コンテンツにスキップ
AIRS ISMS

サプライヤー管理規程

POL-014 approved v1.0 作成: 鈴木謙吾 承認: 加藤匡邦 承認日: 2026-06-10 次回レビュー: 2027-06-10

本規程は、当社の人的セキュリティ管理に関する基本的ルールを定めたものである。 社外に開示する場合は「社外秘」として取り扱う。

1. 目的

Section titled “1. 目的”

本規程は、当社が業務遂行にあたり利用するサプライヤー(業務委託先、サービス提供者、ベンダー等)に関する情報セキュリティの基本ルールを定め、供給者関係におけるリスクを最小化することを目的とする。

2. 適用範囲

Section titled “2. 適用範囲”

本規程は、当社が契約・利用する以下のサプライヤーに適用する。

  • SaaS・クラウドサービス提供者
  • ITシステム開発・保守委託先
  • コンサルティング・人材派遣等の業務委託先
  • その他、当社情報資産の取扱いやアクセスを伴う外部組織

3. 教育・周知

Section titled “3. 教育・周知”
  1. 本規程は、調達担当者および関連部署に年1回以上教育・周知される。
  2. 違反が確認された場合は、是正措置を行い、再発防止教育を実施する。

4. サプライヤー選定(A.5.19)

Section titled “4. サプライヤー選定(A.5.19)”
  1. 新規サプライヤーの選定時には、情報セキュリティリスクを評価し、必要に応じてISMS責任者の承認を得ること。
  2. 委託先評価基準は以下のとおりとする
    1. 情報セキュリティに関する第三者認証(ISO/IEC 27001, プライバシーマーク等)を取得していることを確認する
    2. 認証を取得していない場合は、IPA「5分でできる情報セキュリティ自社診断」への回答を依頼し、その回答内容を確認すること
    3. 提供サービスの信頼性(稼働実績、サポート体制 等)
    4. 個人情報・機密情報の取扱いに関するルール
  3. これらの評価基準に基づいた選定が困難な場合は、責任者が総合的に判断し、判断理由を記録すること。

5. 契約時の合意事項(A.5.20)

Section titled “5. 契約時の合意事項(A.5.20)”
  1. 契約書または覚書には、次の事項を必ず含めるものとする:
    1. 情報セキュリティに関する遵守義務
    2. 機密保持条項(NDA)
    3. インシデント発生時の通知義務
    4. サービス終了時の情報返却・削除
  2. 個人情報・要配慮個人情報を取り扱う場合は、個人情報保護法および関連ガイドラインに基づく条項を含めること。

6. サプライヤー管理・監視(A.5.22)

Section titled “6. サプライヤー管理・監視(A.5.22)”
  1. 契約中のサプライヤーについては、年1回以上レビューを行い、セキュリティ水準を確認する。
  2. レビュー内容には以下を含める:
    1. アクセス権の適切性
    2. 契約遵守状況
    3. インシデント発生履歴
    4. 提供サービスの変更内容
  3. 必要に応じて改善を要求し、対応状況を記録に残す。
  4. サプライヤーのうち、SaaS・クラウドサービス提供者に関する選定、契約、監視レビュー、変更・終了時の評価および確認は、「SaaS管理台帳」に記録し、証跡として維持しなければならない。

7. ICTサプライチェーン管理(A.5.21)

Section titled “7. ICTサプライチェーン管理(A.5.21)”
  1. 当社は、主要なサプライヤーがさらに外部の委託先(下請け、クラウド基盤ベンダー等)を利用する場合、その供給網における情報セキュリティリスクを考慮する。
  2. 必要に応じて、サプライヤーから利用する下請け先のセキュリティ水準や契約条件を確認し、当社の求める基準を満たすことを確認する。
  3. サプライチェーンリスクが特定された場合は、契約上の制約、追加的な監視、代替策を講じる。

※ ICTサプライチェーンセキュリティの考え方および具体的な評価フローの構築方法については、IPA「実務者のためのサプライチェーンセキュリティ(手引書/ハンドブック)」を参照すること。

8. クラウドサービス利用における情報セキュリティ(A.5.23)

Section titled “8. クラウドサービス利用における情報セキュリティ(A.5.23)”
  1. クラウドサービスを利用する場合は、契約条件に以下を含めることを原則とする
    1. データ保存場所および取り扱い国の明確化
    2. アクセスログの取得・提供
    3. データ暗号化(保存時・通信時)の実施
    4. サービス終了時のデータ返却(エクスポート)・削除
  2. SaaS・クラウドサービスについては、POL-006_SaaS等管理者規程と連動し、認証・権限・ログ管理を統制する。
  3. 重要情報を取り扱うクラウドサービスについては、年1回以上レビューし、提供者のセキュリティ水準を確認する。
  4. クラウドサービス利用にあたっては、特段の定めのない限り、以下のガイドラインに基づいて選定・契約・運用を行わなければならない。
    1. IPA「中小企業のためのクラウドサービス安全利用の手引き
    2. IPA「クラウドセキュリティの歩き方
    3. 総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)

9. サプライヤー変更・終了時

Section titled “9. サプライヤー変更・終了時”
  1. サプライヤーとの契約を終了する場合は、全てのアカウント削除・情報返却・データ削除を確認する。
  2. 終了手順および確認結果を記録し、監査証跡として保存する。

改訂履歴

Section titled “改訂履歴”
改定日改定内容承認
2025-08-29-初版制定-
2025-09-05-「教育・周知」、「改訂履歴」の章番号を変更-
2026-06-101.0GitHubリポジトリ(airs/isms)へ移行。改訂履歴章を文書末尾へ移動し後続章番号を繰り上げ。「SaaS管理者台帳」(Driveフォルダリンク)への参照をFRM-006_SaaS管理台帳への相対リンクへ、POL-006への参照を相対リンクへ置換(リンク表記は現行文書名に変更)加藤匡邦