企業によっては、事業で使用するソフトウェア等のIT製品を外部委託によって調達する場合があります。
ただ外部委託をするという事は、委託先に情報セキュリティの管理についても委託する事になります。
セキュアなIT製品を調達する為の情報セキュリティの必要性について、詳しく解説します。
外部委託における“調達仕様書”の必要性
企業がIT製品を外部委託で調達する場合、“調達仕様書”の活用がポイントとなります。
調達仕様書には、IT製品のセキュリティ要件を定めるための情報(セキュリティ要件仕様)が記載されており、委託先はその内容に応じてセキュリティ対策を講じる事になります。
具体的には、情報システムの概要や保護すべき情報資産、前提条件や情報システムにおける脅威などを記載します。
委託先は調達仕様書の内容を考慮して“提案仕様書”を作成し、企業にレスポンスとして提出します。
提案仕様書の内容を確認して、企業ではその委託先に外部委託をするかどうかの審査が行われます。
審査によって委託先が決まれば、委託先が本格的なIT製品の設計をスタートさせます。
設計だけでなく構築、テストにおいても調達仕様書の内容を満たしていれば、晴れてIT製品の外部委託は成立となります。
つまり外部委託における情報セキュリティは、調達部門がいかに上手く委託先に要件を伝えられるかが鍵になるという事です。
情報セキュリティを重視した外部委託の必要性について
情報セキュリティを重視した外部委託の必要性は、外部委託を進める際に注意すべき点と関係してきます。
例えば外部委託を行う企業の調達部門における注意点にも、情報セキュリティを重視した外部委託の必要性が関係しています。
調達部門は調達仕様書を十分に作成出来る能力、または提案仕様書を十分に審査出来る能力が必要です。
つまり調達仕様書を十分に作成出来るという事は、情報セキュリティを十分に重視した外部委託が進んでいるという事になります。
また提案仕様書の審査に関しても、情報セキュリティを十分に重視して、必要性を考慮していなければ、適切な審査は出来ません。
またIT製品の外部委託は、調達仕様書を作成する際、提案仕様書を審査する際に十分な期間を設けなくてはいけません。
調達仕様書の作成に十分な期間を設ける理由は、委託先に情報セキュリティの必要性が最大限に伝わる様な内容にする為です。
また提案仕様書の審査に十分な期間が必要なのも、自社で伝えた情報セキュリティの必要性を、差異なく委託先が理解しているかどうかチェックする為なのです。
まとめ
今回紹介した外部委託の様に、情報セキュリティの必要性は自社のシステムだけに留まらず、他社とのやり取りの中に存在するケースもあります。
他社とのやり取りをより円滑にする為には、JAPHICマークやプライバシーマークなどの“第三者認証マーク”の取得が非常に効果的です。
マークを取得しているだけで、他社からは“安全で適切な情報管理がされている企業”と評価されます。
また自社が取引を行う取引先、委託先の選定においても、マークの有無というのは分かりやすい指標となります。
企業が他社とのやり取りをする時は、出来る限りお互いにメリットがある企業を選ばなくてはいけません。
