03E 外部サービス・委託先管理実装基準
目的
本基準は、外部サービス、SaaS、クラウドサービス、業務委託、再委託、子会社環境、共同利用基盤に対して満たすべき実装基準を定義する。
外部へ委託しても、組織の説明責任は消滅しない。責任共有モデル、契約、設定、ID、ログ、データ削除、インシデント通知を分けて管理しなければならない。12
必須実装基準
| 領域 | 基準 | 統制目的ID | 必須証跡 |
|---|---|---|---|
| 外部依存登録 | SaaS、委託先、再委託、外部API、子会社環境をSystem IDへ結び付ける。 | A-04、T-01 | 外部依存台帳 |
| 委託先評価 | 契約前および定期的に、セキュリティ、可用性、事故対応、再委託を評価する。 | T-01 | 委託先評価票 |
| 責任分界 | 提供者責任、運用委託先責任、顧客責任、再委託先責任を分ける。 | G-05、T-02 | 責任分界表 |
| 契約要求 | 通知義務、監査権、再委託条件、削除義務、ログ提供、SLAを契約に含める。 | T-02 | 契約書、覚書 |
| SaaS設定 | MFA、IdP連携、権限、共有、外部アプリ連携、監査ログを管理する。 | T-04、I-03、D-04、L-01 | 設定エクスポート、権限一覧 |
| 監査報告 | SOC報告書、ISO認証、ISMAP、脆弱性対応、是正状況を確認する。 | T-05 | 監査報告、認証証明、是正計画 |
| 再委託 | 再委託先、国、業務範囲、アクセス範囲、オフショア運用を把握する。 | T-03 | 再委託一覧、承認記録 |
| アクセス管理 | 委託先ID、サポートID、特権ID、契約終了時ID削除を管理する。 | I-01、I-05、H-03 | ID一覧、削除記録 |
| データ終了処理 | 解約、移管、契約終了時にデータ返却、削除、アクセス停止を確認する。 | D-05、T-06 | 削除証明、返却記録 |
| インシデント通知 | 通知期限、連絡先、共同調査、証跡提供、広報・法務連携を定義する。 | E-02 | 連絡網、契約条件、通知記録 |
責任分界の回答形式
外部サービスに関する確認では、回答欄を次の主体別に分ける。
| 主体 | 記載内容 |
|---|---|
| サービス提供者 | 基盤、物理、標準機能、提供者運用、標準監査報告の範囲。 |
| 運用委託先 | 設定、監視、報告、一次対応、変更作業の範囲。 |
| 自社 | データ分類、ID、権限、設定承認、リスク受容、利用者教育の範囲。 |
| 再委託先 | サポート、保守、SOC、オフショア、データアクセスの範囲。 |
| 未対応・例外 | 未実装、対象外、代替統制、期限、承認者。 |
「サービス提供者が対応済み」という回答だけで、自社責任を満たしたと判定してはならない。
禁止事項
- 契約書に通知義務、再委託、削除、監査報告の条件がない状態で重要業務を委託してはならない。
- SaaSの顧客側設定を確認せず、提供者の認証取得だけで安全と判定してはならない。
- 委託先の特権IDを棚卸しせずに継続利用してはならない。
- 解約時にデータ削除とアクセス停止の証跡を取得しない運用をしてはならない。
- 再委託先不明のまま機微情報または重要業務を扱わせてはならない。
評価指標
| 指標 | 基準 |
|---|---|
| 外部依存登録率 | 100%。未登録外部依存は統制不備。 |
| 委託先評価完了率 | 重要委託先は契約前および年次以上。 |
| SaaS設定レビュー完了率 | 重要SaaSは四半期以上、通常SaaSは年次以上。 |
| 委託先証跡更新率 | 期限切れ報告書、認証、是正計画をゼロにする。 |
| 終了処理証跡取得率 | 契約終了時は100%。 |