供給者関係管理台帳_テンプレート

選定/契約時

利用基本情報

サプライヤー名	[契約相手の正式名称]
提供サービス/業務内容	IT開発、業務委託（人事・経理等）、製品供給など具体的な内容
情報資産の分類 (A.5.12)	当該サプライヤーが取り扱う情報資産の機密区分（機密 / 社外秘 / 公開）
データ保管場所 (A.5.23, A.7.1)	委託先でのデータの保管場所（物理的所在地、システム、環境など）
契約責任者	YYYY/MM/DD 当社側の契約責任者
契約形態/契約書URL (A.5.20)

セキュリティ評価（選定時）

組織・認証

第三者認証の有無(A.5.19)

ISO/IEC 27001, Pマークなど、情報セキュリティに関する認証を取得しているか。
(例：ISO 27001 認証番号 XXX-YYY、有効期限 20XX/YY)

IPA自社診断(A.5.19)

第三者認証がない場合、「5分でできる！情報セキュリティ自社診断」を実施し、結果を確認したか。
(添付またはスコアを記載)

信頼性・品質保証(A.5.19, A.5.22)

サービスの稼働実績、サポート体制、障害時の回復目標時間（SLA）が示されているか

契約上の義務

秘密保持条項(A.5.20, A.6.6)

契約書または覚書に機密保持条項（NDA/守秘義務）を規定しているか
(契約書の該当条項を記載)

データ返却・削除条件(A.5.20, A.8.10)

契約終了時の情報返却・削除方法（証跡含む）が合意されているか

インシデント通知義務(A.5.20, A.5.26)

インシデント発生時の当社への速やかな通知義務が契約に含まれているか

再委託（下請け）管理(A.5.21)

当社の承諾なく再委託しないことが合意されているか、または再委託先のセキュリティ水準を確認する取り決めがあるか
(下請け先の評価状況を記載)

技術・物理対策

端末セキュリティ(A.8.1)

委託先従業員が利用する情報機器（PC等）のOS/ソフトウェア更新、ウイルス対策ソフト導入、パスワード強化を実施しているか
（IPA自社診断 Part 1 参照）

アクセス制御(A.5.18, A.8.3)

委託された情報に対する適切なアクセス制限（最小権限の原則）が行われているか
物理的セキュリティ(A.7.2, A.7.3, A.7.7)
事務所への入退制限、重要情報の施錠保管などの物理的対策が行われているか
（IPA自社診断 No.15, No.16, No.17 参照）

情報破棄(A.7.2, A.7.3, A.7.7)

業務完了時や媒体破棄時に、重要情報が復元できないよう安全に処分する方法が確立されているか
（IPA自社診断 No.15, No.16, No.17 参照）

運用時情報

運用履歴

YYYY/MM/DD: 実施責任者

定期レビュー実施
セキュリティ水準の年次レビューを実施（評価項目 1〜11の再評価結果を添付）

YYYY/MM/DD: 実施責任者

インシデント対応
セキュリティインシデント（例：誤送信）が発生。委託元への通知状況、是正措置、再発防止策を確認・記録した。

契約終了時

契約終了・利用停止時チェックシート

アカウント削除(A.5.18)

2025年10月17日
委託先従業員アカウントの停止/削除を実施した。

データ削除/返却(A.5.11, A.5.18)

2025年10月17日
業務関連データ（ソースコード、集計データ等）の返却または安全な削除を確認した。

削除証明書(A.8.10)

2025年10月17日
委託先からデータ削除証明書（または証跡）を受領した。

終了確認者

2025年10月17日
[氏名]

改訂履歴

改定日	版	改定内容	承認
2025-10-17	-	初版制定（Googleドキュメント。旧記録に承認者の記載なし）	-
2026-06-10	1.0	GitHubリポジトリ（airs/isms）へ移行。旧ファイル名の余分な空白を正規化し、見出しレベルを文書名見出し配下に整理	加藤匡邦