「運用」と「責任分界点」
2つ目は運用だ。ここでいう運用とは、自社が求めるセキュリティの具体策や業務プロセスが、しかるべき形で確実に実施されるようにすることだ。アンケート形式の監査が一般的だが、自己申告という特性上、実態を把握することは困難な上、形骸化しているケースが散見される。アンケート形式であれば証拠の提示を義務づけたり、実効性を持たせるのであれば実地での監査、場合によっては抜き打ちで実施したりする方が望ましいだろう。尼崎市民の個人情報が漏えいしたBIPROGYの事案では、委託元の許可なく業務の再委託、再々委託が行われていたことが原因の1つとして挙げられた。また、徳島県民の個人情報が漏洩したイセトーの事案では、個人情報を取り扱ってはいけない環境にデータが存在し、かつ業務完了後は個人情報を削除する契約になっていたにも関わらず、実態と異なる報告が行われ削除されていなかった。これらの事案は運用の重要性を改めて浮き彫りにしている。
3つ目は責任分界点だ。ここでいう責任分界点とは、委託先と委託元が何に対しての責任を負うのかを明確にすることを意味している。先にあるような契約違反ともいえる事象や過失が発生した場合に、結果として発生するさまざまなコストを誰が負担するのかを含めて責任の所在を明確にするものだ。
先の尼崎市の事例では、契約違反としてBIPROGYから対応コストとして要した約2900万円を損害賠償という形で受領している。海外の事例にはなるが、ランサムウェア被害における対応の過失を理由に、ロボット掃除機のiRobot(アイロボット)が国際物流のExpeditors(エクスペディターズ)を相手に約210万ドル(約3億2000万円)の損害賠償請求をしている。
業務は外部業者に委託できてもセキュリティの責任は委託できない
事故が発生すれば必ずコストが発生するため、揉めごとになる前の準備としても2社間で合意を事前にとることだ。とはいえ絶対に忘れてはならない点がある。委託元の責任だ。自社の業務を委託している以上、その業務がリスクによる影響なく適切に行われるようにするのは委託元の責任であり、サイバーセキュリティも例外ではない。いかなる場合にも委託元としての責任は放棄されるものではない。個人情報保護法においても明確になっているが、委託元には管理監督責任がある。つまり、委託先の選定から運用に至るまでの責任は委託元にある。逆をいうと、仮に委託先が杜撰な運用をしていたとしても、それを監督して是正できていなかったのであれば、それは委託元にも責任があるといえる。
専門性の欠如を理由に、責任を含めて「ベンダー丸投げ」がさまざまな領域で散見されるが、外部委託が事業継続のいち手段として確立されている昨今、委託元の責任が改めて問われている。業務は外部業者に委託できたとしても、セキュリティの責任は外部に委託することはできない。リスクとメリットのバランスが保たれないのであれば、業務の内製化も検討するべきだろう。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
