改正された個人情報保護法の施行日が2017年5月30日に決定しました。社内での対策を進める一方で、個人情報を取扱う業務の委託会社に対する状況の把握や監督は見落とされがちです。
企業の保有する顧客情報や技術情報、等の情報漏えい事故が相次いで発生しています。特に最近の傾向としては、データベース化された重要情報を情報システム関連の委託会社担当者が漏えいするケースが散見されています。弊社ホームページのブログでも、以下の事件について触れています。
「横浜銀行カード偽装事件-内部犯行の脅威」
「東芝技術流出事件と営業秘密管理」
「ベネッセ個人情報流出と委託先管理」
こうした状況を考えると、情報システム関連の外部委託先に対するセキュリティ対策について、優先度を挙げて取り組むべきです。
情報システム関連の外部委託先が重大なリスク要因と考えられるのは、以下の理由からです。
- 情報システムを構成するOS/データベース/アプリケーションのすべての階層における特権ID(管理者権限)が外部委託先担当者に付与されており、ノーチェックで重要データの操作が可能である。
- 情報システムや情報技術に関する知識、スキルを外部委託先に依存している。
- 外部委託先の作業場所が委託先拠点等、委託元会社の社外にある場合、委託元社員の目が届かない場所で、委託元会社の管理規程等の枠外での運用が行われている。
上記の理由から、外部委託先の担当者は委託元会社の重要データに自由にアクセスすることができる環境にあるとともに、委託元会社はそのような活動が行われていても、これを検知することができない状況にあります。
デルタエッジコンサルタントでは、このような状況を改善し、情報システム関連の外部委託先を適切に監督するためのコンサルティングやアドバイザリーのサービスを提供します。
また、短期間かつ安価に現状を把握するための「外部委託先簡易診断」サービスを提供しております。
ご興味やご関心がありましたら、「お問い合わせ」のページよりぜひご連絡ください。