情報セキュリティ対策を織り込んだ契約条件が必要だ

個人情報保護法の施行に伴い、情報セキュリティに関する契約条件を重視することが多くなってきました。
情報セキュリティ対策をプロジェクトに織り込む場合、プロジェクト実施母体組織で考慮しておかなければならない事項を契約条件として、契約書に明記しなければなりません。情報セキュリティと言っても、2つの側面があります。1つは、ウィルスなどに対する対策、そして、もう1つは、情報漏えいに対する対策です。


最近は、ベンダー企業でも、PCを社外に持ち出すことを禁止したり、プロジェクトに持ち込むことを禁止するところが増えてきています。これに伴い、プロジェクトで使用するPCは、ユーザ企業が用意しなければなりません。そのためには、必要台数を予め予算に組み込んでおくことが必要になります。
私自身、ベンダーとしての提案書に、契約条件として、使用するPCを用意してもらうことを明記してきました。
用意できれば良いのですが、中には、予算がないので、PC持込でプロジェクトを実行してほしいと依頼を受けることもあります。この場合、その企業のセキュリティレベルに適合しているかどうか検査し、合格すれば使用できるような基準が必要になります。或いは、PCの中身をすべて書き換えてしまうような対策が必要になるかもしれません。
先週紹介したエレクトロニクス企業では、PC持ち込みを依頼されました。しかし、持ち込むPCをその企業の情報システム部に預け、セキュリティ対策ソフトなどをインストールして、その企業の基準に適合するよう書き換えられました。さらに、持込PCを使用するときのガイドラインがあり、それに合意し、捺印することを求められました。
皆さんの企業では、ここまで行っているでしょうか?これ、PCを持ち込む場合の対策として最低限のことであると思います。
さらに、情報漏えい対策も織り込まなければなりません。
例えば、プロジェクトで使用するLAN環境を独自のものにしたり、権限をその環境だけに与え、通常業務で使用している環境には接続できなくすることが考えられます。さらに、持込PCを使用する使用方法を徹底させなければなりません。
上記のエレクトロニクス企業のガイドラインでは、そこまで定めています。例えば、持込PCは、プロジェクト終了まで社外に持ち出してはならない、持ち出す場合は、プロジェクトマネジャーの事前承認が必要、リムーバルメディアは使用してはならない….いろいろなことが規定されていました。
しかしながら、肝心なことが抜けています。上記の内容は、いわば、ハード的な対応策です。もっと厳しくするならば、ソフト的な対応策も必要です。
それは何でしょうか?
ユーザ企業側がマスタデータの整備、移行の実作業を行なうことです。
仮にユーザ企業ができない場合でも、ベンダー担当者の指示を仰ぎながら実作業をするべきです。これができるように予め、プロジェクト計画に織り込んでおかなければなりません。(ユーザ企業側からの情報漏えいはないという前提に立っています。)
さらに言えば、実データを用いたテストもユーザ企業主導で行なうべきなのです。
SAP R/3の場合、通常開発で使用される環境とは別に、標準パラメータ設定とマスタデータのみを格納した環境を事前に用意しておく場合もあります。この場合でも、その環境にログインできるスタッフを限定します。
しかしながら、データ移行ができない、テストが遅延したと言う理由で、カットオーバーが伸びてしまったプロジェクトが多数あるのも事実です。
情報セキュリティ対策を織り込んだプロジェクト計画を作成する、ひいては、ベンダーとの契約条件に織り込むことが、今後ますます必要になります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*