Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

委託する意味を考える時がきた - アウトソーシングとセキュリティ

業務委託(アウトソーシング)といえば、企業の合理化を推進する上で、重要な戦略として数多くの企業に採用されている。

基本的にアウトソーシング事業者は、それぞれの事業に特化している。そのため、企業内で処理をするよりもリーズナブルで、最新設備が装備されていたり、独自のノウハウなど、より高度なサービスを提供しているケースが多い。

企業の競争力を高めるためにも、「業務委託」抜きでは考えられない時代だ。なかには、基幹業務さえ、委託する企業も現れている。

外部委託すれとなれば、自社内の機密情報や個人情報を提供することも多い。個人情報保護法では、外部委託業者の監督責任が問われるのはご存じの通りだ。もちろん、法律だけでなく、消費者からも企業における情報管理の徹底が求められており、この流れは今後変わらないだろう。業務委託を行う際も、慎重な選択が求められている。

日弁連のシンポジウムにて

12日1日、日弁連コンピュータ委員会が東京霞ヶ関にてシンポジウム「個人情報漏洩事件とその対策」へ参加した。IT関連の判例紹介や個人情報漏洩事件簿といった講演で構成されていたが、なかでも印象的だったのは、ヒューレットパッカードの佐藤慶浩氏による講演「情報漏洩の企業における管理策」だった。

同氏の講演では、企業がどのように個人情報を扱っていくか、大まかにまとめたものだったが、業務委託に関する意見には非常に共感した。同氏の意見とは、ローコストという観点から業務委託を選択していけば、セキュリティレベルが低い業者ばかりが集まってしまう、というものだ。

従来、裏方であるセキュリティは、コストの増加要因として無視されることも多かった。価格で業者を選べば、セキュリティへコストをかけていない事業者のみ、選択肢に残ってしまうというわけだ。セキュリティには必ずコストがかかる。もし、必要以上に安ければ「ウラがある」というわけだ。

とはいえ、企業の担当者は、「できるだけ低いコストを押さえろ」という絶対命題が科せられている。興味深かったのは、それら問題をHPがどう回避しているかだ。

同社では、契約書にセキュリティの内容を事細かに記す必要があり、万が一契約書上に記載がない形で漏洩事故した際は、「契約を締結した担当者のミス」として、社内処分の対象となるという。

具体的なセキュリティの契約内容を契約書に記載することは、責任関係が明確になるため、非常に効果的だ。また、同社の手法を用いれば、担当者が外部業者を選定する際、「価格」といった一面的な視野ではなく、リスク回避など、多角的な視野から取り組まざる得ない。

また同氏は、賠償責任のみの記載では、下請け、孫請け、ひ孫請けとリスクも転嫁され、最終的に回収できないケースもあることを指摘している。たしかに、補償されるかわからない賠償責任では、リスクは放置されたのと同じだ。しっかりとセキュリティ状況を確認しながら契約することが重要となる。

企業は社員へスタンスを示すことが重要

とはいえ、課題もある。まず、セキュリティを重視した業務委託を行うのであれば、増加するコストを企業が認め、前向きに負担しなければならない。

そして、「どのようなセキュリティ対策が必要であるか」「どのような基準でセキュリティ対策を取捨選択するか」「どの程度の具体性を持たせるか」企業のスタンスを決めなくてはいけない。

というのも、ウェブアプリケーションなど、IT関連技術の場合、日々新しい脆弱性が報告されている。これら脆弱性への対応まで細かく記載していくとなれば、非常に煩雑な作業となるし、毎回契約書を見直しを行うのも現実的でない。対応が必要な脆弱性と、不要な脆弱性の取捨選択も必要となるだろう。

一方、抽象的な表現に止まれば、セキュリティ対策も漠然としたものとなる可能性もあり、これでは元の木阿弥だ。非常にバランスが難しい。

この点については、今年5月に開催された「Web Application Securityフォーラム コンファレンス」における高木浩光氏の講演「安全なWebアプリ発注の適正価格化に向けて」でも、ウェブアプリのセキュリティを踏まえた基準価格が必要ではないかと、問題として提起されている。

参考記事:セキュリティ対策にはコストがかかる
http://www.security-next.com/000518.html

もちろん、業務ごとにセキュリティ対策は異なるし、シンプルなセキュリティ対策を示せば済む場面もある。一方で、非常に煩雑となるシーンがあるのも事実だ。

委託する意味を考える時がきた

従来の「安価重視」から、「コストパフォーマンス重視」へシフトしなければいけない時代が来ている。特にリスク評価を重視する仕組みを導入していなければ、気が付かないところでリスク増大に繋がっていく。

業務委託において、従来の「金額絶対主義」から脱出するには、企業としてはコストとセキュリティのバランスを計る客観的かつ合理的な指標を用意することが最低条件だ。業務委託する内容によっても、セキュリティの重要度は変化するし、指標がなければ、担当者ごとに評価の「ゆれ」が発生し、リスクコントロールはうまくいかないからだ。

外部委託は何かしらのリスクが伴う。これは当たり前のことだし、許容しなければ、企業として生き残ることはできない。だからこそ、「なぜ、業務を委託するのか」それを考えるべき時が来ている。

(Security NEXT - 2004/12/09 ) このエントリーをはてなブックマークに追加

PR

関連記事

応募QRコードから応募者の個人情報が閲覧可能に - アトレチコ鈴鹿
特別支援学校で生徒の個人情報含む動画を誤公開 - 埼玉県
USBメモリを紛失、暗号化済みだがPW貼付 - NEXCO西日本
送信した表計算ファイルの非表示部分に無関係の個人情報 - 朝日新聞
サイト改ざんで別サイトへ誘導 - 聖マリアンナ医科大東横病院
先週注目された記事(2024年3月10日〜2024年3月16日)
「違法情報」の通報が約28.2%増 - 「犯罪実行者募集」は4000件超
Google、ブラウザ最新版「Chrome 123」をリリース - 複数脆弱性を修正
「GitHub Enterprise Server」に複数脆弱性 - アップデートが公開
フィッシング報告が前月比約35%減 - 悪用URLは約23%増