外部の委託先の場合、特定個人情報保護ガイドラインに基づいた各種の安全管理措置が講じられているかどうかについては自社内と違って全てチェックできるわけではないし、常時運用や変更を監視できるわけでもない。従って最終的には「誰が、どのように」それを評価、確認し、責任を持つのかという点を考えなければならない。
評価の方法には大まかに言って、以下の3つがあり、それぞれコスト面で大きな違いがあると考えればよいだろう。
- 契約書、覚書などの契約行為による書面上での確認だけに留める(委託先企業だけが自らを自己評価する)
- 外部の独立した第三者が委託先に対する監査等を行い、その評価・確認の内容を委託元に開示することで確認する(契約当事者でない第三者が評価・確認する)
- 委託元企業が自ら委託先の業務内容や作業環境に対する監査等を行い、評価・確認する(委託元が自ら評価・確認する)
書面だけで済ませてしまう(1)は低コストであるが、心許ないと考える企業もあるだろう。
(2)については、通常は助言型の監査報告書が利用されるが、監査法人などが得意としている情報セキュリティ監査などの保証報告書を利用することも想定される。保証報告書に関する制度としては、米国公認会計士協会(AICPA)により、業務受託会社(クラウド事業者等のサービス提供会社)の統制のセキュリティ、可用性、処理のインテグリティ、機密保持、およびプライバシーについて、監査人が意見表明するためのSOC2、SOC3(Service Organization Control:SOC)という枠組みが公表されている。また、SOCと同様の枠組みとして日本公認会計士協会(JICPA)は、IT委員会実務指針第7号「受託業務のセキュリティ・可用性・処理のインテグリティ・機密保持に係る内部統制の保証報告書」を定めている。
留意点を挙げるとすれば、AICPA の基準によるSOC2・SOC3、JICPAのIT委員会実務指針第7号のいずれにおいても、委託先に開示することを前提として一定の範囲で内容を保証する「保証型」のサービスであるため、そうした保証のない「非保証型」のサービス に比べて料金が高いという点であろう。
現実的には委託元が委託先に対して「監査を受けて内容を開示してほしい」と要請することになるため、このコストは何らかの形でサービス料金に転嫁され、結局は間接的に委託元が負担することになる。ただしサービスの提供形態によっては複数の委託元がコストを共同で負担し、比較的安価になる可能性はあるだろう。
また、保証報告書を利用する場合は、監査人に払う報酬だけでなく、保証報告書を取得できるだけの態勢整備を委託先(被監査企業)側で実施する必要があるため、そのためのコストも相応に高くなる。
いずれの場合も、あくまで決められた基準に沿った監査と保証であって、特定個人情報保護ガイドラインの要求を満たしていることを直接保証するものではない。そのため、最終的には、報告内容を見ながら委託元の責任で判断しなければならないという点にも留意が必要である。
