sg sg-security-management vendor_management risk_assessment
まず結論
再委託とは、委託先が受けた業務の全部または一部を、さらに別の会社へ委託することです。
SG試験では、再委託は「委託先が自由に決めてよいもの」ではなく、委託元がリスクを把握し、必要に応じて承認・監督する対象として問われることが多いです。
選択肢では、次のような表現に注意します。
- 「再委託は委託先の判断だけで自由に行える」
- 「再委託先で事故が起きても委託元は関係ない」
- 「再委託先のセキュリティ対策は確認しなくてよい」
このような内容は、委託先管理の考え方としては不適切です。
直感的な説明
再委託は、仕事を頼んだ相手が、その仕事の一部をさらに別の人に頼むイメージです。
たとえば、会社Aが会社Bにシステム開発を依頼したとします。
その後、会社Bが一部の開発や保守を会社Cに任せる場合、会社Bから会社Cへの委託が再委託です。
このとき、会社Aから見ると、実際に情報や作業に関わる会社が増えます。
つまり、再委託があると、
- 情報を扱う人や会社が増える
- 責任範囲が分かりにくくなる
- セキュリティ事故の原因を追いにくくなる
- 委託元が把握していない場所で情報が扱われる可能性がある
といったリスクが高まります。
そのため、再委託では、誰が、どの情報を、どこまで扱うのかを明確にしておくことが大切です。
定義・仕組み
再委託は、委託先が受託した業務を、さらに第三者へ委託することです。
委託先管理では、再委託を完全に禁止する場合もあれば、条件付きで認める場合もあります。
大切なのは、再委託を認めるかどうかを、委託先だけの判断にしないことです。
主な管理ポイントは次のとおりです。
| 管理ポイント | 内容 |
|---|---|
| 事前承認 | 再委託する前に、委託元の承認を必要にする |
| 再委託先の確認 | 会社名、業務内容、セキュリティ体制を確認する |
| 契約条件 | 再委託先にも秘密保持や安全管理を求める |
| 責任範囲 | 事故や不備が起きた場合の責任を明確にする |
| 報告体制 | 事故発生時に委託元へ報告される流れを決める |
特に、個人情報を扱う業務では、委託先だけでなく、再委託先も適切に管理されているかが重要になります。
個人情報保護委員会の資料でも、個人データの取扱いを委託する場合には、委託先に対する必要かつ適切な監督が求められています。
参考: 個人情報保護委員会|個人情報の保護に関する法律についてのガイドライン
SG試験では、再委託そのものを悪いものとして覚えるより、再委託を認める場合に、委託元が把握・承認・監督できているかで判断します。
どんな場面で使う?
再委託は、システム開発や運用、コールセンター、クラウド運用、保守業務などで発生することがあります。
たとえば、次のような場面です。
- システム開発会社が、一部のプログラム作成を協力会社に任せる
- 運用保守会社が、夜間監視を別会社に任せる
- コールセンター業務の一部を別拠点の会社に任せる
- クラウドサービス事業者が、データセンター運用を別会社に任せる
再委託がある場合、委託元は次のような点を確認します。
- 再委託を認める条件が契約に書かれているか
- 再委託先の名称や業務内容を把握しているか
- 再委託先にも同じレベルの情報管理を求めているか
- 情報漏えいや障害が起きたときの報告ルートがあるか
- 契約終了時に、再委託先のデータも返却・消去されるか
SG試験では、再委託先まで管理の目が届いているかが判断ポイントになります。
委託先に任せること自体はありますが、委託元が再委託の存在を知らない、再委託先の管理状況を確認できない、という状態はリスクが高いです。
よくある誤解・混同
誤解1:再委託は必ず禁止すべきである
これは言い切りすぎです。
再委託は、業務上必要になることがあります。
大切なのは、再委託を禁止するかどうかではなく、認める場合の条件を明確にすることです。
たとえば、委託元の事前承認、再委託先への秘密保持義務、同等のセキュリティ対策などを契約で定めます。
誤解2:再委託先の管理は委託先だけの責任である
これも注意が必要です。
実際の作業は委託先や再委託先が行っていても、委託元には管理責任が残ります。
特に、個人情報や機密情報を扱う場合は、再委託先も含めて適切に管理されているかを確認する必要があります。
選択肢で「再委託先については委託先に一任し、委託元は確認しない」と書かれていたら注意します。
誤解3:委託先管理と再委託管理は別物である
再委託管理は、委託先管理の一部として考えます。
委託先管理は、外部委託先を適切に管理・監督する考え方です。
再委託がある場合は、その管理範囲が再委託先まで広がります。
| 用語 | 見るポイント |
|---|---|
| 委託 | 委託元が外部の会社に業務を任せること |
| 再委託 | 委託先が、さらに別の会社に業務を任せること |
| 委託先管理 | 委託先を継続的に管理・監督すること |
| SLA | サービス品質について合意すること |
SG試験では、次のように切り分けます。
- 外部に任せることなら、委託
- 委託先がさらに外部に任せることなら、再委託
- 任せた相手を管理・監督することなら、委託先管理
- 稼働率や応答時間などの品質目標なら、SLA
まとめ(試験直前用)
再委託は、委託先が受けた業務をさらに別の会社へ委託することです。
試験直前は、次の判断基準を押さえておきます。
- 再委託は、委託先が自由に決めてよいものではない
- 委託元の事前承認を条件にすることが多い
- 再委託先にも、同等のセキュリティ対策や秘密保持を求める
- 事故発生時の報告ルートや責任範囲を明確にする
- 再委託先まで管理できているかが、委託先管理の重要ポイントになる
選択肢では、「再委託先は確認不要」「委託先にすべて一任」という表現に注意します。
再委託は、禁止するかどうかだけでなく、委託元が把握し、条件を決め、継続的に管理できているかで判断します。
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 保証型監査と助言型監査の違い【SG試験】
- 監査とは?証拠にもとづいて有効性を確認する考え方【SG試験】