3-7 取引先にセキュリティ対策を説明したい
重要情報の授受を伴う取引先との契約書には、秘密保持条項を規定する。 (25項目 No.22 有効)
機密情報の取扱いに関するが定めがない場合、機密情報が漏えいした場合、不正競争防止法に基づく差し止め請求や損害賠償請求ができなくなる恐れがあります。また、委託先で個人情報が漏えいした場合、責任を負うのは発注元であり、個人情報保護委員会等への報告義務も発注元にあります。
・取引先との契約には、適切にセキュリティに係る要求事項(秘密保持、証跡の提示、監査協力等、情報セキュリティ事故が発生した場合の対応など)を含める。
・ISMS認証やプライバシーマーク認証の取得状況、または、IPA SECURITY ACTION (二つ星)の自己宣言の有無などを考慮し取引先を選定する。
・継続的に取引する場合には、ISMS認証やプライバシーマーク認証の取得状況を確認する。あるいは、業界ごとのセキュリティガイドラインやIPAの「5分でできる!情報セキュリティ自社診断」などを用いて対策の実施状況を確認する。
対応サービス
情報セキュリティ対策(上記1 ~ 24 など)をルール化し、従業員に明示する。 (25項目 No.25 優先)
セキュリティ対策がルール化されていないと、不正アクセスや情報漏えいなどのリスクが高まります。そのほか、脆弱性の見落としや法令違反の危険性、個人に依存した対応によるリスクなど様々なセキュリティリスクが増加します。
・IPA「中小企業の情報セキュリティ対策ガイドライン」「4 (3)情報セキュリティ規程の作成」を参照し、「付録5 情報セキュリティ関連規程(サンプル)」自社向けに編集して規程(ルール)を作成する。
付録4:情報セキュリティハンドブック(ひな形)(全17ページ)(442 KB)
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055529.pptx
付録5:情報セキュリティ関連規程(サンプル)(全45ページ)(Word:166 KB)
https://www.ipa.go.jp/security/guide/sme/ug65p90000019cbk-att/000055794.docx
・セキュリティポリシー(基本方針)を公開することでステークホルダーや社会に対する企業としての姿勢を示し、信頼性を高める。
・規程(ルール)を作成、運用に当たっては、事前に以下のIPAの動画を見る。
https://www.youtube.com/watch?v=fot-PEzBZO4
対応サービス