委託時のセキュリティ責任、「知識不足」で不明瞭に

責任範囲を明確にできない理由について聞いたところ、「専門知識、スキルが不足している」が79.6％で最多。

「調整に時間がかかり契約締結が遅くなる」が60.2％、「継続契約のため責任範囲を見直す機会がない」が59.5％。「何を決めたらよいかわからない」が54.9％で続く。

また、委託契約時に委託元からのセキュリティ上の責任範囲について不明瞭な部分がある場合、委託先が実施している対策について聞いたところ、「受注可否を判断する社内の受注審査」が47.9％、「委託元との協議内容の記録」が47.7％、「契約形態の変更」が44.6％、「想定リスクの洗い出し」が44.4％と、自組織内でリスクを低減する対策を実施していることがわかった。

委託契約時に責任範囲を記載している文書は「契約書」が96.5％で最多。責任範囲を明確にするために有効な施策は何か委託元に聞いたところ、「契約関連文書のひな形の見直し」が58.5％でもっとも多く、次いで「ガイドラインの整備（49.6％）」「委託先とのリスクアセスメント（46.5％）」「トラブル事例集（42.4％）」となった。

委託先が責任範囲を明確にできない理由（グラフ：IPA）

（Security NEXT - 2019/04/22 ） ツイート

PR

関連記事

LINEヤフーに再度行政指導 - 報告受けるも対応や計画不十分
個情委、人事労務サービスのMKシステムに行政指導 - 報告は3000件超
個情委、「LINE」情報漏洩でLINEヤフーに勧告 - 「ヤフオク！」に関する指導も
JPCERT/CCが攻撃相談窓口を開設 - ベンダー可、セカンドオピニオンも
総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
先週の注目記事（2024年2月25日〜2024年3月2日）
約596万人分の個人情報持出、NTTドコモらに行政指導 - 個情委
経営者が想定すべきインシデント発生時のダメージ - JNSA調査
メタバース内に「警視庁サイバーセキュリティセンター」を開設
住民票の誤交付問題で富士通Japanに行政指導 - 個情委