外部委託先とのビジネスにおける重要リスクとリスクマネジメント

自社の組織と外部委託先との境界線があいまいになり、リスクが増大している

グローバル化が進むビジネス環境では、自社のリソースだけでビジネスが完結することはほとんどありません。グローバルでビジネスを成功させるためには、外部委託先の活用は欠かせません。

一方、外部委託先の活用が進む中で、自社の組織と外部委託先との境界線があいまいになり、リスクが増大するケースも増えています。

リスクを未然に防ぐための第一歩は、グローバルで外部委託先の全体像を把握することです。

以下の図は、デロイト トーマツが提唱する自社組織と外部委託先の関係を示すネットワーク図です。

外部委託先の情報漏えいは世界中で発生している

自社の社員が関係する情報漏えいについてはよく考えられますが、外部委託先が関係する情報漏えいリスクに関しても、数多くの事例が発生しています。

日本及び海外で発生した外部委託先による情報漏えいの実例の一部は以下の通りです。

ž 事例1（日本）
出版社から購読者への雑誌発送業務を請け負った外部委託先が、数万人規模の購読者データを保存した媒体を、プリントアウト作業を下請した業者に提供。返却されるまでの間に媒体が一時的に盗まれ、コピーされて外部流出した。

ž 事例2（日本）
地方自治体からシステム作業を請け負った会社の従業員が住民の個人情報をパソコンに保存。インターネットを通じて住民の個人情報が漏えいした。

ž 事例3（海外）
大手通信企業からクラウド上にあるサーバー管理を委託された企業が設定を誤り、最大千数百万件分の顧客データがサーバー上で公開されていることが判明。設定を修正するまで、サーバーの場所を知っている人であれば自由に顧客データをダウンロードできる状態にあった。

事例4（海外）
官公庁から運転免許証を含む機密データの管理を委託された企業が、コスト削減のために外国にサーバーを移転し現地企業に管理を再委託。政府からのクリアランスチェック^※1がないまま再委託されていたため、現地企業の技術者はデータに自由にアクセスできる状況にあった。

※1 秘密にすべき情報を扱う職員に対して、その適格性を確認すること

外部委託先の情報漏えいリスクはどのように防げばよいか

日本では個人情報保護法の改正が施行され個人情報管理の徹底が求められていますが、グローバルでもGDPR^※2等が施行され、個人情報漏えいの防止策とリスク管理が必要になってきています。

デロイト トーマツでは、国内だけではなくグローバルでの事例やナレッジを取り入れた個人情報の取扱いに関する外部委託先管理の戦略的なリスク管理について、幅広い機能を包括的で最適なソリューションに統合し、拡張エンタープライズ(戦略推進、企業価値向上のために委託先/提携先とグローバルレベルで協業体制を行う企業)のパフォーマンスを向上させ、組織が戦略的ビジネス目標を達成するよう支援します。

※2 GDPR: General Data Protection Regulation（EU一般データ保護規則）
 

リスク管理ソリューション

個人情報漏えい防止のリスク管理のアプローチ