委託契約における情報セキュリティー上の責任範囲（責任分界点）がわからないとの声も

セキュリティーマネジメントが守られていない業務委託が多いことが判明

委託先が実施すべき具体的な情報セキュリティー対策の仕様書等での明記（委託元の回答）

　独立行政法人情報処理推進機構（IPA）は3月26日、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」の結果を発表した。多くの企業ではセキュリティー意識が低いままであることが判明した。

　ITシステム・サービスに関する業務を系列会社やビジネスパートナーなど外部に委託するITサプライチェーンにおいて、個人情報の漏洩など情報インシデントが相次いでいることを受けての調査。ユーザー企業499社とITシステム・サービス企業620社を対象に、契約に関する事例や意識調査などのアンケートを行ない、さらにインシデント事例の収集やインタビューを行なっている。

委託契約における情報セキュリティの観点での課題（委託元／委託先）

　調査結果では、過半数の企業が情報セキュリティー対策を仕様書に明示しておらず、とくに製造業や卸売・小売業では70％を超えるという結果となった。委託元／委託先ともに、委託契約における情報セキュリティー上の責任範囲（責任分界点）がわからないとする回答が多い。経済産業省が公開した「サイバーセキュリティ経営ガイドラインVer. 2.0」に明記されているにもかかわらず、業務委託においてはセキュリティー対策に関する意識が低いままだということが分かる。

　IPAではアンケートの集計結果だけでなくインシデント事例も含めた調査レポートを公開している。