企業が社内での情報セキュリティ管理に務めていても、その企業の情報を共有する企業の不手際が原因で、情報セキュリティ事件が発生するというケースもあります。
したがって、企業は自社だけでなく、業務提携を結ぶ企業が原因の情報セキュリティ事件についても、対策を取っておくべきだと言えます。
業務提携を結ぶ企業における情報セキュリティ事件への対策①開示情報を厳選する
業務提携を結ぶ企業が原因の情報セキュリティ事件への対策として、まず“開示情報を厳選する”ということが挙げられます。
例えば、重要な機密情報に関しては開示せず、周辺技術のみを開示して、その範囲で可能な業務のみを委託するというような対策です。
また、開示情報を厳選するだけでなく、必要のある場合以外は、なるべく業務提携を結ぶ企業が機密情報に接近する機会を減らすようにしましょう。
例えば、業務提携を結ぶ企業が自社に訪れた場合でも、工場や書庫などへの立ち入りには制限を設けるというような対策が挙げられます。
業務提携を結ぶ企業における情報セキュリティ事件への対策②情報の取扱者を限定する
業務提携を結ぶ企業が原因の情報セキュリティ事件への対策には、“情報の取扱者を限定する”ということも挙げられます。
例えば、業務提携を結ぶ企業における機密情報の取扱者を契約書で指定するなどの対策ですね。
こうすることで、業務提携を結ぶ企業から情報が漏えいした場合に、原因を把握しやすくなります。
ちなみに、業務提携を結ぶ企業が情報の取扱者を変更する際は、自社の許可を取らなければいけない旨に関しても、忘れずに契約書に記載しましょう。
業務提携を結ぶ企業における情報セキュリティ事件への対策③報告を義務付ける
業務提携を結ぶ企業が原因の情報セキュリティ事件への対策には、“報告の義務付け”も挙げられます。
これは、機密情報を管理する提携先に対し、適切な方法で情報を管理していることを定期的に報告させることについて、契約書に記載するという対策です。
また、企業はその報告を受けた際、内容が契約内容と差異のあるものでないかを確認しなければいけません。
そして、可能であれば、報告を義務付けるだけでなく、機密情報の管理体制の監査を定期あるいは不定期に行う旨についても、契約書に記載しておくべきでしょう。
不定期での監査を行う旨を記載すれば、業務提携を結ぶ企業の不正などは発見しやすくなります。
まとめ
ここまで、業務提携を結ぶ企業における情報セキュリティ事件への対策について解説してきました。
この他にも、業務提携を結ぶ企業に開示する情報については、コピーできない媒体で開示するなど、対策はまだまだたくさんあります。
また、信頼関係のある企業が相手であっても、決して情報セキュリティ事件への対策を怠ってはいけません。
