9. 委託管理
| 項目 | 内容 |
|---|---|
| 改訂日 | 2025.01.15 |
| 適用範囲 | 情報資産を取り扱う業務の委託 |
1. 委託先の評価
Section titled “1. 委託先の評価”「12. 情報資産の定義と管理ルール」において機密性が1以上の情報資産を取り扱う業務を外部に委託する場合は、委託先の情報セキュリティ対策について、事前に確認を行う。
評価にあたっては、以下の事項を参考とする。
- 情報セキュリティまたは個人情報保護に関する方針を有していること
- 情報資産の取扱いに関する基本的な管理体制を有していること
- 委託業務の内容に応じた情報セキュリティ対策が講じられていること
- AIサービスを利用する委託先の場合、入力データの学習利用に関する利用規約を確認していること
2. 委託先の選定
Section titled “2. 委託先の選定”委託先の選定は、前項の確認結果に基づき行い、情報セキュリティ責任者の承認を得る。
3. 委託契約の締結
Section titled “3. 委託契約の締結”委託業務を行うにあたり、委託先との契約書または覚書等に、以下の事項を明記する。
- 当社の社外秘または極秘の情報資産および個人情報に関する守秘義務
- 再委託に関する取扱い
- 事故発生時の報告および責任分担
- 委託業務終了時の情報資産および個人情報の返却、廃棄または消去
4. 委託先の管理
Section titled “4. 委託先の管理”委託開始後は、委託先との連絡および業務内容の確認を通じて、情報セキュリティ上の問題がないことを確認する。
委託先における情報セキュリティ対策に重大な不備が認められた場合は、必要な是正措置を求める。
なお、委託先のセキュリティ対策状況の確認は、公開情報(SOC2/ISO認証、プライバシーポリシー、DPA等)、契約条項、および実運用における連絡により代替し、個別のセキュリティ対策確認チェックリストは作成しない。契約内容の確認および管理はクラウド契約管理サービス(Money Forward クラウド契約)を用いて実施する。
5. 再委託
Section titled “5. 再委託”委託先が当社から受託した業務を第三者に再委託する場合は、事前に当社へ報告し、情報セキュリティ責任者の承認を得るものとする。
再委託にあたっては、委託先と同等の情報セキュリティ管理が行われることを求める。