中小企業向けITコンサルティング専門会社、日本クラウドコンピューティング株式会社代表取締役社長、中小企業経営イノベーション協議会会長を務める清水圭一のブログです。中小企業経営者向けに講演、コンサルティング、ITシステム開発を行っております。現在、『月刊総務』にてICTコラムを連載中。
<< 業務を正確、円滑に進めるスケジューラーの意外な使い方 | main | 御社のホームページ、時代に取り残されていませんか? >>
取引先から要求される機密情報外部委託先調査票への対応
0

     「取引先から要求される機密情報外部委託先調査票への対応」

     

    日本クラウドコンピューティング株式会社

    代表取締役社長 清水圭一

     

     

     近年、多発するセキュリティ事故に対しての危機感の高まりを背景に、各企業は機密情報の取り扱いに対して、自社で厳格なルールを策定しています。

     

    また、取引先についても、自社と同様かそれ以上の厳格な機密情報の管理を求めるようになっており、取引先選定の基準として大きく影響を及ぼす状況になっています。

     

     

     そのような背景から、ある日、突然、取引先から機密情報外部委託先調査票や委託先の情報セキュリティチェックシートといった書類が送付されたり、監査に訪れて、回答を求められることがあります。

     

     

     特にその取引先がプライバシーマークや情報セキュリティマネジメントシステム(ISMS: Information Security Management System)などを取得しており、かつ自社が機密情報や個人情報に関わる業務委託をその取引先から請けている場合は、取引先企業のプライバシーマークやISMSの更新審査のためにも必要になりますので、しっかりと対応せざるを得ません。

     

     

     今回はこのような調査票に記載されていることが多い質問事項のうち、ICTに関わりが深い部分で、回答し難い事項について、どのように回答すべきか、回答例を挙げて、解説していきたいと思います。

     

     

    質問事項「OSやアプリケーションはサービスパックやセキュリティ更新モジュールを適用し、最新の状態を保っていますか?」

     

     ハードウェア、ソフトウェア同士の互換性などで、OSを最新バージョンにアップグレードできないケースなどは多くあります。

     

    また、トラブル時の影響が大きい業務用アプリケーションは、自社内のテスト用マシンなどで、最新バージョンの動作検証をしなければ、本番のシステムで動かすことができない場合もあります。

     

    その場合、鵜呑みにして調査票の判定欄に「✖」と記載するのではなく、「◯」と記載し、その欄の近くにある備考欄や代替案を記載する欄に、自社の状況を確認の上、次のように記載することを検討してください。

     

    回答例「最新版のOSやアプリケーションについては、事前に社内での動作検証を行い、トラブルなどのリスクがないことを確認してから、出来るだけ迅速に最新の状態を保つようにしている」

     

     

    質問事項「個人の所有するPCや記録媒体に機密情報や個人情報をコピーすることを禁止していますか?」

     

     BYOD(Bring your own device 従業員が個人保有の携帯用機器を職場に持ち込み、それを業務に使用すること)を行なっている企業などは、これも「X」と回答しないといけないと思いがちです。

     

    しかし、ここで質問をされているのは、個人のPCや記録媒体でコピーをすることを禁止しているかどうかを質問しているだけです。

     

    個人のPCの業務利用について聞かれているわけではありませんので、社内で機密情報や個人情報のコピー禁止規定を定めて、従業員に周知していれば、「◯」となります。

     

     

     また、BYODを導入している企業では、クライアント側にデータを残さないシンクライアントなどの仕組みを使い、対策をしていることが多いかと思います。

     

    もし、調査票の質問で、BYODを導入していることを聞く質問がある場合は、自社で行なっている対策を確認の上、次のように回答することを検討してください。

     

    回答例「当社ではBYODを実施しておりますが、業務利用のデータに関しては機密情報や個人情報を含めて端末側の記録媒体にコピーをすることを禁止しているとともに、データが端末に残らない仕組みを導入し、対策しております」

     

     

    質問事項「ICカードやセキュリティゲートなどによって、入退場管理の機密情報漏えい防止がなされていますか?」

     

     大手企業は、ICカードやセキュリティゲートなどの設備は、ほとんど整備されつつありますが、中小零細企業などは、このような設備がある方が珍しいかと思います。

     

    これも「✖」をつけるのではなく、次のように回答することを、自社の状況を踏まえて検討してください。

     

    回答例「小規模事業所につき、従業員全員、お互いの顔を認識しており、従業員以外が来訪、入室した場合については、声がけを徹底しております。また、業務時間中は事業所内が不在になることはなく、業務時間外は、出入口の施錠徹底などの対策をしております」

     

     

    質問事項「外部のネットワークからの不正アクセスを防ぐためのファイヤウォールを設置しています?」

     

     このファイヤウォールも単体のものだけでなく、OSやルーターファイヤウォール機能が付属していることもありますので、この機能を有効にしたり、あるいは、ウイルス対策ソフトのファイヤウォールやインターネットサービスプロバイダーが提供するアクセス管理機能でも代用できるます。

     

     

     このような場合も、自社の環境を確認の上、次のように回答することを検討してください。

     

    回答例「OSのファイヤウォール機能を利用し、外部ネットワークからの不正アクセスを防ぐ対策を行なっております」

     

     調査票の質問事項に対応する対策を行うことは、大半の企業では難しいかと思います。

     

    今回、紹介した回答例のように、ポイントは、調査票の各質問で問われている対策が、代替方法であっても、不完全なものであっても、自社の企業規模や扱っている機密情報を扱う業務に応じた対策をしていると説明できることです。

     

    対応のための新たなICT投資を行う前に、質問事項の本質を捉えて、自社の状況に即したセキュリティ対策ルール策定や今、あるICTの資源活用を行っていくのが第一選択となります。

    JUGEMテーマ:ビジネス

    Posted by : 日本クラウドコンピューティング(株) 清水 圭一 | クラウドコンサルティング | 07:00 | - | - | - | - |
    TOP