定基準等は全社 IT 管理部門から全社に向けて発信している。

実査も全社 IT 管理部門が実施している。

受託業務における情

報セキュリティ対策

の所管部門（委託先）

〇国内 IT 企業 B

現場の営業部隊が、委託元の要望ヒアリング、契約書、提案書の作成を

担当する。営業部隊が作成した契約書は、全社のコンプライアンス担当

が確認する。

営業部隊と現場遂行部隊で認識のギャップが存在することは課題認識し

ており、その対策として、提案の最終段階に現場遂行部隊も営業部隊と

協力して提案書作成、提案プレゼンへの同行をしている。

〇国内 IT 企業 C

営業と現場遂行で担当を分けず、担当者 1 人で両方対応する。契約書作

成も担当者個別で対応している。

プロジェクト遂行のスピード感を最重要視していることから、プロジェ

クト実施（契約、遂行、完了）における情報セキュリティ面の社内ルー

ル統一化は意図的に実施していない。

〇日本 IT 企業 D

営業部隊が、委託元と受注に至るまでの交渉を行い、受注後はサービス

相談窓口は現場遂行部隊となる。

〇アジア圏 IT 企業

委託元への提案内容は現場部隊と受注案件のセキュリティ管理部隊で検

討する。

契約書は、現場部隊が作成し、法務が確認する。

委託元と相対する現場の営業やプロジェクトマネージャーによって、セ

キュリティのスキルに差異がある。経験が十分にあれば、セキュリティ

上のリスクを十分把握した上で案件獲得や遂行ができるが、経験が浅い

とリスクよりも案件獲得を優先することがある。全社員のセキュリティ

教育に加え、営業やプロジェクトマネージャー向けに特化したセキュリ

ティ教育の必要性を感じている。

情報セキュリティに関する委託先管理における社内ルール・規定類

委託元における情報セキュリティに関する委託先管理における社内のルール・規定類の整備状

況（総従業員数別）を図 4.4-12 に示す。回答企業のうち、特に従業員数 301 名以上の企業では、

「情報セキュリティに関する項目を含む委託先選定基準」（45.9％）、「情報セキュリティ要求事項

を含む契約書雛形」（47.7％）などが 5 割程度整備されている。一方、「特にルールや規定類は整備

されていない」とする企業は従業員数 300 名以下の企業で 41.9％あり、従業員数 301 名以上の企

58

業（19.1％）の約 2 倍となっている。

図 4.4-12 情報セキュリティに関する委託先管理の社内ルール・規定類の整備状況

（委託元、総従業員数別）

業務委託における情報セキュリティの取組みの参考にしている基準、ガイドライン及び規格等

委託元の回答企業が委託先管理のルール・規定類の整備に取り入れている基準、ガイドライン

及び規格等を図 4.4-13 に、委託先の回答企業が受託業務の情報セキュリティ対策に取り入れてい

る基準、ガイドライン及び規格等を図 4.4-14 に示す。

委託元、委託先の回答企業ともに多く参考にされているのは「個人情報の保護に関するガイド

ライン（各省庁）」（委託元：54.5％、委託先：79.0％）、「情報セキュリティ管理基準（経済産業省）」

（委託元：40.7%、委託先：51.1％）、「中小企業の情報セキュリティガイドライン（IPA）」（委託元：

25.9％、委託先：44.4％）などであった。

委託元の回答企業が参考にしている基準、ガイドライン及び規格等を業種別に取り上げた結果

を図 4.4-15 に示す。金融業、保険業では、「金融機関等コンピュータシステムの安全対策基準

（FISC）」（68.8％）や「政府機関等の情報セキュリティ対策のための統一基準群（NISC）」（56.3％）

が多く参考にされている。情報通信業では、「個人情報の保護に関するガイドライン（各省庁）」

（93.3％）や「JIS Q 27000 シリーズ（情報セキュリティマネジメントシステム関連規格：ISMS）」

（53.3％）が多く参考にされている。一方、製造業やその他サービス業においては、業種として特

別参考にされている基準、ガイドライン及び規格等はない。

委託元へのインタビュー調査（表 4.4-4 参照）でも、金融業では FISC の安全対策基準をベース

にルールを策定していたが、サービス業では、業界としてどの程度のセキュリティレベルが妥当

なのかわからないといった意見が挙げられており、参照すべき指標として共通的に認識されてい

るものがない可能性がある。

なお、委託先の回答企業では「JIS Q 27000 シリーズ（情報セキュリティマネジメントシステム

関連規格：ISMS）」（56.1％）、「JIS Q15001（個人情報保護マネジメントシステム：P マーク）」（52.1％）

28.2

4.3

23.8

33.2

19.5

2.2

41.9

1.1

45.9

6.4

32.7

47.7

30.9

2.3

19.1

0.0

0% 20% 40% 60% 80% 100%

情報セキュリティに関する項目を含む委託先選定基準

情報セキュリティ対策の評価結果に基づく

推奨委託先リスト

委託先に求める情報セキュリティ対策リスト

（基準、ガイドライン、規格等を参照する場合も含む）

情報セキュリティ要求事項を含む契約書雛形

委託先の情報セキュリティ対策状況の確認形式

（チェックリスト等）

その他

特にルールや規定類は整備されていない

無回答

～300名（N=277） 301名～（N=220）

59

等情報セキュリティに関する国際規格も広く参考にされている。インタビューをした委託先では、

委託元から特に提示されない場合は ISMS をベースにした要件の提案を行うとの意見があった。

実際、インタビューを行った委託先の国内 IT 企業のすべてが ISMS の認証を取得していた。

図 4.4-13 委託先管理のルール・規定類の整備に取り入れている・参考にしている

基準、ガイドライン及び規格等（委託元）

16.6

54.5

11.4

40.7

15.2

7.8

25.9

16.8

5.4

0.6

4.6

0.6

0.2

1.4

19.8

0.8

12.8

0.8

6.2

19.6

0% 20% 40% 60% 80% 100%

政府機関等の情報セキュリティ対策のための統一基準群

（NISC：内閣サイバーセキュリティセンター）

個人情報の保護に関するガイドライン（各省庁）

営業秘密管理指針（経済産業省）

情報セキュリティ管理基準（経済産業省）

下請適正取引等の推進のためのガイダンス

（経済産業省、総務省、国土交通省）

情報システム・モデル取引・契約書（経済産業省）

中小企業の情報セキュリティ対策ガイドライン（IPA）

組織における内部不正防止ガイドライン（IPA）

金融機関等コンピュータシステムの安全対策基準

（FISC：金融情報システムセンター）

サプライチェーン情報セキュリティ管理基準

（JASA：特定非営利活動法人日本セキュリティ監査協会）

ソフトウエア開発委託基本モデル契約書

（JISA：一般社団法人情報サービス産業協会）

非ウォーターフォール型開発に適したモデル契約書（IPA）

CMMI（能力成熟度モデル統合）

PCI DSS

（Payment Card Industry Data Security Standard）

JIS Q 27000シリーズ

(情報セキュリティマネジメントシステム関連規格：ISMS)

JIS X 5070-1

（情報技術セキュリティの評価基準：CC）

JIS Q15001

（個人情報保護マネジメントシステム：Pマーク）

SP800シリーズ（NIST：米国国立標準技術研究所）

その他

無回答

(N=499)

60

図 4.4-14 受託業務における情報セキュリティ対策に取り入れている・参考にしている

基準、ガイドライン及び規格等（委託先）

25.0

79.0

18.5

51.1

34.4

16.9

44.4

30.2

10.0

2.9

18.5

1.5

4.8

3.2

56.1

1.0

52.1

0.8

3.4

2.7

0% 20% 40% 60% 80% 100%

政府機関等の情報セキュリティ対策のための統一基準群

（NISC：内閣サイバーセキュリティセンター）

個人情報の保護に関するガイドライン（各省庁）

営業秘密管理指針（経済産業省）

情報セキュリティ管理基準（経済産業省）

下請適正取引等の推進のためのガイダンス

（経済産業省、総務省、国土交通省）

情報システム・モデル取引・契約書（経済産業省）

中小企業の情報セキュリティ対策ガイドライン（IPA）

組織における内部不正防止ガイドライン（IPA）

金融機関等コンピュータシステムの安全対策基準

（FISC：金融情報システムセンター）

サプライチェーン情報セキュリティ管理基準

（JASA：特定非営利活動法人日本セキュリティ監査協会）

ソフトウエア開発委託基本モデル契約書

（JISA：一般社団法人情報サービス産業協会）

非ウォーターフォール型開発に適したモデル契約書（IPA）

CMMI（能力成熟度モデル統合）

PCI DSS

（Payment Card Industry Data Security Standard）

JIS Q 27000シリーズ

(情報セキュリティマネジメントシステム関連規格：ISMS)

JIS X 5070-1

（情報技術セキュリティの評価基準：CC）

JIS Q15001

（個人情報保護マネジメントシステム：Pマーク）

SP800シリーズ（NIST：米国国立標準技術研究所）

その他

無回答

(N=620)

61

図 4.4-15 委託先管理のルール・規定類の整備に取り入れている・参考にしている

基準、ガイドライン及び規格等（委託元、業種別 ＜N=10以上のみ＞）

表 4.4-4 参考にしている基準、ガイドライン及び規格等に関する

インタビュー調査結果

インタビューの観点 インタビュー内容

参考にしている

基準、ガイドライン

及び規格等（委託元）

〇金融業

情報セキュリティの要求事項は、FISC の安全対策基準をベースに作成

し、インシデント発生時に都度追加している。

〇サービス業

経営層からセキュリティ対策の妥当性を確認されることがあるが、一般

的なレベル感がわからない。業界別に求められる情報セキュリティ対策

レベルがわかるとよい。

参考にしている

基準、ガイドライン

及び規格等（委託先）

〇国内 IT 企業 B

委託元が金融の場合は FISC、公共の場合は総務省のガイドラインを要求

される。ISMS を取得している委託元であれば、ISMS に基づく要求があ

る場合もある。

委託元からセキュリティ要件が提示されない場合、委託元には ISMS ベ

ースの情報セキュリティ対策を提案する。

〇国内 IT 企業 C

委託元から ISMS 取得が契約の条件であると要求されたことがきっかけ

で、ISMS を取得した。

10.6

48.9

36.2

17.0

2.1

21.3

6.4

13.3

50.0

45.2

34.9

1.8

21.1

6.6

23.3

93.3

50.0

30.0

16.7

53.3

56.7

18.4

52.6

34.2

15.8

0.0

7.9

2.6

16.5

45.4

42.3

24.7

0.0

13.4

9.3

56.3

75.0

50.0

25.0

68.8

18.8

25.0

15.2

59.1

28.8

19.7

6.1

13.6

18.2

0% 20% 40% 60% 80% 100%

政府機関等の情報セキュリティ対策のための統一基準群

（NISC：内閣サイバーセキュリティセンター）

個人情報の保護に関するガイドライン（各省庁）

情報セキュリティ管理基準（経済産業省）

中小企業の情報セキュリティ対策ガイドライン（IPA）

金融機関等コンピュータシステムの安全対策基準

（FISC：金融情報システムセンター）

JIS Q 27000シリーズ

(情報セキュリティマネジメントシステム関連規格：ISMS)

JIS Q15001（個人情報保護マネジメントシステム：Pマーク）

建設業（N=47） 製造業（N=166） 情報通信業（N=30）運輸業、郵便業（N=38） 卸売業、小売業（N=97） 金融業、保険業（N=16）その他のサービス業（N=66）

62

業務委託における情報セキュリティの取組みの課題

委託元の回答企業における情報セキュリティに関する委託先管理の推進の課題を図 4.4-16（総

従業員数別）、図 4.4-17（取引を行う委託先の社数別）に示す。

全体で最も多く挙げられた課題は、「社内に十分な知見・スキルを持った人材がいない」（63.1％）

であった。特に、図 4.4-16 で従業員数 300 名以下の企業（67.9％）では従業員数 301 名以上の企

業（57.7％）と比較して 10 ポイント以上高く、人材の不足が委託先管理を推進する上で阻害要因

となっていることが推測される。

委託元へのインタビュー調査（表 4.4-5 参照）では、社内でセキュリティ人材が育たないため、

外部から採用するという意見もあった。また委託先へのインタビュー調査でも、委託元の企業で

どのようなセキュリティ対策を行うべきなのか理解が十分でないといった意見が複数挙げられた。

経済産業省が 2016 年に公表した「IT 人材の最新動向と将来推計に関する調査結果」44によると、

2016 年時点で国内のユーザ企業、IT 企業の情報セキュリティ人材は約 13.2 万人不足していると

推計されており、さらに 2020 年には 19.3 万人にまで不足数が拡大すると試算されている。また、

ユーザ企業における IT 人材全体を巡る課題として、多重下請け構造の中で IT 人材が IT 企業に偏

在し、ユーザ企業が社内に IT 人材を十分に確保していない点が指摘されている45。

また、全体で次に多く挙げられた課題は「すべての業務委託に対して統一的な管理体制やルー

ルを適用することが難しい」（58.5％）であり、特に、図 4.4-17 で直接取引を行う委託先社数が多

い（11 社以上）グループでは 69.8％と高くなっている。委託先の数が多くほど、それぞれ異なる

委託業務に対して、統一的な情報セキュリティに関する委託先管理を実施することが難しい状況

があると考えられる。

図 4.4-16 情報セキュリティに関する委託先管理の推進の課題（委託元、総従業員数別）

44 経済産業省「IT 人材の最新動向と将来推計に関する調査結果」（2016 年）

http://www.meti.go.jp/press/2016/06/20160610002/20160610002.html 45 経済産業省「IT 人材を巡る現状について」産業構造審議会 商務流通情報分科会 情報経済小委員会 IT 人材

ワーキンググループ第 1 回資料（2015 年）

http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/pdf/001_04_01.pdf

33.1

63.1

58.5

21.4

9.0

1.8

7.4

32.1

67.9

53.8

21.3

8.3

1.1

7.2

34.5

57.7

64.5

21.8

10.0

2.7

7.3

0% 20% 40% 60% 80% 100%

自社の属する業界において、委託先の

情報セキュリティ確保への意識が低い

社内に十分な知見・スキルを持った人材がいない

すべての業務委託に対して統一的な管理体制やルールを

適用することが難しい

委託先の情報セキュリティ対策にかかわる部門間の調整が

大変である

海外の委託先に対して国内の委託先と同じ管理を

適用することは現実的でない

その他

無回答

全体（N=499） ～300名（N=277） 301名～（N=220）

63

図 4.4-17 情報セキュリティに関する委託先管理の推進の課題

（委託元、取引を行う委託先数別）

委託先の回答企業の受託業務における情報セキュリティ対策に関する課題（取引を行う委託元

の社数別）を図 4.4-18 に示す。全体で最も多く挙げられた課題は「様々な種類、レベルの受託業

務に対応した情報セキュリティ対策を実施することが難しい」（64.5％）であった。特に直接取引

を行う委託元の数が多いグループでは課題意識が強く、様々な種類、レベルの業務に個別対応で

情報セキュリティ対策を行うことが委託先の負担になっていることが推察される。

図 4.4-18 受託業務における情報セキュリティ対策の課題（委託先、取引を行う委託元数別）

33.1

63.1

58.5

21.4

9.0

1.8

7.4

32.8

64.9

56.6

19.6

6.7

1.8

7.8

38.4

57.0

69.8

33.7

18.6

2.3

2.3

0% 20% 40% 60% 80% 100%

自社の属する業界において、委託先の

情報セキュリティ確保への意識が低い

社内に十分な知見・スキルを持った人材がいない

すべての業務委託に対して統一的な管理体制やルールを

適用することが難しい

委託先の情報セキュリティ対策にかかわる部門間の調整が

大変である

海外の委託先に対して国内の委託先と同じ管理を

適用することは現実的でない

その他

無回答

全体（N=499） 1社～10社（N=387） 11社以上（N=86）

23.4

37.9

64.5

51.3

3.7

7.4

20.8

41.2

58.3

50.0

4.2

9.3

23.2

37.3

69.3

52.2

2.2

7.0

26.1

32.8

69.4

56.7

6.7

3.7

0% 20% 40% 60% 80% 100%

情報セキュリティ確保の意識が低い委託元が多い

社内に十分な知見・スキルを持った人材がいない

様々な種類、レベルの受託業務に対応した

情報セキュリティ対策を実施することが難しい

受託業務における情報セキュリティ対策にかかわる

関係部門の負担が大きい

その他

無回答

全体（N=620） 1社～10社（N=216） 11社～50社（N=228） 51社以上（N=134）

64

表 4.4-5 業務委託における情報セキュリティの取組みの課題に関する

インタビュー調査結果

インタビューの観点 インタビュー内容

委託元社内における

十分な知見・スキル

を持った人材の不足

（委託元）

〇サービス業

本業としてセキュリティ人材育成は難しいことから、全社 IT 管理部門は

外部からセキュリティ人材を採用している。

経営層からセキュリティ対策の妥当性を確認されることがあるが、一般

的なレベル感がわからない。業界別に求められる情報セキュリティ対策

のレベルがわかるとよい。（再掲）

委託元社内における

十分な知見・スキル

を持った人材の不足

（委託先）

〇アジア圏 IT 企業

委託元とのセキュリティ要件の摺合せでの課題は、委託元での IT スキル

やセキュリティ理解の不足であろう。委託元でそもそも何をセキュリテ

ィ要件にしたらよいか分からないという場合もあり、そのような場合は

こちらから要件を提案する。

〇国内 IT 企業 A

委託元の業種と規模により、情報セキュリティ意識と情報セキュリティ

対策の実施度合いに差異があると感じる。

委託元のセキュリティ意識とスキルを向上しないと、委託先で必要な情

報セキュリティ対策を判断しなければならず負荷が高い。

〇日本 IT 企業 D

委託元から提示されるセキュリティ要求が曖昧であるために、委託元の

セキュリティ要望を把握しづらい場合がある。

65

実施段階（③選定／提案）

委託先選定において重視する点／委託元への提案におけるアピール点

委託元の回答企業が委託先選定において重視する点を図 4.4-19 に示す。委託先選定において重

視する点として、情報セキュリティに関する「情報セキュリティ対策の実施状況や認証の取得状

況（ISMS や P マーク等）」は「業務の品質・価格・納期」、「委託先への過去の発注実績、過去業

務の評価」、「委託先の経営・財務状況」に次ぐ 4 番目の優先度になっている。

一方、委託先の回答企業が委託元への提案においてアピールする点を図 4.4-20 に示す。委託先

では情報セキュリティの項目が、「業務の品質・価格・納期」、「類似業務の過去の受注実績、業界

シェア」に次ぐ 3 番目の優先度になっており、委託元より優先順位は高い。前述の通り、インタ

ビューを行った委託先の国内 IT 企業のすべてが ISMS を取得していた。

調査仮説「委託先の選定において、情報セキュリティ対策の優先順位は高くない。」に関して、

委託元の回答企業で、「情報セキュリティ対策の実施状況や認証の取得状況（ISMS や P マーク等）」

を選択した企業を業種別で見た結果を図 4.4-21 に示す。特に、情報通信業で情報セキュリティ対

策を優先事項として選択する企業が 86.7％と高くなっている。委託元で業務委託における情報セ

キュリティ対策の重要性を他の委託先の選定基準とも照らしてどの程度の優先度で位置付けるか

は、委託元の中核事業とも関連してくると考えられる。委託元の情報通信事業者と委託先の IT シ

ステム・サービス提供企業はどちらも情報セキュリティが自社の中核事業に直接かかわる要素で

あるため優先度も高くなっているが、一般的には、情報セキュリティが業務の品質・価格・納期、

過去の実績、委託先の経営・財務状況といった他の要素に対して、優先されることは多くないの

が実態と考えられる。

注）優先順位順選択の複数回答設問だが、ここでは選択数を合算したグラフとしている（無回答除く）。

図 4.4-19 委託先選定において重視する点（委託元、合計値）

92.8

82.2

57.5

50.1

36.3

25.9

26.1

2.4

0% 20% 40% 60% 80% 100%

業務の品質・価格・納期

委託先への過去の発注実績、過去業務の評価

委託先の経営・財務状況

情報セキュリティ対策の実施状況や認証の取得状況

（ISMSやPマーク等）

過去のインシデントの発生の有無

系列企業・グループ企業であること

国内企業であること

グローバル企業であること

(N=499)

66

注）優先順位順選択の複数回答設問だが、ここでは選択数を合算したグラフとしている（無回答除く）。

図 4.4-20 委託元への提案においてアピールする点（委託先、合計値）

図 4.4-21 委託先選定において重視する点：情報セキュリティ対策の実施状況や認証の取得状況

（ISMSや P マーク等）（委託元、業種別 ＜N=10以上のみ＞）

委託先が実施すべき具体的な情報セキュリティ対策

委託元による、委託先が実施すべき具体的な情報セキュリティ対策を仕様書等への明記の実施

状況を図 4.4-22、同じ結果を業種別に見たものを図 4.4-23、さらに最低限実施すべき情報セキュ

リティ対策として仕様書等で明記する項目を図 4.4-24 に示す。また、委託先の回答企業が受託業

務において、最低限実施する情報セキュリティ対策を図 4.4-25 に示す。なお、図 4.4-24、図 4.4-25

の選択肢として列挙した個別の情報セキュリティ対策は、IT サプライチェーンの情報セキュリテ

ィ要求事項を汎用的に利用できる観点から取りまとめられた JASA の「サプライチェーン情報セ

キュリティ管理基準」（3.1.1.及び 3.3.3.(1)参照）をベースに構成した。

93.1

77.4

40.2

74.8

45.8

20.5

18.5

5.2

0% 20% 40% 60% 80% 100%

業務の品質・価格・納期

類似業務の過去の受注実績、業界シェア

経営・財務状況

情報セキュリティ対策の実施状況や認証の取得状況

（ISMSやPマーク等）

過去にインシデントが無い、少ないこと

系列企業・グループ企業であること

国内企業であること

グローバル企業であること

(N=620)

55.3

45.8

86.7

28.9

50.5

56.3

50.0

0% 20% 40% 60% 80% 100%

建設業（N=47）

製造業（N=166）

情報通信業（N=30）

運輸業、郵便業（N=38）

卸売業、小売業（N=97）

金融業、保険業（N=16）

その他のサービス業（N=66）

67

委託元の回答企業のうち、委託先が実施すべき具体的な情報セキュリティ対策を仕様書等に明

記するのは 29.5％であり、業種別に見ると、ここでも情報通信業（53.3％）、金融業、保険業（43.8％）

等、情報セキュリティの委託先管理の取組みが進んでいる業種の実施率が高い。

委託先へのインタビュー調査（表 4.4-6 参照）でも、委託元からセキュリティ要件が提示される

かは、業種によって差異があるとの意見があった。

調査仮説「委託先で実施する具体的な情報セキュリティ対策について、委託元・委託先間で事

前に合意するのは容易ではない。」に関して、アンケート調査結果から、金融業、保険業や情報通

信業等以外では、委託元から具体的な情報セキュリティ対策が仕様書等で提示されることはまだ

多くないといえる。

委託先が最低限実施すべき情報セキュリティ対策を仕様書等に明記すると答えた委託元の回答

企業が仕様書に明記する項目（図 4.4-24）と委託先の回答企業が受託業務において、最低限実施

する情報セキュリティ対策（図 4.4-25）を比較すると、両者の結果で多く選択される対策の傾向

はある程度一致しており、情報セキュリティに関する委託先管理の取組みが進んでいる委託元の

場合、最低限必要な情報セキュリティ対策に関して、委託先との間の認識の違いが小さいと考え

られる。

図 4.4-22 委託先が実施すべき具体的な情報セキュリティ対策の仕様書等での明記（委託元）

図 4.4-23 委託先が実施すべき具体的な情報セキュリティ対策の仕様書等での明記

（委託元、業種別＜N=10以上のみ＞）

29.5 69.1 1.4

0% 20% 40% 60% 80% 100%

明記している 明記していない 無回答

(N=499)

31.9

25.9

53.3

34.2

24.7

43.8

30.3

68.1

71.1

46.7

63.2

74.2

56.3

69.7

0.0

3.0

0.0

2.6

1.0

0.0

0.0

0% 20% 40% 60% 80% 100%

建設業（N=47）

製造業（N=166）

情報通信業（N=30）

運輸業、郵便業（N=38）

卸売業、小売業（N=97）

金融業、保険業（N=16）

その他のサービス業（N=66）

明記している 明記していない 無回答

68

図 4.4-24 委託先が最低限実施すべき情報セキュリティ対策として仕様書等に明記するもの

（委託元）

70.1

57.1

43.5

72.1

53.7

52.4

44.2

61.2

63.9

52.4

68.7

49.7

53.1

55.8

51.7

53.7

49.0

76.2

1.4

0% 20% 40% 60% 80% 100%

情報セキュリティポリシーや情報セキュリティ管理に関する

規程の整備及び実践

全社的な情報セキュリティの推進体制やコンプライアンスの

推進体制の整備

重要な情報資産に対する重要性のレベルごとの分類、

レベルに応じた表示や取扱方法の規定

重要な情報の利用、保管、持ち出し、消去、破棄等に対する

取扱い手順の規定

再委託時の契約における情報セキュリティ要求事項の明記

従業者に対する情報セキュリティに関する就業上の義務の明確化

（採用、退職時における守秘義務に関する書面の取り交わし等）

従業者に対する情報セキュリティに関する自組織の取組みや

関連規程類についての計画的な教育や指導の実施

重要な情報資産のある建物や区画に対する

物理的セキュリティ対策、入退室管理の実施

重要な書類、モバイルPC、記憶媒体に対する施錠管理等の

適切な管理の実施

重要なデータや関連するシステムのバックアップに関する

手順の文書化及び実施

不正プログラム（ウイルス、ワーム、トロイの木馬、

ボット、スパイウエアなど）への対策実施

情報システムに対する、適切かつ迅速な脆弱性対策の実施

ネットワーク上のデータに対する暗号化などの

適切な保護策の実施

モバイルPC、記憶媒体やデータの外部持ち出しに対する、

盗難、紛失などを想定した対策の実施

データや情報システムの利用者IDの管理、

利用者の識別と認証の実施

データや情報システム、業務アプリケーションなどに

対するアクセス権の付与とアクセス制御の実施

ネットワークのアクセス制御の実施

インシデント発生時の適切かつ迅速な初動対応、報告の実施

無回答

(N=147)

69

図 4.4-25 受託業務において、最低限実施する情報セキュリティ対策（委託先）

87.4

78.9

61.5

84.5

66.1

87.1

77.9

88.4

87.9

73.1

92.7

68.1

66.8

77.3

79.0

81.3

71.9

79.4

0.6

0% 20% 40% 60% 80% 100%

情報セキュリティポリシーや情報セキュリティ管理に関する

規程の整備及び実践

全社的な情報セキュリティの推進体制やコンプライアンスの

推進体制の整備

重要な情報資産に対する重要性のレベルごとの分類、

レベルに応じた表示や取扱方法の規定

重要な情報の利用、保管、持ち出し、消去、破棄等に対する

取扱い手順の規定

再委託時の契約における情報セキュリティ要求事項の明記

従業者に対する情報セキュリティに関する就業上の義務の明確化

（採用、退職時における守秘義務に関する書面の取り交わし等）

従業者に対する情報セキュリティに関する自組織の取組みや

関連規程類についての計画的な教育や指導の実施

重要な情報資産のある建物や区画に対する

物理的セキュリティ対策、入退室管理の実施

重要な書類、モバイルPC、記憶媒体に対する施錠管理等の

適切な管理の実施

重要なデータや関連するシステムのバックアップに関する

手順の文書化及び実施

不正プログラム（ウイルス、ワーム、トロイの木馬、

ボット、スパイウエアなど）への対策実施

情報システムに対する、適切かつ迅速な脆弱性対策の実施

ネットワーク上のデータに対する暗号化などの

適切な保護策の実施

モバイルPC、記憶媒体やデータの外部持ち出しに対する、

盗難、紛失などを想定した対策の実施

データや情報システムの利用者IDの管理、

利用者の識別と認証の実施

データや情報システム、業務アプリケーションなどに

対するアクセス権の付与とアクセス制御の実施

ネットワークのアクセス制御の実施

インシデント発生時の適切かつ迅速な初動対応、報告の実施

無回答

(N=620)

70

表 4.4-6 委託先が実施すべき具体的な情報セキュリティ対策に関する

インタビュー調査結果

インタビューの観点 インタビュー内容

委託先が実施すべき

具体的な情報セキュ

リティ対策（委託元）

〇金融業

情報セキュリティの要求事項は、FISC の安全対策基準をベースに作成

し、インシデント発生時に都度追加している。（再掲）

〇サービス業

契約内容に個人情報管理とセキュリティ管理の項目を含めている。

委託元から求められ

る具体的な情報セキ

ュリティ対策（委託

先）

〇国内 IT 企業 B

委託元からのセキュリティ要件は要件定義段階で求められることが多

い。

委託元の業種によって、提示されるセキュリティ要件が異なる。（再掲）

委託元からセキュリティ要件が提示されない場合、委託元には ISMS ベ

ースの情報セキュリティ対策を提案する。（再掲）

〇国内 IT 企業 C

委託元が SI 事業者の場合は、他産業に比べて求められるセキュリティの

要求レベルは高い。

〇アジア圏 IT 企業

委託元が規制業種の場合、セキュリティ要件が提示されることが多い。

〇アジア圏 IT 有識者

委託元が海外企業の場合、重要情報を扱うプロジェクトでは、委託元か

ら、契約書で使用するセキュリティソフトウエアやその設定まで詳細の

セキュリティ要求事項が提示される。

委託先が実施すべき内部不正対策

委託元の回答企業が、委託先が実施すべき内部不正対策として仕様書等に明記するものを図

4.4-26 に示す。また、委託先の回答企業が受託業務において実施する内部不正対策を図 4.4-27 に

示す。「私物のモバイル機器や記憶媒体に対する持ち込み、持ち出しの管理」や「従業者からの当

該業務委託の秘密保持等に関する誓約書の取得」などは委託元、委託先の回答企業とも比較的実

施率が高い。一方、「単独作業の制限、承認手続き」については、委託元（18.8％）、委託先（28.9％）

とも実施率は低い。なお、この対策は一定の作業者を確保する上で直接コストに影響するのに加

え、作業の制限や承認手続きによって作業効率の低下にも繋がることもあるため、他の対策が優

先されている可能性もある。

委託元へのインタビュー調査（表 4.4-7 参照）でも、金融業では 1 人の担当者の同一業務への

長期滞留や権限の集中を避けるように委託先に要求する一方で、セキュリティの確保と開発効率

のバランスが課題という意見があった。

調査仮説「委託先の情報セキュリティ対策において、内部不正対策を含めることは少ない。」に

関して、私物の持ち出し／持ち込み制限や誓約書の取得などは一定の取組みがあるものの、直接

委託する業務の作業に影響する踏み込んだ対策については、実施率は低いと考えられる。

なお、アジア圏 IT 企業及び有識者へのインタビュー調査（表 4.4-7 参照）では、海外企業の場

合、委託元が委託先の従業者のバックグラウンドチェックを求める事例があった。国内 IT 企業か

71

らも委託先での従業者の管理について課題意識が聞かれたが、日本では従業者の経歴調査等には

法令上の制限があるため（3.3.3.(1)参照）、適正な範囲内での取組みを模索する状況となっている。

図 4.4-26 委託先が実施すべき内部不正対策として仕様書等に明記するもの（委託元）

図 4.4-27 受託業務において実施する内部不正対策（委託先）

33.5

40.1

18.8

42.1

1.6

34.7

3.0

0% 20% 40% 60% 80% 100%

操作ログ等の取得・保存

私物のモバイル機器や記憶媒体に対する

持ち込み、持ち出しの管理

単独作業の制限、承認手続き

従業者からの当該業務委託の秘密保持等に関する

誓約書の取得

その他

特に明記していない

無回答

(N=499)

66.6

73.2

28.9

77.3

1.9

3.1

1.5

0% 20% 40% 60% 80% 100%

操作ログ等の取得・保存

私物のモバイル機器や記憶媒体に対する

持ち込み、持ち出しの管理

単独作業の制限、承認手続き

従業者からの当該業務委託の秘密保持等に関する

誓約書の取得

その他

特に実施していない

無回答

(N=620)

72

表 4.4-7 内部不正対策に関するインタビュー調査結果

インタビューの観点 インタビュー内容

委託先における人的

管理（委託元）

〇金融業

委託先以降の人的管理は難しい。委託先には、担当者が同一業務に長期

滞留しないこと、1 人に権限集中しないことを求めているが、セキュリ

ティ対策と開発効率化がトレードオフになり、判断が難しい。また、委

託先以降の作業者個人名は明かされないため、人的管理が難しい。

実査では、執務室、端末、引き出し、持ち物のチェックをしている。ま

た、技術的にはシステムログの取得、抑止目的で監視カメラ（入退出記

録）を用いている。

派遣社員では人材の流動性が高いことから、新しい担当者には特に注意

して確認している。

委託先における人的

管理（委託先）

〇国内 IT 企業 A

大規模な個人情報を扱うプロジェクトや、金銭に関する情報を扱う金融

系のプロジェクトにおいては、本来ならば、借金や犯罪歴がある人はプ

ロジェクトメンバーに含めたくないが、プロジェクト参画者に対して、

これらの素性調査を実施することは難しい。

〇国内 IT 企業 C

委託元が通信産業で、プロジェクトメンバーの国籍と雇用形態（正社員

かどうか）を確認されたことがある。

〇アジア圏 IT 企業

海外では、採用時に経歴等のバックグラウンドチェックを実施している。

一方、日本では法律に抵触しない範囲で実施している。

委託元が海外企業で、委託元からバックグラウンドの情報開示を求めら

れたことはある。委託元が日本企業では、防衛や重要インフラ関連プロ

ジェクトで、業務経歴の提出を求められることはある。

〇アジア圏 IT 有識者

海外企業では、採用時に個人情報や経歴の提供を求め、その情報の正当

性を確認する。確認の結果、誤った情報を提供されていた場合は雇用せ

ず、雇用後に判明した場合は解雇する。

委託元が欧米企業では、プロジェクトメンバーの経歴だけでなく、家族

構成や居住地の情報提供を求めることもある。

海外では、従業員の定着率が低い。特に IT 業界では、同業他社への転職

が多いことから、プロジェクトメンバー選定が課題である。離職時には

秘密保持契約に合意することとしているが、海外では法律的な強制力は

ない。そのため、プロジェクト遂行では作業を分解し、担当部分だけを

任せるようにすることで、1 人への集中を避けている。

委託先が対応できない情報セキュリティ対策への対応

委託元が要求する情報セキュリティ対策に委託先が対応できない場合の委託元と委託先の対応

について、図 4.4-28（委託元）、図 4.4-29（委託先）に示す。委託元、委託先の回答企業とも「委

託先に情報セキュリティ対策の代替案の提案を求める」（60.3%）、「情報セキュリティ対策の代替

案を提案する」（65.6％）と代替案の交渉を行う対応が多い。

調査仮説「委託元が要求する情報セキュリティ対策に委託先が対応できない場合、同等な代替

策を提案させる。」に関して、実態としても委託先から情報セキュリティ対策の代替案を提案する

73

ことは委託元・委託先間の交渉で行われていると言える。

委託元へのインタビュー調査（表 4.4-8 参照）でも、委託元として、代替案によって同等のセキ

ュリティが確保できる場合は、承諾するとの意見があった。

一方で、委託元の回答企業のうち 18.8％が「委託先を変更する」、8.0％が「業務委託をやめる」

という対応を行うとしており、委託元の要求に対して委託先からは交渉の余地がない場合も一定

数ある。

図 4.4-28 情報セキュリティ対策の要求に委託先が対応できない場合の対応（委託元）

図 4.4-29 情報セキュリティ対策の要求に対応できない場合の委託元への提案（委託先）

表 4.4-8 委託先が情報セキュリティ対策の要求に対応できない場合の対応

インタビューの観点 インタビュー内容

要求する情報セキュ

リティ対策に委託先

が対応できない場合

の対応（委託元）

〇金融業

要求する情報セキュリティ対策に委託先が対応できない場合は、部長レ

ベルの決裁をとる。例えば、クラウドサービスは実査が難しいため、最

低限の確認に留めるなど。

要求される情報セキ

ュリティ対策に対応

できない場合の委託

元への提案（委託先）

〇国内 IT 企業 C

委託元から隔離されたセキュリティ区画内でプロジェクト遂行するよう

要求されたことがある。その時は、社内の隔離された区画であるサーバ

ルームを使用することを委託元に提案し、合意された。

〇アジア圏 IT 企業

委託元からセキュリティ要求の相談があり、代替手段で求められるセキ

ュリティレベルに対応できる場合は、その代替手段を提案する。委託元

が代替手段を受け入れられない場合は、失注している。

60.3 5.2 18.8 8.0 4.4 3.2

0% 20% 40% 60% 80% 100%

委託先に情報セキュリティ対策の代替案の提案を求める情報セキュリティ対策の要求範囲を変更する委託先を変更する業務委託をやめるその他無回答

(N=499)

65.6 13.7 5.2 4.7 9.8 1.0

0% 20% 40% 60% 80% 100%

情報セキュリティ対策の代替案を提案する情報セキュリティ対策の要求範囲の変更を依頼するリスクが低いことを説明し、情報セキュリティ対策の免除を依頼するその他特に提案は行わない無回答

(N=620)

74

委託先選定／委託元への提案における情報セキュリティの観点での課題

委託先選定、委託元への提案における情報セキュリティの観点での課題を図 4.4-30（委託元）、

図 4.4-31（委託先）に示す。委託元の回答企業では、「社内に十分な知見・スキルを持った人材が

いない」（58.1％）という人材面の課題に加え、「委託先の情報セキュリティ対策レベルが異なり、

評価・選定が難しい」（57.3％）といった委託先の評価、選定の難しさが挙げられている。

一方、委託先の回答企業では「委託元によって、情報セキュリティの要求事項が異なり、個別

に対応する負荷が高い」（54.4%）が多く挙げられている。委託元による情報セキュリティの要求

事項、委託先の情報セキュリティ対策のレベルが、それぞれ企業によって異なることで、委託元

では委託先の評価・選定、委託先では委託元の要求への対応の負荷が高くなっている可能性があ

る。

インタビュー調査（表 4.4-9 参照）でも、委託元からは委託先の情報セキュリティ対策のレベル

の違いについて言及されており、委託先では委託元によって異なる情報セキュリティの要求に個

別対応しているといった実態が聞かれた。

また、調査仮説「個々の案件において見積書に計上すべき情報セキュリティ対策について、委

託元と委託先の認識にズレがある。」に関して、委託元の回答企業では「委託先の情報セキュリテ

ィ対策にかかるコストが委託費用に反映されることについて社内の理解が得られない」（32.1％）、

委託先の回答企業では「情報セキュリティ対策にかかるコストについて委託元の理解が得られな

い」（35.0％）と、委託先の情報セキュリティ対策のコストについて、同程度の課題意識があった。

2.2.に示したように、セキュリティの要求事項については、委託元の予算の都合上、調整要素と

して扱われる場合もある。有識者へのインタビュー調査（表 4.4-10 参照）では、委託先が委託元

への提案に情報セキュリティ対策にかかる費用をどのように計上するかは、委託先での既存の対

策や受注戦略にも関係する部分であるが、提案の範囲に含まれない対策が考えられる場合には、

提案時に費用見積とともに明示するべきという指摘があった。

図 4.4-30 委託先選定における情報セキュリティの観点での課題（委託元）

58.1

57.3

12.2

32.1

14.4

2.8

9.6

0% 20% 40% 60% 80% 100%

社内に十分な知見・スキルを持った人材がいない

委託先の情報セキュリティ対策レベルが異なり、

評価・選定が難しい

実績や技術力を持つ委託先があるが、

情報セキュリティ要求事項を満たせず選定できない

委託先の情報セキュリティ対策にかかるコストが委託費用

に反映されることについて社内の理解が得られない

選定時に委託先から情報セキュリティ対策の

情報を提供してもらえない

その他

無回答

(N=499)

75

図 4.4-31 委託元への提案における情報セキュリティの観点での課題（委託先）

表 4.4-9 委託先選定／委託元への提案における情報セキュリティの観点での課題に関する

インタビュー調査結果①

インタビューの観点 インタビュー内容

委託先の情報セキュ

リティ対策レベルの

違い（委託元）

〇金融業

委託先以降の全企業に依頼する年 1 回のチェックリストでは、委託先に

よって回答レベル異なることから、その信憑性を実査で確認している。

〇サービス業

顧客が企業レベルから個人経営の取引先まで、規模が様々であり、セキ

ュリティ対策レベルも異なる。

委託元からの情報セ

キュリティ対策の要

求事項に対する個別

対応（委託先）

〇国内 IT 企業 B

委託元の業種によって、提示されるセキュリティ要件が異なる。委託元

が金融では FISC、公共は総務省のガイドラインを要求される。ISMS を

取得している委託元であれば、ISMS に基づく要求がある場合もある。

（再掲）

〇アジア圏 IT 企業

委託元のセキュリティ要求に基づき個別対応することを基本スタンスと

している。（再掲）

17.6

31.0

54.4

35.0

31.6

2.6

10.5

0% 20% 40% 60% 80% 100%

委託元への提案について情報セキュリティの観点で

社内で確認していない

委託元の情報セキュリティの要求事項の水準が高く、

コスト負担が大きい

委託元によって、情報セキュリティの要求事項が異なり、

個別に対応する負荷が高い

情報セキュリティ対策にかかるコストについて

委託元の理解が得られない

情報セキュリティに関する提案が競合他社との

差別要因にならない

その他

無回答

(N=620)

76

表 4.4-10 委託先選定／委託元への提案における情報セキュリティの観点での課題に関する

インタビュー調査結果②

インタビューの観点 インタビュー内容

情報セキュリティコ

ストに対する委託元

社内の理解（委託元）

〇サービス業

インシデント発生後、経営判断で、セキュリティ対策は優先順位が高く、

必要な投資は認められる。

情報セキュリティコ

ストに対する委託元

からの理解（委託先）

〇国内 IT 企業 C

委託元の予算金額以上で契約するケースは殆どない。そのため、予算金

額を上限に契約し、その金額内での作業内容を交渉する。

〇アジア圏 IT 有識者

委託元が欧米企業の場合、委託元から提示される契約書の内容のうち 9

割は、ISMS をベースとした記載になっており、どの委託元でも共通事項

になっている。残り 1 割は個別のセキュリティ要求事項であるが、委託

元・委託先間で妥協策を協議し、追加となる場合は委託先からその費用

を提示する。追加費用となるのは、専用執務スペースの設置など、物理

的な対応が必要なケースである。一般執務スペースでの入退出管理など

基本的なセキュリティ対策は追加費用とはならない。

〇有識者 A

システム開発において、委託元が求めるセキュリティ要望は「安全であ

ること」であり、具体的な要件は提示されないことが多い。そのため、

委託先から相談を受けた際には、次の 2 点を助言している。

・提案書にセキュリティ要件の範囲について言及する、または、設計段

階で確定すると記載すること。

・セキュリティ要件を要件定義書または基本設計書に記載すること。

委託先からセキュリティ要件を提示しても、委託元の予算に見合わない

場合は、委託元はセキュリティ要件を断念することが多い。委託元で、

セキュリティ要件は重要度が低いように思える。ただし、最近は委託元

からも相談を受けることもあるため、委託元の意識は高まっている印象

もある。

77

実施段階（④契約）

契約に含める情報セキュリティにかかわる要求事項

委託元の回答企業において、委託先との契約に含める情報セキュリティにかかわる要求事項を

図 4.4-32 に示す。また委託先の回答企業において、委託元との契約に含まれる情報セキュリティ

にかかわる要求事項を図 4.4-33 に示す。秘密保持に関しては、委託元、委託先ともに契約の中に

ほぼ含まれている状況となっているが、そのほかの項目については、委託元でおおむね 3 割前後、

委託先では 4～5 割程度となっている。直接取引を行う社数別に同じ設問の結果（図 4.4-34、図

4.4-35 参照）を見ると、委託元、委託先とも取引社数が多いほど情報セキュリティの要求事項を含

める／含まれるケースが多くなっている。

インタビュー調査（表 4.4-11 参照）では、業務委託において、委託元と委託先のどちらの契約

雛形を使用するかはケースバイケースであるとされたが、取引社数が多い企業ほど、様々な取引

先と業務を行う中で、契約内容の交渉等の際に先方から情報セキュリティにかかわる要求事項が

含まれた雛形を提示されたり、あるいは自社の雛形に同様の項目を追加するように要求される機

会も多くなると推測される。

図 4.4-32 委託先との契約に含める情報セキュリティにかかわる要求事項（委託元）

94.0

26.9

27.3

35.9

29.1

29.1

10.6

13.6

27.3

43.9

0.8

2.4

0% 20% 40% 60% 80% 100%

秘密保持

具体的な情報セキュリティ対策の実施

（既存の基準への適合や認証取得等も含む）

証跡の提示、監査協力等

情報セキュリティに関する契約内容に

違反した場合の措置

情報セキュリティに関する委託元と委託先の責任範囲

インシデントが発生した場合の対応

情報セキュリティに関する

SLA（Service Level Agreement）

新たな脅威（脆弱性等）が顕在化した場合の

情報共有・対応

再委託の禁止または制限

契約終了後の情報資産の扱い（返却、消去、廃棄等）

その他

無回答

(N=499)

78

図 4.4-33 委託元との契約に含まれる情報セキュリティにかかわる要求事項（委託先）

図 4.4-34 委託先との契約に含める情報セキュリティにかかわる要求事項

（委託元、取引を行う委託先社数別）

96.9

58.4

48.9

57.7

45.5

52.3

19.2

18.5

64.2

76.5

0.6

1.5

0% 20% 40% 60% 80% 100%

秘密保持

具体的な情報セキュリティ対策の実施

（既存の基準への適合や認証取得等も含む）

証跡の提示、監査協力等

情報セキュリティに関する契約内容に

違反した場合の措置

情報セキュリティに関する委託元と自社の責任範囲

インシデントが発生した場合の対応

情報セキュリティに関する

SLA（Service Level Agreement）

新たな脅威（脆弱性等）が顕在化した場合の

情報共有・対応

再委託（自社から見た委託）の禁止または制限

契約終了後の情報資産の扱い（返却、消去、廃棄等）

その他

無回答

(N=620)

94.3

24.8

23.8

34.1

25.6

25.8

8.8

14.2

22.5

40.3

0.5

2.1

96.5

37.2

45.3

45.3

44.2

45.3

18.6

11.6

47.7

59.3

1.2

0.0

0% 20% 40% 60% 80% 100%

秘密保持

具体的な情報セキュリティ対策の実施

（既存の基準への適合や認証取得等も含む）

証跡の提示、監査協力等

情報セキュリティに関する契約内容に違反した場合の措置

情報セキュリティに関する委託元と委託先の責任範囲

インシデントが発生した場合の対応

情報セキュリティに関する

SLA（Service Level Agreement）

新たな脅威（脆弱性等）が顕在化した場合の情報共有・対応

再委託の禁止または制限

契約終了後の情報資産の扱い（返却、消去、廃棄等）

その他

無回答

1社～10社（N=387） 11社以上（N=86）

79

図 4.4-35 委託元との契約に含まれる情報セキュリティにかかわる要求事項

（委託先、取引を行う委託元社数別）

98.6

57.4

46.3

52.8

40.3

54.2

18.5

15.7

59.7

72.7

0.5

1.4

97.4

57.5

46.9

62.7

46.5

49.6

11.8

16.2

68.0

79.8

0.4

1.3

96.3

66.4

61.9

61.2

55.2

57.5

32.8

27.6

71.6

82.1

0.7

0.0

0% 20% 40% 60% 80% 100%

秘密保持

具体的な情報セキュリティ対策の実施

（既存の基準への適合や認証取得等も含む）

証跡の提示、監査協力等

情報セキュリティに関する契約内容に違反した場合の措置

情報セキュリティに関する委託元と自社の責任範囲

インシデントが発生した場合の対応

情報セキュリティに関する

SLA（Service Level Agreement）

新たな脅威（脆弱性等）が顕在化した場合の情報共有・対応

再委託（自社から見た委託）の禁止または制限

契約終了後の情報資産の扱い（返却、消去、廃棄等）

その他

無回答

1社～10社（N=216） 11社～50社（N=228） 51社以上（N=134）

80

表 4.4-11 契約に含める情報セキュリティにかかわる要求事項に関する

インタビュー調査結果

インタビューの観点 インタビュー内容

契約に含まれる情報

セキュリティにかか

わる要求事項

（委託元）

〇金融業

委託先との契約書で、再委託先以降に対して委託元が要求するセキュリ

ティレベルを遵守することを明記している。

〇サービス業

契約内容に個人情報管理とセキュリティ管理の項目を含めている。損害

賠償規定もあるが、個人情報はその価値の計算が難しい。

契約に含まれる情報

セキュリティにかか

わる要求事項（委託

先）

〇国内 IT 企業 A

委託元の契約書フォーマットを使用することが多い。しかし、重要な情

報を扱うプロジェクトについては、自社で最低限実施するセキュリティ

対策が規定されており、その実施可否については顧客と個別に合意する

こととしている。

〇国内 IT 企業 B

自社では、システム開発用とシステム運用保守用の契約書は個別にフォ

ーマットを用意している。フォーマットは、全社のコンプライアンス担

当が作成し、随時更新している。機密事項の取扱方法も記載している。

委託元と自社のいずれの契約書フォーマットを使うケースもある。

〇アジア圏 IT 企業

契約書は、現場部隊が作成し、法務が確認する。（再掲）

契約書フォーマットは、自社のものを使用することが多いが、大口案件

の場合は個別対応となる。

〇アジア圏 IT 有識者

委託元が欧米に本社を置く企業は、業務委託に関して委託先での遵守事

項は全て契約書に記載している。管理も、契約書に従った“マネジメン

ト”が実施される

情報セキュリティに関する委託元と委託先の責任範囲

前掲（図 4.4-32、図 4.4-33 参照）の契約に含める／含まれる情報セキュリティにかかわる要求

事項で「情報セキュリティに関する委託元と委託先の責任範囲」を選択したのは委託元の回答企

業の 29.1％、委託先の回答企業の 45.5％であった。これらの企業における同項目の具体的な明示

方法を図 4.4-36（委託元）、図 4.4-37（委託先）に示す。明示方法としては、「損害賠償額に業務

委託／受託業務の契約金額等で上限を設定している」が委託元（44.1％）、委託先（58.5％）とも

最も多い。

委託先へのインタビュー調査（表 4.4-12 参照）においても、損害賠償額の上限設定については、

必ず委託元と交渉するという意見が多く聞かれた。

81

図 4.4-36 情報セキュリティに関する委託元と委託先の責任範囲の明示方法（委託元）

図 4.4-37 情報セキュリティに関する委託元と委託先の責任範囲の明示方法（委託先）

41.4

44.1

24.1

2.1

26.9

2.1

0% 20% 40% 60% 80% 100%

一定の条件において委託先が責任を負わない

免責規定を定めている

損害賠償額に業務委託の契約金額等で上限を設定している

ソフトウエア開発等において、瑕疵担保条項の中で

業務委託完了後に発覚した脆弱性等を対象としている

その他

具体的内容までは明示していない

無回答

(N=145)

53.2

58.5

33.0

2.1

10.3

0.0

0% 20% 40% 60% 80% 100%

一定の条件において自社が責任を負わない

免責規定を定めている

損害賠償額に受託業務の契約金額等で上限を設定している

ソフトウエア開発等において、瑕疵担保条項の中で

受託業務完了後に発覚した脆弱性等を対象としている

その他

具体的内容までは明示していない

無回答

(N=282)

82

表 4.4-12 委託元と委託先の責任範囲に関する

インタビュー調査結果

インタビューの観点 インタビュー内容

委託元と委託先の責

任範囲（委託元）

〇サービス業

契約内容に個人情報管理とセキュリティ管理の項目を含めている。損害

賠償規定もあるが、個人情報はその価値の計算が難しい。（再掲）

委託元と委託先の責

任範囲（委託先）

〇国内 IT 企業 A

現時点の自社の契約書フォーマットではセキュリティに関する具体的な

作業については、責任分界に関して曖昧な部分も有り、トラブルの未然

防止のために検討中である。

〇国内 IT 企業 B

自社の契約書フォーマットでは、損害賠償の上限額はプロジェクト契約

金額の◯倍と記載している。委託元の契約書を使用する場合も、必ず上

限額を入れるよう交渉する。委託元と上限額の合意が難しい場合は、“上

限額は事象発生時に個別に検討する”と記載する。

委託元からのセキュリティ要件は要件定義段階で求められることが多

い。（再掲）

〇国内 IT 企業 C

契約書作成は担当者個別で対応しており、損害賠償金額の記載も担当者

個別で検討している。

〇アジア圏 IT 企業

契約書には責任制限条項を必ず定めている。損害賠償上限額は、委託元

から記載削除を求められることもあるが、必ず記載するように交渉する。

日本では、契約段階で委託元からセキュリティ要件に関する相談は余り

ない。契約段階で要件詳細が決まっていないことが一因で、契約書で責

任範囲が曖昧となっていると考える。

〇アジア圏 IT 有識者

海外では、プロジェクト金額が損害賠償金額の上限となることが一般的

である。契約書の損害賠償上限額を制約に責任範囲を調整することがあ

った。

業務委託の契約における課題

業務委託の契約における課題を、図 4.4-38（委託元）、図 4.4-39（委託先）に示す。委託元、委

託先の回答企業ともに「情報セキュリティ上の責任範囲（責任分界点）がわからない」が委託元

（54.5％）、委託先（44.7％）とも最も大きな課題として挙げられている。前掲（図 4.4-32、図 4.4-33

及び図 4.4-36、図 4.4-37 参照）の通り、契約上での委託元と委託先の責任範囲の明確化について

は一定の取組みがあるものの、まだ課題とする企業が多いのが実態と考えられる。

また、「実施すべき具体的な情報セキュリティ対策が明示されていない」についても、委託元

（47.3％）、委託先（36.0％）と課題意識が持たれている。前掲（図 4.4-32、図 4.4-33 参照）の通

り、契約に含める情報セキュリティにかかわる要求事項として「具体的な情報セキュリティ対策

の実施（既存の基準への適合や認証取得等も含む）」を選択したのは委託元の回答企業の 26.9％、

委託先の回答企業の 58.4％であった。

前掲の委託先へのインタビュー調査（表 4.4-6 参照）においても、契約段階ではセキュリティに

83

関する詳細な要件や責任範囲が定まっておらず、契約締結後の要件定義の段階ですり合わせが行

われているといった実態が聞かれた。

調査仮説「委託先で実施する具体的なセキュリティ対策について、委託元・委託先間で事前に

合意するのは容易ではない。」に関して、特に契約段階で具体的な情報セキュリティ対策や責任範

囲について合意することは現実的には難しい場合も多く、実際には業務を進める中で予算や他の

要件と併せて合意形成することが多い。このため、本来必要な情報セキュリティ対策が、抜け落

ちてしまう可能性があると考えられる。

2.2.でも示した通り、委託元と委託先の間で情報セキュリティの要求事項が明確に合意されてい

ない状態では、インシデント等により損害が発生した場合に、責任の所在について紛争に至って

しまう可能性もある。

図 4.4-38 委託先との契約における情報セキュリティの観点での課題（委託元）

図 4.4-39 委託元との契約における情報セキュリティの観点での課題（委託先）

40.7

47.3

54.5

17.8

12.4

1.6

11.4

0% 20% 40% 60% 80% 100%

情報セキュリティ要件として

何を取り決めるべきかわからない

実施すべき具体的な情報セキュリティ対策が

明示されていない

情報セキュリティ上の責任範囲（責任分界点）が

わからない

再委託について契約に規定しているが、

情報セキュリティに対し不安がある

約款に基づくサービス利用（クラウド等）の場合、

自社の情報セキュリティ要求事項を満たさない

その他

無回答

(N=499)

21.6

36.0

44.7

33.9

20.3

3.4

16.8

0% 20% 40% 60% 80% 100%

委託元が情報セキュリティ要件として何を取り決めるべき

か理解していない

実施すべき具体的な情報セキュリティ対策が

明示されていない

情報セキュリティ上の責任範囲（責任分界点）が

わからない

再委託先（自社から見た委託先）の管理について

責任を負うことのリスクが高い

委託元の雛形を用いるため、インシデントが発生した際に

不利な内容となっている

その他

無回答

(N=620)

84

契約期間中の追加の対応

業務委託において、契約期間中に発生した新たな脅威（脆弱性等）に対応するための追加の費

用負担への対応について、図 4.4-40（委託元）、図 4.4-41（委託先）に示す。委託先の回答企業の

12.4%が委託元に追加の費用負担を要求したことがあると回答し、委託元の回答企業は 11.0％が受

け入れたことがあると回答している。4.4.3.(5)でも述べたように委託先から要求される情報セキュ

リティ対策にかかるコストを、どのように見積もるかは、委託先で既に導入されている情報セキ

ュリティ対策の状況や、受注戦略によっても異なる。一方で、期間中に発生した新たな脅威に対

応するための追加の費用については、脅威の影響度合いによって調査や対応にかかるコストが膨

らむケースもあり、そのコスト負担について委託元と委託先の認識にズレが生じる可能性もある

インタビュー調査（表 4.4-13 参照）では、システムの運用段階の業務委託において、対象とす

るシステムの範囲が曖昧となっている場合、その対応について別途委託元と交渉を行ったという

事例があった。

調査仮説「契約期間中、あるいは期間後のインシデント発生など新たな脅威に対し、委託元・

委託先等のサプライチェーン上のパートナーと情報を共有するための合意がなされていない」に

関して、前掲（図 4.4-32、図 4.4-33 参照）の契約に含める／含まれる情報セキュリティにかかわ

る要求事項に関する結果で、「新たな脅威（脆弱性等）が顕在化した場合の情報共有・対応」を契

約に含めていると回答したのは委託元の回答企業の 13.6％、委託先の回答企業の 18.5％にとどま

っている。図 4.4-40、図 4.4-41 から IT サプライチェーンの中で、契約期間中に発生した新たな

脅威（脆弱性等）への対応が求められるケースは実態としてまだ多くないと考えられ、こうした

ケースを想定した取組みもまだ十分に浸透していないと考えられる。

図 4.4-40 契約期間中に発生した新たな脅威（脆弱性等）に対応するための追加の費用負担の

受け入れ（委託元）

図 4.4-41 契約期間中に発生した新たな脅威（脆弱性等）に対応するための追加の費用負担の

要求（委託先）

11.0 13.6 60.5 13.6 1.2

0% 20% 40% 60% 80% 100%

受け入れたことがある 受け入れたことがない 過去に事例がない わからない 無回答

(N=499)

12.4 25.2 51.3 10.5 0.6

0% 20% 40% 60% 80% 100%

要求したことがある 要求したことがない 過去に事例がない わからない 無回答

(N=620)

85

表 4.4-13 契約期間中に発生した新たな脅威（脆弱性等）に対応するための追加の費用負担に

関するインタビュー調査結果

インタビューの観点 インタビュー内容

契約期間中に発生し

た新たな脅威（脆弱

性等）に対応するた

めの追加の費用負担

（委託先）

〇国内 IT 企業 A

委託元のシステム運用を受託した案件で、運用対象を曖昧なまま契約し

てしまい、委託元と認識齟齬が生じたことがあった。

システム運用案件で、委託先の負荷が高くなるのは、パッチ適用とイン

シデント発生時の調査対応である。そこで、このような内容は委託元と

契約書での合意を目指し、契約書の記載方法について社内調整している。

例 1：パッチ適用

委託元のシステム運用全体を受託運用しているとき、機器メーカから新

規パッチが提供されていたが、委託先でそのパッチを適用していなかっ

たケースがあった。契約書で運用対象を“システム全体”と曖昧に記載

してしまったため委託先の責任となった。

例 2 インシデント発生時の調査

委託元のシステム運用全体を受託している中で、運用しているシステム

の一部がウイルス感染したケースがあった。運用対象を文書で合意して

いなかったために、委託先でフォレンジック等の作業を実施することと

なった。

〇国内 IT 企業 B

新たな脅威の発生対応など文書で合意されていないものは、作業負担が

軽いならば対応するが、作業負担が大きいものは委託元と交渉するよう

にしており、必要に応じて追加費用を提示する。

〇国内 IT 企業 C

新たな脅威の発生対応など文書で合意されていないものは、保守として

無償で対応するケース、保守対象外として別プロジェクトとして立ち上

げるケースの両方がある。

実施段階（⑤モニタリング）

委託先の情報セキュリティ対策の実施状況の確認

委託元が行う委託先の情報セキュリティ対策の実施状況の確認方法、タイミングに関する結果

を図 4.4-42 に示す。委託先の選定時においては「チェックリストなど（委託先のセルフチェック・

内部監査）」（29.1%）、「各種認証・制度（ISMS、P マーク等）の取得証明書」（29.5％）による確認

が多く、契約時には「誓約書」（46.5％）による確認が多く行われている。実地調査はチェックリ

ストなどと比べて実施率は低いものの、契約期間中（16.8％）などに実施されることもある。

実地調査の実施状況を業種別で見た結果を図 4.4-43 に示す。ここでも、情報通信業で契約期間

中の実施率が 40.0％、金融業、保険業で契約期間中の実施率が 50.0%など、一部の業種で実施率

が高くなっている。例えば、金融庁の「金融検査マニュアル」46では、外部委託先に対して委託し

46 金融庁「金融検査マニュアル（預金等受入金融機関（預金等受入金融機関に係る検査マニュアル）に係る検査

マニュアル）」（2015 年）

http://www.fsa.go.jp/manual/manualj/yokin.pdf

86

た業務が適切に行われていることを定期的にモニタリングするための措置を講じるように求めて

いる。

委託元へのインタビュー調査（表 4.4-14 参照）では、金融業の企業、サービス業の企業とも、

委託先に対するアンケートによる確認と実施調査を実施していた。

一方、委託先から見た委託元からの情報セキュリティ対策の実施状況の確認方法、タイミング

に関する結果を図 4.4-44 に示す。委託先でもチェックリストや誓約書の対応が多いが、実地調査

についても契約期間中（41.5％）の実施が多くなっている。また、「各種認証・制度（ISMS、P マ

ーク等）の取得証明書」による確認は、選定時（45.0％）、契約時（35.5％）に受けることが多くな

っている。

委託先へのインタビュー調査（表 4.4-14 参照）では、委託元からの情報セキュリティ対策の実

施状況の確認は企業や業種によって実施レベル（アンケート項目数、実施調査の有無等）に差が

あるとの意見があった。また、クラウドサービスを提供している IT 企業では、情報セキュリティ

対策の確認への対応の代わりとして、認証の取得やセキュリティチェックシート（顧客からよく

ある問合せを基に作成）を公開する対応をとっていた。

図 4.4-42 委託先の情報セキュリティ対策の実施状況の確認方法・タイミング（委託元）

29.1

11.0

5.0

29.5

14.8

0.6

21.2

9.0

5.0

11.0

46.5

1.2

18.6

16.8

8.0

4.4

4.8

1.0

3.4

1.4

0.6

0.4

2.8

0.8

41.5

62.7

77.8

56.3

36.1

61.9

4.0

4.6

6.6

5.0

5.0

35.5

0% 20% 40% 60% 80% 100%

チェックリストなど(委託先のセルフチェック・内部監査)

実地調査（委託元による委託先の監査）

外部監査（外部監査法人等による委託先の監査）

各種認証・制度（ISMS、Pマーク等）の取得証明書

誓約書

その他

選定時 契約時 契約期間中 契約終了時 当該確認はない 無回答

(N=499)

87

図 4.4-43 委託先の情報セキュリティ対策の実施状況の確認方法・タイミング：実地調査

（委託元、業種別 ＜N=10 以上のみ＞）

図 4.4-44 委託元からの情報セキュリティ対策の実施状況の確認方法・タイミング（委託先）

8.5

11.4

16.7

5.3

10.3

25.0

10.6

12.8

10.8

13.3

0.0

9.3

12.5

9.1

14.9

12.0

40.0

7.9

16.5

50.0

18.2

2.1

2.4

0.0

0.0

2.1

0.0

0.0

63.8

65.7

36.7

78.9

66.0

25.0

59.1

8.5

3.6

6.7

7.9

2.1

0.0

4.5

0% 20% 40% 60% 80% 100%

建設業（N=47）

製造業（N=166）

情報通信業（N=30）

運輸業、郵便業（N=38）

卸売業、小売業（N=97）

金融業、保険業（N=16）

その他のサービス業（N=66）

選定時 契約時 契約期間中 契約終了時 当該確認はない 無回答

34.2

14.5

7.3

45.0

15.2

1.3

41.5

19.2

6.5

35.5

69.8

1.1

43.9

41.5

14.5

19.2

13.4

1.3

7.3

2.9

1.9

1.1

5.6

1.1

16.5

36.0

69.0

24.0

14.2

54.7

2.9

3.9

7.7

3.5

4.4

41.0

0% 20% 40% 60% 80% 100%

チェックリストなど（自社のセルフチェック・内部監査）

実地調査（委託元による自社の監査）

外部監査（外部監査法人等による自社の監査）

各種認証・制度（ISMS、Pマーク等）の取得証明書

誓約書

その他

選定時 契約時 契約期間中 契約終了時 当該確認はない 無回答

(N=620)

88

表 4.4-14 情報セキュリティ対策の実施状況の確認方法・タイミングに関する

インタビュー調査結果

インタビューの観点 インタビュー内容

情報セキュリティ対

策の実施状況の確認

方法・タイミング

（委託元）

〇金融業

委託先以降の全企業に年 1 回のチェックリストを依頼している。

個人情報を取り扱う重要システムの構築・運用を委託している委託先は、

全社 IT 管理部門が毎月の定例会と 3 か月に 1 回の実査を実施している。

それ以外の委託先（コールセンター、お客様対応窓口も含む）は、所管

部署が年 1 回実査をしている。（再掲）

委託先と初回契約時は全社 IT 管理部門と主管部署の両方で実査をして

いる。（再掲）

〇サービス業

実査は全社 IT 管理部門が実施している。海外拠点は、現時点ではアンケ

ートのみ実施しており、今後実査を実施する予定である。

海外拠点はセキュリティ担当者が不在の拠点もあり、M&A した企業で

セキュリティガバナンスを確保することは難しい。

アンケート項目は ISMS 等の規格等を参考に、外部コンサルタントのノ

ウハウも加えて作成したが、規格に添っているかは不明である。

情報セキュリティ対

策の実施状況の確認

方法・タイミング

（委託先）

〇国内 IT 企業 A

委託元が金融業と通信業から実査を受けた経験がある。どの業種の契約

書にも実査の記載はあるが、実際に実施するところは少ない。

〇国内 IT 企業 B

実査の実施タイミングは、契約締結前、契約締結後と委託元によって様々

である。委託元の業種によって、実査の実施に差異がある。委託元の実

査実施の要望に応じて、臨機応変に対応している。

委託元から依頼されるセキュリティアンケートは、現場部隊で回答後、

全社管理部門で確認し、委託元に提出する。

〇国内 IT 企業 C

委託元から、セキュリティアンケートは依頼を受けることは多く、自社

の担当者が 1 人で対応している。委託元から実査を受けたことはない。

〇日本 IT 企業 D

クラウドサービスの場合、該当のデータセンターは物理的セキュリティ

の要件に関して PCI DSS の認証を取得しており、基本的にはデータセン

ターの実査はお断りしている。委託元からデータセンター見学や実査の

強い依頼を受けた場合は対応することもある。

〇アジア圏 IT 企業

委託元から年 1 回程度、セキュリティアンケートを依頼される。アンケ

ートの回答は、全社情報セキュリティ組織で対応している。アンケート

項目数は委託元により様々で、少ないと 20～30 項目で、多いものでは

150～200 項目（ツールや機能に関する項目もある）である。項目数が多

いのは外資系の金融や医療が多い。

再委託先の情報セキュリティ対策の実施状況の確認

委託元から再委託先への情報セキュリティ対策の実施状況の確認の実施状況を図 4.4-45（委託

元）、図 4.4-46（委託先）に示す。委託元の回答企業のうち 39.9％が再委託先の情報セキュリティ

対策の実施状況を確認しており、そのうち 31.4％は「委託先を介して結果を書面で確認する」と

89

いう方法をとっている。また、委託先の回答企業の 73.1％で委託元から再委託先（自社から見た

委託先）に対する確認があるとしており、そのうち 67.2％は「自社が再委託先（自社から見た委

託先）を確認した結果を書面で確認している」という方法が採られている。基本的に、再委託先

に関しては委託先が監督責任を負うため、委託先として、再委託先の情報セキュリティ対策の実

施状況を確認するとともに、委託元から再委託先の確認を求められた場合については、委託先の

確認結果を報告するという形式が一般的となる。

委託先へのインタビュー調査（表 4.4-15 参照）でも、委託元の要求に応じて、再委託先の確認

結果を報告する形式で実施していた。

参考として、委託先が再委託先に対して要求する情報セキュリティ対策を図 4.4-47 に示す。委

託先が再委託先に対して要求する情報セキュリティ対策は、「委託元から自社に求められるレベル

と同等の情報セキュリティ対策を要求する」が 68.2％と多くなっている。

調査仮説「委託元が委託先・再委託先以降の情報セキュリティ状況を把握したい範囲と確認で

きる範囲が異なる。」に関して、図 4.4-45、図 4.4-46 に示すように委託元として再委託先を直接

確認している企業は限定的であり、また確認を行う場合も基本的には委託先を介した確認となる。

図 4.4-45 再委託先の情報セキュリティ対策の実施状況の確認（委託元）

図 4.4-46 委託元による再委託先の情報セキュリティ対策の実施状況の確認（委託先）

8.5 31.4 53.1 3.0 4.1

0% 20% 40% 60% 80% 100%

再委託先に対して直接確認する 委託先を介して結果を書面で確認する確認に関する規定はない その他無回答

(N=271)

5.9 67.2 24.0 1.7 1.3

0% 20% 40% 60% 80% 100%

委託元が直接確認している自社が再委託先（自社から見た委託先）を確認した結果を書面で確認している特に確認していないその他無回答

(N=475）

90

図 4.4-47 再委託先に対して要求する情報セキュリティ対策（委託先）

表 4.4-15 再委託先の情報セキュリティ対策の実施状況の確認方法に関する

インタビュー調査結果

インタビューの観点 インタビュー内容

再委託先の情報セキ

ュリティ対策の実施

状況の確認方法（委

託元）

〇金融業

委託先との契約書で、再委託先以降に対して委託元が要求するセキュリ

ティレベルを遵守することを明記している。（再掲）

再委託先の情報セキ

ュリティ対策の実施

状況の確認方法（委

託先）

〇国内 IT 企業 A

再委託時は、契約書で、自社と同等のセキュリティレベルを遵守するこ

とを明記している。再委託先以降の社名及びプロジェクトメンバー名は

把握している。再委託先を実査することもある。

再委託先以降のインシデント発生も全て把握できるよう、自社の CSIRT

に報告される仕組みにしている。

〇国内 IT 企業 B

再委託時は、契約書で、自社と同等のセキュリティレベルを遵守するこ

とを明記している。

委託元の依頼に応じて、再委託先以降のセキュリティ対策状況を委託元

へ報告する。

〇国内 IT 企業 C

再委託先は全社員が分かるような小企業で、基本的には担当者を指名し

て委託契約をする。

再委託契約時は、自社フォーマットで NDA 契約を締結する。

〇アジア圏 IT 企業

委託元との契約書で、再委託時は委託先が再委託管理をするよう定めら

れる。また契約書では、委託元が再委託先の実査をすることが定めるこ

ともあるが、実際に実施したことはない。年 1 回程度、委託元から依頼

されるセキュリティアンケートに再委託先に関する項目もあるため、委

託元はそれを確認していると考える。委託元から、再委託先に関する情

報を求められる場合は、適宜情報開示をする。

再委託時は、契約書で、自社と同等のセキュリティレベルを遵守するこ

とを明記している。

68.2 25.7 4.21.9

0% 20% 40% 60% 80% 100%

委託元から自社に求められるレベルと同等の情報セキュリティ対策を要求する

自社の基準に基づく情報セキュリティ対策を要求する

特に要求していない

無回答

(N=475)

91

情報セキュリティ対策を継続的に維持・改善するための取組み

委託元と委託先の間で、情報セキュリティ対策を継続的に維持・改善するための取組みの実施

状況について図 4.4-48（委託元）、図 4.4-49（委託先）に示す。委託先において、「関係者間の定

例会議等における報告」（44.7%）、「情報セキュリティに関する連絡窓口の設置」（42.4%）などで

一定の取組みがある。

委託先へのインタビュー調査（表 4.4-16 参照）でも、委託元と委託先の定例会で委託先から情

報セキュリティに関する事項も報告するという事例があった。

図 4.4-48 委託先の情報セキュリティ対策を継続的に維持・改善するための取組み（委託元）

図 4.4-49 情報セキュリティ対策を継続的に維持・改善するための取組み（委託先）

39.1

13.6

21.6

1.8

43.1

2.0

0% 20% 40% 60% 80% 100%

関係者間の定例会議等における報告

関係者間の情報共有のためのツールの活用

（メーリングリスト等）

情報セキュリティに関する連絡窓口の設置

その他

特に仕組みはない

無回答

(N=499)

44.7

27.4

42.4

3.1

23.2

1.0

0% 20% 40% 60% 80% 100%

関係者間の定例会議等における報告

関係者間の情報共有のためのツールの活用

（メーリングリスト等）

情報セキュリティに関する連絡窓口の設置

その他

特に仕組みはない

無回答

(N=620)

92

表 4.4-16 情報セキュリティ対策を継続的に維持・改善するための取組みに関する

インタビュー調査結果

インタビューの観点 インタビュー内容

再委託先の情報セキ

ュリティ対策の実施

状況の確認方法（委

託先）

〇国内 IT 企業 A

システム運用案件では委託元との定例会でセキュリティ事項についても

報告し、対応について合意する。

〇国内 IT 企業 C

案件によっては、委託元との定例会にてセキュリティ事項の報告を行う

ことはある。定例会では、委託元から、機器やソフトウエア一覧を提出

してほしい等、急な依頼を受けることがある。

〇日本 IT 企業 D

脆弱性情報は、委託元への影響度に応じて、委託元へ情報提供している。

〇アジア圏 IT 企業

委託元との定例会では、契約内容に応じて、セキュリティに関する脆弱

性情報等の情報を報告している。

委託先の情報セキュリティ対策の実施状況の確認における課題

委託元による委託先の情報セキュリティ対策の実施状況の確認における、委託元の回答企業、

委託先の回答企業の課題（直接取引を行う社数別）をそれぞれ図 4.4-50（委託元）、図 4.4-51（委

託先）に示す。

委託元の回答企業においては、「社内に十分な知見・スキルを持った人材がいない」（58.1％）、

「情報セキュリティ対策の確認にかかるコスト負担が大きい」（47.3％）、「再委託先以降の情報セ

キュリティ対策を確認することが難しい」（45.1％）が多く課題として挙げられている。特に取引

を行う委託先の社数が多い企業では、確認にかかるコスト負担や再委託先以降の確認を課題と認

識している。

委託先の回答企業においては、「様々な委託元からの確認に対応する部門の負担が大きい」

（54.5％）が多く課題として挙げられており、これも特に取引を行う委託元の社数が多い企業では

課題意識が高い。

93

図 4.4-50 委託先の情報セキュリティ対策の確認等における課題

（委託元、直接取引を行う委託先の社数別）

図 4.4-51 委託元による情報セキュリティ対策の確認等における課題

（委託先、直接取引を行う委託元の社数別）

58.1

47.3

45.1

11.0

10.6

1.4

10.0

59.2

45.7

40.3

7.2

11.9

1.0

10.9

55.8

58.1

69.8

24.4

5.8

2.3

2.3

0% 20% 40% 60% 80% 100%

社内に十分な知見・スキルを持った人材がいない

情報セキュリティ対策の確認にかかるコスト負担が大きい

再委託先以降の情報セキュリティ対策を確認することが難しい

海外の委託先の情報セキュリティ対策を確認することが難しい

重要な情報がITサプライチェーン上でどこにあるのかわからない

その他

無回答

全体（N=499） 1社～10社（N=387） 11社以上（N=86）

31.9

54.5

26.3

5.6

4.7

12.3

16.6

3.1

17.3

33.8

42.1

18.5

3.2

4.2

10.6

15.7

3.7

22.2

32.0

61.0

35.1

5.7

5.3

10.5

16.2

3.1

14.5

27.6

66.4

25.4

8.2

3.7

16.4

20.1

2.2

11.9

0% 20% 40% 60% 80% 100%

社内に十分な知見・スキルを持った人材がいない

様々な委託元からの確認に対応する部門の負担が大きい

再委託先（自社から見た委託先）に対する確認にかかる自社の負担

が大きい

海外の再委託先（自社から見た委託先）の情報セキュリティ対策を

確認することが難しい

重要な情報がITサプライチェーン上でどこにあるのかわからない

契約後の追加の情報セキュリティ対策要求がある

追加の情報セキュリティ対策要求に対して委託先からの

費用が出ない

その他

無回答

全体（N=620） 1社～10社（N=216） 11社～50社（N=228） 51社以上（N=134）

94

実施段階（⑥インシデント対応）

業務委託におけるインシデントの経験

委託元の回答企業の、委託先または再委託先以降におけるインシデントの経験（過去 3 年間）

の状況とその内容を図 4.4-52、図 4.4-53 に示す。委託元の 15.4％で委託先におけるインシデント

を経験しており、2.8％で再委託先以降におけるインシデントを経験している。インシデントの内

容としては「システム・サービスの障害・遅延・停止」（74.4％）が最も多い。

図 4.4-52 業務委託（委託先または再委託先以降）における過去 3年間のインシデントの経験

（委託元）

図 4.4-53 インシデントの内容（委託元）

また、委託先の回答企業の、受託業務（自社や再委託先以降（自社から見た委託先以降））にお

けるインシデントの経験とその内容を図 4.4-54 と図 4.4-55 に示す。委託先の回答企業の 21.3％

で自社でのインシデントを経験しており、10.3%で再委託先以降（自社からみた委託先以降）でも

インシデントを経験している。インシデントの内容は委託元の結果と同様に「システム・サービ

スの障害・遅延・停止」（52.4％）が多くなっている。なお、「その他」（32.0％）の具体的な内容

は、入館証／社員証／ID カード等の紛失、PC／携帯電話／借用機器等の紛失、メールの誤送信等

であった。

15.4

2.8

72.7

64.9

10.0

24.4

1.8

7.8

0% 20% 40% 60% 80% 100%

委託先

再委託先以降

ある ない わからない 無回答

(N=499)

16.7

74.4

5.1

1.3

14.1

9.0

1.3

0% 20% 40% 60% 80% 100%

情報漏えい・暴露

システム・サービスの障害・遅延・停止

情報システム・機器の不正利用

ウェブページ等の改ざん

データの毀損、消失

その他

無回答

(N=78)

95

図 4.4-54 受託業務（自社や再委託先以降（自社から見た委託先以降））における過去 3年間の

インシデントの経験（委託先）

図 4.4-55 インシデントの内容（委託先）

業務委託におけるインシデントの影響と影響範囲

(1)で示した被害のうち、最も影響が大きかったインシデントの被害内容と被害の影響が及んだ

範囲を図 4.4-56（委託元）、図 4.4-57（委託先）に示す。インシデントの被害内容は、委託元の回

答企業では、自社における「IT システム・サービスの障害、遅延、停止による逸失利益」（62.8％）

が最も多く、続いて「原因調査・復旧にかかわる人件費等の経費負担」（39.7％）であった。

委託先の回答企業では自社における「原因調査・復旧にかかわる人件費等の経費負担」（61.2％）

が最も多く、続いて「個人顧客や法人取引先に対する信頼の失墜」（44.9％）であった。また、委

託元の「IT システム・サービスの障害、遅延、停止による逸失利益」が 34.0％で発生している。

前掲（図 4.4-53、図 4.4-55 参照）のインシデントの内容として最も多いものが「システム・サ

ービスの障害・遅延・停止」であったため、特に委託元の IT システム・サービスの逸失利益や原

因調査・復旧を行う委託先の人件費等の被害が多くなっていると考えられる。また、委託元から

直接業務を受託する委託先では、インシデントによって自社の信頼の失墜（レピュテーションリ

スク）の影響を特に強く受けると考えられる。

一方、委託元、委託先とも「個人顧客への賠償や法人取引先への補償負担」、「裁判、調停等に

かかわる人件費等の経費負担」に関しては、全体の被害の中での発生割合としては高くないが、

21.3

10.3

74.8

77.1

2.9

6.8

1.0

5.8

0% 20% 40% 60% 80% 100%

自社

再委託先以降

（自社から見た委託先以降）

ある ない わからない 無回答

(N=620)

21.8

52.4

8.8

0.7

20.4

32.0

0.7

0% 20% 40% 60% 80% 100%

情報漏えい・暴露

システム・サービスの障害・遅延・停止

情報システム・機器の不正利用

ウェブページ等の改ざん

データの毀損、消失

その他

無回答

(N=147)

96

2.2.で取り上げたように、実際に顧客や取引先への補償が発生したり、当事者間の紛争に至る場合

は、企業が被る損害や負担が非常に大きくなる可能性があり、企業としてリスクを想定しておく

必要があると考えられる。

全体的に被害の影響が及んだ範囲は、基本的に委託元と委託先に集中しているが、委託元の「IT

システム・サービスの障害、遅延、停止による逸失利益」の被害では、その他の取引先にも 11.5％

で影響が及んだり、委託先の「原因調査・復旧にかかわる人件費等の経費負担」では、再委託先

以降（自社から見た委託先以降）にも 12.2％で影響が及ぶなど、IT サプライチェーンの中で影響

が広がるケースもあると考えられる。

図 4.4-56 最も影響が大きかったインシデントの被害内容と被害の影響が及んだ範囲

（委託元）

62.8

6.4

39.7

2.6

15.4

17.9

3.8

23.1

2.6

3.8

2.6

1.3

2.6

0.0

0.0

11.5

1.3

0.0

1.3

2.6

6.4

2.6

0.0

1.3

3.8

30.8

82.1

44.9

84.6

67.9

2.6

10.3

6.4

11.5

11.5

0% 20% 40% 60% 80% 100%

ITシステム・サービスの障害、遅延、停止による逸失利益

個人顧客への賠償や法人取引先への補償負担

原因調査・復旧にかかわる人件費等の経費負担

裁判、調停等にかかわる人件費等の経費負担

個人顧客や法人取引先に対する信頼の失墜

自社 委託先 再委託先以降 その他の取引先、関係先 個人顧客 当該被害はない 無回答

(N=78)

97

図 4.4-57 最も影響が大きかったインシデントの被害内容と被害の影響が及んだ範囲

（委託先）

インシデント対応の課題

インシデント対応の課題を図 4.4-58（委託元）、図 4.4-59（委託先）に示す。委託元の回答企業

では、「社内に十分な知見・スキルを持った人材がいない」（53.3％）が多く挙げられた。また、「イ

ンシデントが発生した際に何をしたらいいのかわからない」について、委託先（11.6％）と比較し

て委託元（34.9％）の課題意識が高くなっている。前掲（図 4.4-52、図 4.4-54 参照）の通り、業

務委託におけるインシデント経験は委託元、委託先の回答企業とも多くない。このため、経験が

ないこともあり、インシデント発生時の対応に不安を感じていると推測される。また、委託元と

委託先の課題意識の差については、委託先が運用しているシステム・サービスについては、通常

委託先で障害時の対応手順等を整備していることが多いと考えられるが、それを委託元側で十分

に把握していない場合、インシデント発生に際して、委託元だけではどう対応してよいかわから

ないといった不安がある等のことが推測される。

委託元へのインタビュー調査（表 4.4-17 参照）でも、インシデントを契機に社内のインシデン

ト対応体制を強化していたという意見があり、委託元のインシデント対応体制が十分整備されて

いない状況があると推測される。

一方、前述の通り委託先の回答企業では、「インシデントが発生した際に何をしたらいいのかわ

からない」（11.6%）は他の課題が 3 割前後であるのと比較して高くない。

委託先へのインタビュー調査（表 4.4-17 参照）でも、委託先ではインシデントが発生した際の

34.0

4.1

18.4

2.0

26.5

29.9

8.8

61.2

6.8

44.9

6.1

1.4

12.2

0.7

7.5

4.8

0.0

2.0

0.0

4.8

6.1

1.4

0.0

0.7

4.1

46.9

78.2

33.3

82.3

40.8

6.1

9.5

4.8

9.5

4.8

0% 20% 40% 60% 80% 100%

ITシステム・サービスの障害、遅延、停止による逸失利益

個人顧客への賠償や法人取引先への補償負担

原因調査・復旧にかかわる人件費等の経費負担

裁判、調停等にかかわる人件費等の経費負担

個人顧客や法人取引先に対する信頼の失墜

委託元 自社再委託先以降（自社から見た委託先以降） その他の取引先、関係先委託元の個人顧客 当該被害はない無回答

(N=147)

98

エスカレーションは社内でルール化されていた。

なお、前掲（図 4.4-32、図 4.4-33 参照）の契約に含める情報セキュリティにかかわる要求事項

の結果では、インシデントが発生した場合の対応について、契約に含めているのは委託元 29.1％、

委託先 52.3％であった。委託先ではインシデント対応体制の整備が進んでおり、契約上でもイン

シデント対応について明示できる状況になっていることが多いと考えられる。

また、「委託先／再委託先における証拠保全や調査実施が難しい」については、委託元（38.7％）、

委託先（41.0％）の回答企業とも課題として認識している。この点について、経済産業省「サイバ

ーセキュリティ経営ガイドライン Ver 2.0」でも、重要 10 項目のうち「指示 7: インシデント発生

時の緊急対応体制の整備」について、「サイバー攻撃による被害を受けた場合、被害原因の特定お

よび解析を速やかに実施するため、速やかな各種ログの保全や感染端末の確保等の証拠保全が行

える体制を構築するとともに、関係機関との連携による調査が行えるよう指示する」と対策例と

示しており、委託先や再委託先でインシデント発生時にも同様の取組みが行えるよう、委託元と

委託先の間で合意できる形が望ましい。

図 4.4-58 インシデント対応における課題（委託元）

53.3

34.9

37.9

38.7

24.2

21.0

1.2

7.2

0% 20% 40% 60% 80% 100%

社内に十分な知見・スキルを持った人材がいない

インシデントが発生した際に何をしたらいいのか

わからない

インシデントが発生した際に手順どおりに対応できるか

わからない

委託先における証拠保全や原因調査が難しい

インシデントがタイムリーに報告されない

インシデントが発生した委託先との費用負担の調整が

難しい

その他

無回答

(N=499)

99

図 4.4-59 インシデント対応における課題（委託先）

28.5

11.6

35.0

41.0

34.8

30.6

2.3

12.4

0% 20% 40% 60% 80% 100%

社内に十分な知見・スキルを持った人材がいない

インシデントが発生した際に何をしたらいいのか

わからない

インシデントが発生した際に手順どおりに対応できるか

わからない

再委託先（自社から見た委託先）における証拠保全や調査

実施が難しい

どこまでの範囲に対応するのかわからない

（報告対象となるインシデントの範囲等）

委託元との費用負担の調整が難しい

その他

無回答

(N=620)

100

表 4.4-17 インシデント対応に関する

インタビュー調査結果

インタビューの観点 インタビュー内容

インシデント対応

（委託先）

〇金融業

インシデント対応については、契約書ではなく、運用のルールブック

（元々は、システム障害対応が記載されていたものに、サイバー攻撃対

応の記載を付加して作成）で規定している。

CSIRT の体制も構築している。

再委託先以降のインシデント発生も全て把握できるよう、自社の CSIRT

に報告される仕組みにしている。（再掲）

〇サービス業

全社 IT 管理部門は、セキュリティの専門知識を持ったメンバー（セキュ

リティの専門知識がないと、ベンダとの調整や判断は困難のため）で構

成している。インシデント発生時は、タイムリーに情報共有され、部署

横断の対応ができるよう、全社 IT 管理部門が対応に必要なメンバー（法

務、広報、内部統制等）を集めて対策本部を設置する。

常時、サイバー攻撃は発生しており、インシデントを検知した際は委託

先から全社 IT 管理部門に報告があがる仕組みとした。全社 IT 管理部門

が全件トリアージ等の判断をしている。判断方法は、インシデント発生

前はシステムの停止時間としていたが、発生後に、顧客への影響や情報

漏えいの有無など社会への影響度を重視した評価に変更した。

インシデント対応

（委託先）

〇国内 IT 企業 A

システム運用案件で、委託先の負荷が高くなるのは、パッチ適用とイン

シデント発生時の調査対応である。（再掲）

〇国内 IT 企業 B

インシデントレベルに応じて、社内のエスカレーションルールが整備さ

れている。重大なインシデントは経営層にも報告される。

顧客への報告等の対応は基本的には現場部隊で対応するが、インシデン

トの内容によっては全社管理部門も報告に同席する。

〇日本 IT 企業 D

委託元からの問合せ窓口でインシデント報告を受け、必要に応じて、現

場などにエスカレーションされる。

セキュリティのインシデント事例は殆どないが、データの喪失等につい

ては過去に事例があり、原因調査と対応を行った経験はある。

委託元システムにサイバー攻撃のような通信を確認した場合、影響に応

じて自社での対応体制を判断する。

101

評価段階（⑦検収・評価）

評価段階の検収・評価の取組みについて、関連するアンケート調査結果から考察した。

図 4.4-7 に示す委託元の回答企業における情報セキュリティに関する委託先管理の取組み（業

務委託で扱う情報の種類ごと）の実施状況において、「業務委託完了時の情報セキュリティの観点

からの検収・評価」の実施率は、個人情報に対して 38.9％、営業秘密に対して 41.3％であった。

一方で、「当該取組みはない」が 41.5％と他の取組みよりも高くなっている。

また、表 3.2-1 に示すように、「業務委託完了時の情報セキュリティの観点からの検収・評価」

は、情報システム部門・情報セキュリティ部門と事業部門が連携して実施すべきであるが、図 4.4-

10 に示す同取組みの所管部門は、情報システム部門・情報セキュリティ部門（74.3％）、事業部門

（25.0％）と、事業部門の関与は少ない。3.3.7.に示すように、本来仕様書や契約書等に基づき、

情報セキュリティ上の要求事項や成果物のセキュリティ要件の遵守状況を確認すべきところ、実

態は情報システム部門・情報セキュリティ部門による情報セキュリティ対策の技術的な確認にと

どまっている可能性がある。

なお、図 4.4-32、図 4.4-33 に示すように、契約に含める情報セキュリティにかかわる要求事項

の中で、「契約終了後の情報資産の扱い（返却、消去、廃棄等）」は、委託元（43.9％）、委託先（76.5％）

とそれぞれ「秘密保持」に次いで高く、情報セキュリティの観点からの検収・評価の中のうち、

契約終了後の情報資産の適正な扱いの必要性については、ある程度認識されていると考えられる。

102

5. まとめ

本調査では、文献調査、アンケート調査、インタビュー調査に基づき、IT サプライチェーン上

のインシデントやリスクの現状や課題を整理した上で、企業における IT サプライチェーンリスク

マネジメントの在り方と実態について分析を行った。

調査結果の各論については第 2 章から第 4 章に示すが、本章では、本調査全体から得られた所

見として、企業の IT サプライチェーンリスクマネジメントに取組みを向上する上で、解決すべき

課題と解決ための指針について、以下の 3 点について考察する。

委託元の情報セキュリティに関する取組みの強化

IT サプライチェーンリスクマネジメントでは、委託元と委託先が業務委託で扱う情報資産やリ

スクを正しく把握し、委託先が確保すべき情報セキュリティレベルについて合意した上で、委託

先において適切な情報セキュリティ対策が実施されることが基本である。アンケート調査及びイ

ンタビュー調査を通じて、委託先では情報セキュリティの取組みがある程度浸透している一方で、

委託元では取組みが進んでいるのが情報通信業や金融業、保険業等の特定の業種に限定されてい

る傾向がみられた。取組みが進んでいる委託元は業界等の規制や監督官庁からの指示に基づき、

業務の中で特に高い水準の情報セキュリティが求められる企業が中心であった。IT サプライチェ

ーンでは委託元が求める情報セキュリティの水準が明示されれば、その水準が委託先の社内の取

組みとして水平展開される効果と、委託先の下の再委託先以降にもその水準が継承される垂直展

開の効果が期待できる。アンケート調査やインタビュー調査結果からも、高い水準の情報セキュ

リティが求められる業種では、委託元、委託先とも情報セキュリティに対する認識・取組みの傾

向が一致していることが確認された。一方で、規制等の具体的な対策の指示がない業種では、委

託元が業務に必要となる情報セキュリティ対策について明確に指示しない企業も少なからずあり、

委託先の提案をベースに要件が決まっていく状況があることが示唆された。セキュリティに限ら

ず、日本独特の多重下請け構造の中では、委託元（ユーザ企業）に IT の知見やスキルを持った人

材が確保されにくいことは、従前より広く指摘されているところであるが、委託元の業務に本来

必要な情報セキュリティのレベルを委託先の知見のみに依存することは望ましい状況ではない。

インシデント事例に関する文献調査でも、委託先の提供する情報セキュリティ対策が、委託元

の IT システム・サービスを保護する上で適切なものなのかを委託元で判断できていないまま業務

を進めた結果、インシデントが発生してしまっていると思われる事例が見られた。委託元と委託

先の間で実施すべき情報セキュリティ対策に関する明確な合意がされないままインシデントが発

生した場合は、その責任を巡って紛争等に至ってしまう可能性もある。

IT サプライチェーンリスクマネジメントは、委託元と委託先、再委託等の IT サプライチェーン

の関係者が、各々が実施する業務に適切なレベルの情報セキュリティを確保することでより効果

的に実現される。本来あるべき姿として、委託元が情報セキュリティの取組みを主導できるよう、

業務委託の情報資産やリスクに基づくセキュリティレベルの判断と業務委託の各プロセスにおけ

る委託先管理の取組みが導入されるよう広く啓発を行うとともに、長期的には問題の根源である

委託元のセキュリティ人材の在り方等とも絡めて本質的な解決策を探ることが必要と考えられる。

103

情報セキュリティの取組みに関する共通的な指標の必要性

アンケート調査やインタビュー調査から、企業が業務委託における情報セキュリティの取組み

を行う中で、委託元は委託先の情報セキュリティ対策のレベルの評価・選定が難しい点を課題と

して認識するとともに、委託先も委託元からの要求事項に個別対応する負荷を課題として認識し

ている状況が確認された。

IT サプライチェーンにおいては、本来、委託元・委託先・再委託先の立場にかかわらず、業務

を実施する上で十分な情報セキュリティレベルが自主的な取組みとして確保されていることが理

想である。この前提に立てば、委託元と委託先の間で業務に対して適切な情報セキュリティレベ

ルが合意されていれば、具体的な情報セキュリティ対策の実施状況の確認は最小限の負担にとど

めることができる。

一方で、アンケート調査やインタビュー調査からは、委託先は委託元から要求される情報セキ

ュリティ対策の実施状況に関して、詳細なチェックリストや実地調査等に個別に対応している。

また、委託元ではそれらの結果の確認や評価に大きな労力を費やしている現状が見えた。さらに、

再委託先以降に関しても委託先に同様の確認を求められることがあり、その負荷がより高くなる

可能性もある。アンケート調査やインタビュー調査からは、一部の業種等で整備されている個別

の基準などを除いて、IT サプライチェーンリスクマネジメントの実務の参考になる共通的な基準、

ガイドライン及び規格等が特にないという状況が見えており、この点も委託元、委託先双方で個

別対応が大きくなっている要因の 1 つであると考えられる。

情報セキュリティ対策の実施状況の確認にかかる委託元、委託先の個別対応に関する課題の解

決策として、委託先における対策の実施と、委託元による対策の確認の両面で利用できる、 IT サ

プライチェーンにおける情報セキュリティ対策に関する共通的な指標の確立が有効と考えられる。

IT サプライチェーンにおいて、最低限実施すべき情報セキュリティ対策が共通的に認識される

ことで、委託元では委託先の情報セキュリティ対策について確認すべき項目や評価方法が明確に

なるとともに、委託先でも共通的な指標に沿った対策の実施状況を提示することで、委託元ごと

に個別の情報提示を行う手間が効率化される。

なお、ISMS などの国際規格に基づく認証制度は、委託元と委託先の間で情報セキュリティ対策

の実施状況を共通の指標に基づき確認する上で有用な手段であり、実際にアンケート調査やイン

タビュー調査を行った委託先では自社の情報セキュリティに関する取組みを委託元に提示する目

的で、こうした認証制度を広く取り入れていた。しかし、国際規格に基づくマネジメントシステ

ムを継続的に運用していくには一定の業務負担やコストが発生するため、IT サプライチェーンの

中のすべての企業が国際規格に沿った取組みを実施することは、現状では難しいといえる。この

ため、まずは国際規格や既存の基準、ガイドライン及び規格等も参考に、IT サプライチェーンの

中で取り扱う情報資産や想定されるリスクを類型化した上で、すべての企業が最低限実施すべき

基本的な取組みに関して整理された共通的な指標を整理することが必要と考えられる。さらに、

ある程度共通のリスクが想定される企業グループに対しては、よりレベルの高い取組みを導入す

るために参考となる追加の指標を整備するなど、実行性がある形で段階的な指標を検討していく

ことが期待される。

104

委託元と委託先の責任範囲明確化の必要性

アンケート調査、インタビュー調査結果ともに、委託元と委託先の情報セキュリティ上の責任

範囲が不明という点が大きな課題として認識されている。情報セキュリティ上の責任範囲の議論

には、①業務委託の中で、委託先が実施すべき情報セキュリティ対策の範囲、②インシデントが

起きた際の委託元と委託先の損害の負担という観点がある。

①について、IT システム・サービスの業務委託では、案件が開始された後で、予算とのバラン

スでセキュリティも含めた詳細な要件のすり合わせを行うことも多く、こうした過程の中で業務

に見合ったレベルのセキュリティが確保できるかが課題となっている。本来であれば、委託元、

委託先双方が業務で扱う情報資産やリスクに基づき、適切なセキュリティレベルを確保するため

の対策について合意した上で業務を開始するべきであるが、アンケート調査結果からは、委託先

の選定等においてセキュリティは必ずしも優先的な考慮事項になっていないの実態が見えており、

こうした点も情報セキュリティ上の責任範囲が曖昧にされてしまう一因と考えられる。業務委託

の判断を行う上で、例えば品質等と同等のレベルで情報セキュリティの確保を優先的に考慮し、

さらに情報セキュリティの確保を実現する上での自社の責任を明らかにすることの重要性につい

て、企業、特に経営層の意識を変えていくことが必要と考えられる。

また、②は、①で委託元・委託先がリスクを正しく把握した上で必要な情報セキュリティ対策

が実施されたことを前提に、両者の責任範囲と負担について検討した上で、損害賠償等の範囲、

限度額が契約書上で明記されうる形が望ましい。また、クラウドサービス等の利用に当たっては、

約款や SLA 等でクラウド事業者の責任範囲が明記されているため、事前にリスクを十分確認した

上で利用することが必要となる。

IT システム・サービスの利用形態が複雑化・多様化する中で、異なる役割でシステム・サービ

スの開発・運用に携わる IT サプライチェーンの関係者の間の情報セキュリティ上の責任範囲がよ

り分かりにくくなる可能性がある。さらに、IT システム・サービスの変化によって新たに生まれ

るリスクに対応するためにも、関係者間の責任範囲の明確化の必要性は益々高まってくると考え

られる。例えば、現在様々なサービス提供が開始されている IoT システムの場合、モビリティや

医療応用等、サービスによってはインシデントが利用者の安全上のリスクにつながる可能性もあ

る。IoT の IT サプライチェーンを構成するシステム・サービスの提供者、機器メーカ、ネットワ

ークを介してつながる他のサービスの提供者等の様々な関係者の間で、それぞれの責任範囲をど

う定めるかは、慎重な検討が必要となる。

以上