委託先の事故から共に成長する――委託先の漏えい：セキュリティ対策は事前と事後をつなぐ時代（2/3 ページ）

[尾崎孝章，デンカク]

委託先への調査をどうするか

　U課長は、F社にどのような形でセキュリティ状況の調査をすべきかを決めるため、部内の社員数人を集めて会議を行った。会議では、K社自身も取引先企業から「委託先としてのとして情報管理体制を確認したい」という理由でチェックシート形式のセキュリティアンケートを求められたことがあったため、参加者から「F社にも同様のことを実施してみたらどうか」という意見が出された。

　しかし、それらのアンケート内容は「セキュリティ規程はあるか」「管理者を決めているか」といった組織的な取り組みを確認する項目が多かった。U課長は「複数の委託先に一律的に調査するわけではないので、当社がF社に渡す情報や個人情報に絞って安全管理の状況を確認できるようなものにすべきではないか」と話した。そうした調査をするにはどうしたら良いかと考えるものの、会議の場ではアイデアが出ない。そこで情報セキュリティアドバイザーである知り合いのZ氏に、F社に対してどのようなことを確認したら有効な活動になるのかと相談した。

情報の流れに沿って現場を確認する

　U課長から相談を受けたZ氏は、「F社だけの調査として、組織の取り組みに視点を当てるのではなく、特定の情報に対する取り扱いを焦点にするのであれば、実際にF社にアップロードした情報を、いつF社の担当者が取得し、印刷工程に回すのか、また、印刷後の情報をどのように処理するのかを、情報の流れに従って実際にF社の現場を見てみたらどうでしょうか」と、次のような大枠でのチェック内容を提示した。

チェック項目は「5W1H」の形で委託先作業者の処理場面の数だけ設ける

　一つひとつの情報の処理場面に対して5W1Hを明確にしていく。どのような作業手順が社内で確立されているのかを確認することを目的にし、作業上であいまいにしている部分があるかを見極める。もし委託先に手順書がなければ、確認記録を手順書の原案として渡してあげると良い。

確認したチェック項目について、例外的な作業の発生や作業忘れの恐れなどを確認する

　セキュリティ事故は、流れ作業の中での人為的ミス（ヒューマンエラー）を除くと、確認した5W1Hから逸脱した例外的（イレギュラー）な作業の発生から事故が起きやすい。そのため、例えば「Who（誰が）」に影響する作業者の不在時や、「When（いつ）」に影響する繁忙期の発生など、例外的な場面での社内対応の状況を追加で確認してみる。

委託先へのチェックシート（例）

　情報の流れに従って確認するためには、K社にもF社の業務の流れを理解することが求められる。今回のZ氏の提案は、あらかじめ詳細な内容を記したチェックシートを作成して調査するというよりも、白紙の上に簡易な表を用意して一連の情報の流れを追い、現場でチェックシートを作成しながら、同時にチェックしていくという方法であった。

　U課長は、F社の現場で確認しながら、問題点を指摘することの難しさにも不安があった。Z氏は、「世の中で一番簡単なことは人を指摘することです。世の中で一番難しいことは自分を指摘することだという話もあります。さほど難しく考えず、委託先で現場を見せてもらい、自社との取り組み方が違う点に気付くくらいでいいのですよ」と助言した。指摘するだけではなく、「人のふりみて我がふり直せ」の気持ちで臨んでみようと、U課長を中心に社員4人でF社を訪問することにした。