売上2兆円に迫る大手企業のコンサルティングにおいて、委託先の監督の支援をおこないました。その会社は個人情報の委託先が1000社以上存在します。また業界で発生する個人情報漏洩事故の大半が委託先によるものでした。
立ち入り調査をおこなって実態を調査しようとなりましたが、余りにも委託先の数が多い。
そこでサンプリングで立ち入り監査をおこなうことになりました。
予算と期限と問題があり、監査をおこなうとしても50社。どのようにサンプリングをおこない、これからの施策をどのように打ち出すのかがポイントです。
敢えて、3つのグループを均等にサンプルすることにしました。業界のリーディング企業、認証取得企業(ISMSまたはプライバシーマーク)、認証を取得していない企業。それぞれを15社強選んで、調査を開始しました。
調査をおこなった結果、様々なことが分かりました。
書面で把握していたことと、実地で確認した内容に大きな隔たりがありました。委託している業務の内容やリスクによって確認すべき黒目は異なるのですが、書面による調査手法だとその点の把握ができていなかったのです。
業界のリーディング企業は予想以上にセキュリティレベルが高いことが分かりました。また、当該企業との関係性から深いレベルでの監査が困難な場合が多いことも分かりました。
認証取得企業については、認証を持っていることとセキュリティレベルが相関しないことが分かりました。確かに、ガッチリとした規程がありますし、教育や監査も実施していますが、大半の企業が十分な対策をおこなえていると言い難い状況でした。
この結果からいくつかの対策が浮かび上がりました。
- 1万件以上の個人情報を委託している先に対する、監督レベルを強化する。
- リーディング企業以外の会社に上記案件を委託している場合には立ち入り調査を実施する。
- 認証取得はセキュリティ強度と相関しないと考え、認証を持っているから調査不要という規程を見直す。
委託先監督の仕組みについて、プライバシーマークは形式的な要求ばかりしてきて、ISMSは殆ど要求していません。当社が様々な事案から学んだことですが、委託先の10%程度に対しては、立ち入り調査をおこなうべきだと思います。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ
