最終更新日:2026年5月9日
sg sg-security-management vendor_management risk_assessment data_leakage
まず結論
- 委託先管理とは、外部委託した業務のセキュリティ・品質・法令順守リスクを、委託元が継続的に管理することです。
- SG試験では、「委託したら終わりではない(委託元の管理責任は残る)」を軸に選択肢を判断します。
- 特に、委託前の確認/契約での明確化/委託中の監督/終了時のデータ処理確認の4段階で整理できると強いです。
直感的な説明
委託先管理は、簡単にいうと「外部に任せた仕事を、任せっぱなしにしないための管理」です。
たとえば、会社が次のような業務を外部に委託することがあります。
- 給与計算
- コールセンター
- システム運用
- データ入力
- クラウドサービスの利用
- Webサイトの保守
外部に委託すると、自社の業務を効率化できたり、専門的な知識を活用できたりします。
しかし、委託先が自社の顧客情報、従業員情報、システム情報などを扱う場合、情報漏えいや不正アクセスのリスクも発生します。
そのため、外部委託では、「任せること」と「管理すること」を分けて考える必要があります。
SG試験では、ここがひっかけになりやすいです。
外部に業務を任せても、委託元は、委託先の管理や監督を行う必要があります。
定義・仕組み
委託先管理では、外部委託に伴うリスクを把握し、契約や確認を通じて、委託先の管理を行います。
基本の流れは、次のように考えると整理しやすいです。
- 委託する業務を明確にする
- 扱う情報資産やリスクを確認する
- 委託先のセキュリティ対策を確認する
- 契約で役割・責任・禁止事項を決める
- 委託後も定期的に確認する
- 契約終了時のデータ返却・削除を確認する
特に大切なのは、委託前だけでなく、委託後も継続して管理することです。
サイバーセキュリティ経営ガイドラインでも、ビジネスパートナーや委託先を含めたサプライチェーン全体の状況把握や対策が重要とされています。参考:経済産業省 サイバーセキュリティ経営ガイドライン Ver 3.0
委託先管理で確認する項目の例は、次のとおりです。
| 確認項目 | 見るポイント |
|---|---|
| 業務範囲 | 何を委託するのか |
| 情報の範囲 | どの情報を扱うのか |
| アクセス権限 | 必要な人だけが見られるか |
| 秘密保持 | 情報を外部に漏らさない取り決めがあるか |
| 再委託 | さらに別会社へ委託する場合の条件はあるか |
| インシデント対応 | 事故発生時の連絡・報告方法は決まっているか |
| 契約終了時 | データの返却・削除・廃棄を確認できるか |
委託先管理は、単に契約書を作るだけではありません。
委託する前、委託中、委託終了時のそれぞれで、必要な確認を行うことが重要です。
どんな場面で使う?
委託先管理は、外部の会社やサービスに業務や情報処理を任せる場面で使います。
たとえば、次のような場面です。
- 個人情報を扱う業務を外部委託する
- システム運用を外部ベンダに任せる
- クラウドサービスに業務データを保存する
- コールセンターに顧客対応を委託する
- 開発会社にシステム開発を委託する
- 廃棄業者に記憶媒体の廃棄を委託する
これらの場面では、委託先が自社の情報資産に触れる可能性があります。
そのため、委託先のセキュリティ対策を確認し、必要な条件を契約に含め、委託後も状況を確認する必要があります。
SG試験では、次のような判断が大切です。
- 外部委託しても、委託元の管理責任は残る
- 契約前に、委託先の管理体制を確認する
- 契約書に、秘密保持・再委託・事故時の報告を含める
- 委託後も、実施状況を定期的に確認する
- 契約終了時は、データの返却・削除・廃棄を確認する
選択肢では、「委託前だけ確認すればよい」という表現にも注意します。
委託先管理は、委託開始前だけでなく、委託中・終了時まで含めた管理です。
よくある誤解・混同
委託先管理でよくある誤解は、外部に任せれば、自社の責任も外に移ると考えてしまうことです。
実際には、外部委託しても、委託元は委託先を適切に管理する必要があります。
| 混同しやすい考え方 | 正しい理解 |
|---|---|
| 外部委託すれば自社の責任はなくなる | 委託元には管理・監督の責任が残る |
| 契約書を作れば十分 | 契約後も実施状況の確認が必要 |
| 委託先の事故は委託先だけの問題 | 自社の情報漏えい・事業停止につながる可能性がある |
| 再委託は委託先が自由に決めてよい | 再委託の条件や承認ルールを決める必要がある |
| 契約終了後は何もしなくてよい | データの返却・削除・廃棄を確認する必要がある |
BPOとの違い
BPOは、業務プロセスを外部に委託することです。
委託先管理は、BPOなどの外部委託に伴うリスクを管理することです。
つまり、BPOは外部委託の形であり、委託先管理は外部委託を安全に行うための管理策です。
アウトソーシングとの違い
アウトソーシングは、業務を外部に委託することを広く表す言葉です。
委託先管理は、アウトソーシングを行うときに、情報漏えいや不正アクセスなどのリスクを管理する活動です。
SLAとの違い
SLAは、サービスの品質や水準を取り決めるものです。
委託先管理は、SLAだけでなく、情報セキュリティ、契約、監査、事故時の報告、契約終了時のデータ処理なども含めて管理します。
SG試験では、「外部委託=責任も丸投げ」ではないという判断基準を持っておくと、誤った選択肢を切りやすくなります。
まとめ(試験直前用)
- 委託先管理は、外部委託に伴う情報セキュリティリスクを管理すること。
- 外部に任せても、委託元の管理・監督の責任は残る。
- 契約前、契約中、契約終了時まで継続して確認する。
- 秘密保持、再委託、事故時報告、データ返却・削除は重要ポイント。
- SG試験では、「任せっぱなしでよい」という選択肢を切る。
確認問題
委託先管理の説明として、最も適切なものはどれか。
ア. 外部委託した業務については、委託先が全責任を負うため、委託元は契約後の確認を行わない
イ. 委託先が扱う情報や業務範囲を確認し、契約や定期的な確認によってリスクを管理する
ウ. 委託先の費用だけを比較し、最も安い会社を選定する
エ. 委託先に業務を任せた後は、情報の返却や削除を確認しなくてよい