委託元の半数以上が「規定が守られているかどうか」を確認していない IPAが調査結果を発表：テレワーク時代の業務委託契約での注意点

情報処理推進機構は、「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の最終報告を発表した。一部の企業では、新型コロナウイルス感染症対策としてやむを得ず認めたサービスを継続利用していた。

[＠IT]

　情報処理推進機構（IPA）は2021年4月7日、「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」の結果を発表した。それによると、新型コロナウイルス感染症（COVID-19）対策としてやむを得ず認めたセキュリティ対策の例外や特例が継続している企業があること分かった。

コロナ禍で業務委託契約がおろそかになっていないかどうかを調査

　緊急事態宣言などをきっかけに、多くの企業がITの環境整備を優先した。そのためセキュリティ対策やITサプラチェーンでの業務委託契約で、委託先と委託元との間のコミュニケーションなどがおろそかになっているといったことが懸念される。

　今回の調査はこうした懸念の実態を明らかにすることが目的だ。なお、この調査結果は2020年12月と2021年1月に公開された中間報告に続く、最終報告となる。

一時的に利用許可したサービスを継続利用している企業がある

　業務継続を優先し、やむを得ず一時的に利用を認めたソフトウェアやクラウドサービスを、2020年10月31日時点でも継続して利用している企業が一定数あった。委託先の大規模（従業員数101人以上）企業の4.3％、委託先中規模（従業員数100人以下）企業の11.7％、委託元大規模企業の14.5％、委託元中規模企業の20.5％を占めていた。

会社が許可してないアプリケーション、ソフトウェア、クラウドサービスの業務利用（出典：IPA）

　こうした状況についてIPAは「本来は許可していないソフトウェアやクラウドの利用が継続していることで、セキュリティに問題がある内容が放置されている恐れがある。利用禁止に戻すか、セキュリティに問題がないことを確認した上でルール化して利用を許可するなどの対策をすべきだ」としている。

委託元の半数以上が「規定が守られているかどうか」を確認していない

　テレワークに関する社内規定が守られていることを確認しているかどうかについては、委託先の33.6％、委託元の54.6％が「確認していない」と回答した。IPAは「規定や手順を決めていても、順守状況を確認していなければ、内部不正の機会が増加したり、気付かないうちに規定に違反したりしていることが原因でセキュリティインシデントが発生する恐れがある」と指摘する。

　一方、自社と委託元や委託先との間での情報セキュリティ上の要求事項についての取り決めについては、機密保持の方法や、契約終了後の情報の取り扱いについては多くが取り決めていたものの、BYOD（Bring Your Own Device：個人所有機器）の利用制限や、テレワークの制限について取り決めている割合は低かった。

2020年4月1日から10月31日までの業務委託契約で委託元が取り決めたセキュリティ要求事項（出典：IPA）

　契約書や仕様書、利用規約などに、「機密保持の方法」を取り決めていると回答した割合は48.9％、「契約終了後の情報の取り扱い」は52.2％だったのに対して、「BYODの利用制限／禁止」は19.0％、「テレワークの制限／禁止」は9.8％だった。

　IPAは、テレワークにおける業務委託契約の注意点についてこう話す。

　「通常オンサイトでの業務実施が当たり前だった業務委託作業についても、今後は状況によってテレワークでの作業になることが想定される。業務委託契約を締結する際には、委託先と委託元の間で業務環境やテレワーク実施の可否、BYODの使用の有無について話し合っておくことが重要だ」