委託先の選定、セキュリティ対策が最優先とする企業は4.6％

業務委託先を選定する際、「情報セキュリティ対策の実施状況」や「認証の取得状況」を最優先と考える企業は、わずか4.6％にとどまることがわかった。

情報処理推進機構（IPA）が、資本金3000万円以上で従業員50人以上の企業を対象に、2017年10月から2018年2月にかけてアンケート調査を行い、結果を取りまとめたもの。調査票を送付し、調査票の返送および専用ウェブサイトによる回答を併用する形で実施した。

委託先の選定で重視する点を尋ねたところ、回答のあった499社のうち62.3％が「業務の品質、価格、納期」をもっとも優先すると回答。一方、「情報セキュリティ対策の実施状況や認証の取得状況」を最優先するとの回答は4.6％にとどまった。

セキュリティ対策や認証取得を2番目に優先するとの回答も10.2％と1割強に過ぎず、優先事項の上位4番目まで入る企業は約半数にとどまった。

委託先の選定において重視する項目（グラフ：IPA）

委託先が実施すべき具体的なセキュリティ対策を仕様書などに明記している企業は29.5％。69.1％は「明記していない」と回答。

要求するセキュリティ対策に委託先が対応できない場合、「情報セキュリティ対策の代替案の提案を求める」が60.3％を占めたが、「委託先を変更する（18.8％）」「業務委託をやめる（8％）」など、委託を見直すところもあった。

委託先との契約に含まれる情報セキュリティの要求事項では、「秘密保持」が94％。以下、「契約終了後の情報資産の扱い」が43.9％、「情報セキュリティに関する契約内容に違反した場合の措置」が35.9％だった。

委託先との契約において、情報セキュリティの観点で課題と考える項目では、「情報セキュリティの責任範囲がわからない」が54.5％で最多。「実施すべき具体的な情報セキュリティ対策が明示されていない」が47.3％、「情報セキュリティ要件として何を取り決めるべきかわからない」が40.7％で上位に入った。

委託先との契約における課題（グラフ：IPA）

（Security NEXT - 2018/03/26 ）ツイート