A.5.20 供給者との合意における情報セキュリティの取扱い

方針

当社は、供給者との合意内容において、 当社の情報資産の取扱いに関する情報セキュリティ上の要件が、 業務内容および情報の重要性に応じて適切に定められるよう管理を行う。

合意内容の取扱い

供給者との合意は、契約書、利用規約その他の合意文書に基づき管理する。 当社の情報資産を取り扱う場合は、 合意内容に応じて、 機密情報の取扱いに関する事項を定める。

業務委託先との合意

業務委託等により、当社の情報資産を直接取り扱う供給者との合意においては、 契約内容に応じて、 情報の取扱い、利用範囲、契約終了時の対応等について定める。

一般的なサービス提供者との合意

SaaS 等の一般的なサービス提供者については、 利用規約や公開されている条件を合意内容として取り扱い、 当該内容を確認したうえで利用する。

合意内容の見直し

供給者との合意内容については、 業務内容や利用状況の変更があった場合に、 必要に応じて見直しを行う。

当社における実施状況

当社では、情報資産を直接取り扱う委託先については、契約または合意文書により守秘義務および情報セキュリティ上の要件を定めている。一般的なSaaS等のサービス提供者については、利用規約、公開されているセキュリティ情報および第三者認証の確認により管理している。

契約管理はクラウド契約管理サービス（Money Forward クラウド契約）を用いて一元管理しており、契約終了時の対応も追跡可能な状態としている。