概要
日本企業の多くは情報システムの構築・運用、及び情報技術の活用の際には、外部委託先の支援を必要としています。特に近年では、クラウドコンピューティング等のサービス形態が多様化していることから様々な外部委託先に対する依存度が高くなり、その管理も複雑化してきております。
一方で、外部委託先が原因で発生する情報漏洩等のセキュリティ事故やシステムトラブルによる業務中断等、の問題が表面化することも増えてきております。つまり、外部委託先の不手際やミスが自社のリスク要因であることを認識する必要があります。
また、個人情報保護や内部統制等の制度的な面からも、外部委託先に対する監督責任が要求されております。外部委託先の選定、評価から運営までの一連の流れの中で、外部委託先管理を高度化するための施策を検討、支援します。また、現状の外部委託先の状況を確認の上、強化すべき統制活動や委託先の整理についても検討を支援します。
外部委託先管理の課題と要因
外部委託先管理においては、以下の様な課題が考えられます。
- 外部委託先管理に関する規程やルールはあるが、最新の技術やサービスに基づく特性や複雑性等から適用することが難しい部分もあり、形骸化している。
- 外部委託先における情報セキュリティの管理状況について適切な評価や管理ができておらず、外部委託先におけるリスク要因が明確でない。
- 外部委託先が提供するサービス等の品質については、外部委託先が実施する報告を受けるだけであり、自社が求めるレベルを充足しているか評価が難しい。
- 外部委託先管理が所管する部門毎で個別に行われており、管理レベルもばらつきがある。
- 外部委託先管理に関する評価プロセスが不十分であり、サービスレベルの改善が行われていない。
- 外部委託先の評価や立入調査を行うためのノウハウや人材がいない。
上記の様な事象の原因として、以下が考えられます。
1.外部委託先管理ルールに基づく原因
- 外部委託先管理に関する規程やルールが作成時点から見直されていない。
- 外部委託先管理に関する規程やルールを適用することについて外部委託先と調整が不十分であり、適用が難しい場合の代替案も検討されていない。
- 外部委託先ごとに異なる部門や組織が管理業務を行っており、統合的な体制ができていない、かつ相互の情報連携もできていない。
- 外部委託先の業務内容を評価・管理するための、情報セキュリティやシステム構築・運用に関する知識やスキルを有する人材が不足している。
サービス内容
外部委託先管理支援サービスの内容は、以下の通りです。