企業や組織の情報漏洩対策として、取引先や業務委託先、再委託先への対策が重要視されるようになってきています。取引先が個人情報や機密情報を漏洩してしまった場合、機密保持契約などを締結していたとしても、発注元としての監督責任を果たしていないことになり、その責任は発注元にも及びます。そのため、発注元から取引先、業務委託先などへの情報漏洩対策の要求は年々厳しくなってきています。
例えば、実際にあった事例として、ある役所から業務委託を受けた企業が、個人情報の入ったUSBメモリを役所から持ち帰り、紛失したというケースがありました。また、情報セキュリティ対策が比較的手薄だった取引先の中小企業がサイバー攻撃を受け、委託業務で扱っていた個人情報が流出したという事例もありました。これらのように、業務を委託した組織が情報漏洩事故を起こしてしまうことも少なくないことから、取引先企業への情報漏洩対策のチェックや監視に、積極的に取り組む企業が増えています。
また、他社のソフトウェア開発を委託されている企業などでは、機密情報を入手、保持することも多いため、発注元の企業から情報漏洩対策を実施するための社内体制を確認されることや、情報漏洩対策に取り組んでいることを証明するよう求められることもあります。ここで万全な情報漏洩対策を行い、発注元の企業に対して情報漏洩対策についての具体的な取り組みを示すことができれば、信頼や取引の継続を勝ち取ることにもつながります。
しかし、情報漏洩対策の取り組みに関して「何から手をつけていいかわからない」という企業の皆さまも多いのが現状です。「独立行政法人 情報処理推進機構(IPA)」では、そのような方に向けて「中小企業の情報セキュリティ対策ガイドライン」を公開しています。本ガイドラインに記載されている各種対策に取り組むことで、情報漏洩リスクを軽減できる環境づくりを行うことができます。
情報漏洩対策に関するチェックや、監視体制についての業務委託先からの回答結果によっては、取引の停止や取引内容の見直しなどの厳しい措置を取る企業もみられます。また、契約の際に、ISO/IEC 27001やプライバシーマークなどの認証を取得している企業が、契約をスムーズに進められる傾向もあります。特に、情報漏洩対策に力を入れている企業との取引、信頼関係の構築には、しっかりとした情報漏洩対策への取り組みが重要になります。
