ITサプライチェーンにおいて、例えば標的型攻撃などのインシデントが発生した場合、関係する複数組織への被害拡大の懸念、および原因究明の難しさがかねてより指摘されている。
そこで、IPAでは2017年度に委託元、委託先間の情報セキュリティ上の責任範囲について調査を行った。その結果、責任範囲が不明確であることが明らかになった。これを受け、2018年度はその原因を明らかにし、解決策を導き出すための調査を実施した。
調査の結果明らかになったポイントは次のとおり。
1.「新たな脅威が顕在化した際の対応」について責任範囲の明記がない割合は8割(委託元)
2. 責任範囲を明確に出来ない理由は知識・スキル不足が最多で79.6%(委託元)
委託元が責任範囲を明確に出来ない理由
3. IT業務委託契約においてリスク低減を目的に複数の対策を実施(委託先)
4. IT業務委託契約時に責任範囲を記述している文書は「契約書」が最多(委託元)
5. 責任範囲を明確にするには「契約関連文書の雛形の見直し」が最も有効(委託元)
以上のことから、①新たな脅威(脆弱性等)やインシデント対応について責任範囲が明確にできていない、②委託元の知識・スキル不足により責任範囲を明確にできない、③責任範囲を明確にするには、契約関連文書の見直しが、委託元、委託先にとっても有効である、ということが分かった。
他方、2017年5月に民法が改正され(原則的施行日は2020年4月1日)「瑕疵担保責任」が「契約不適合責任」に変更された。これにより、契約時における契約内容の明確化がより一層求められるようになる。
約1年後の民法改正施行を見据え、雛形を含む契約関連文書の見直しの検討が急がれる。IPAでは、今後ITサプライチェーンの情報セキュリティ対策の状況把握や対策実施の推進に向けて、関連する調査・分析を行っていくという。
