業務受託管理規程
本規程は、当社が業務を委託元から受託する場合における情報セキュリティの基本的な方針を定めたものである。
本規程は「社外秘」とし、委託元に提示する場合は必要最小限の範囲で開示する。
当社は、委託元からの業務受託において、委託元の情報資産を適切に保護し、契約条件および当社の情報セキュリティマネジメントシステム(ISMS)に基づき安全に業務を遂行することを目的とする。
2. 適用範囲
Section titled “2. 適用範囲”本規程は、当社の全従業員(正社員・契約社員・派遣社員・業務委託者を含む)が、委託元の情報資産を取り扱う業務を行う場合に適用する。
3. 教育・周知
Section titled “3. 教育・周知”- 本規程は、受託業務に関わる部門の責任者および担当者に対して、年1回以上教育・周知されるものとする。
- 本規程の違反が確認された場合は、是正措置を行い、再発防止のための教育を実施する。
4. 委託元から受託した業務における基本方針(A.5.19)
Section titled “4. 委託元から受託した業務における基本方針(A.5.19)”当社は、委託元から受託した業務に関して、以下の基本方針に従って情報セキュリティを確保する。
- 当社は、委託元から受託する業務に関して、契約上定められた情報セキュリティ要件を遵守する。
- 委託業務においては、本規程ならびに当社ISMSに関する各種規程を適用し、必要な管理策を実施する。
- 業務で使用する情報資産は、契約終了時に返却または削除を行い、証跡を残さなければならない。
- 情報セキュリティインシデントが発生した場合は、速やかに委託元へ報告し、調査・是正措置に協力する。
5. 契約上のセキュリティ要件(A.5.20)
Section titled “5. 契約上のセキュリティ要件(A.5.20)”- 受託契約または覚書には、以下の情報セキュリティ条項を含めることを原則とする:
- 機密保持条項(NDA)
- 情報セキュリティ遵守義務
- インシデント発生時の委託元への通知義務
- サービス終了時のデータ返却・削除方法
- 個人情報や要配慮個人情報を取り扱う場合は、関連法令およびガイドラインに基づく追加条項を含めること。
6. 再委託管理(A.5.21)
Section titled “6. 再委託管理(A.5.21)”- 当社は、委託業務を第三者へ再委託する場合、必ず事前に委託元の書面による承認を得なければならない。
- 再委託先に対しては、当社と同等の情報セキュリティ管理策を適用し、契約において義務付けるものとする。
- 再委託の有無およびセキュリティ調査の結果は記録として残し、委託元の要求に応じて提示できる状態を維持する。
7. 業務遂行中の監視・レビュー(A.5.22)
Section titled “7. 業務遂行中の監視・レビュー(A.5.22)”- 受託業務の遂行中は、契約条項および本規程の遵守状況を定期的に確認する。
- 少なくとも年1回は、担当部署の責任者がレビューを実施し、必要に応じて是正措置を行う。
- 委託元から監査やレビューを求められた場合は、正当な範囲でこれに応じ、必要な情報を提供する。
8. 運用ルール
Section titled “8. 運用ルール”本規程に基づく詳細運用(例:作業開始・終了前のアナウンス、本番リリースの事前通知、委託システムの保守手順等)は、別途「業務委託運用マニュアル」に定める。
| 改定日 | 版 | 改定内容 | 承認 |
|---|---|---|---|
| 2025-08-22 | - | 初版制定 | - |
| 2025-08-29 | - | 文書名を変更。改訂履歴の章番号を変更。「契約上のセキュリティ要件」、「再委託管理」、「業務遂行中の監視・レビュー」について追加。 | - |
| 2026-06-10 | 1.0 | GitHubリポジトリ(airs/isms)へ移行。改訂履歴章(旧3章)を文書末尾へ移動し後続章番号を繰り上げ。見出しレベルをH3からH2へ正規化 | 加藤匡邦 |