曖昧なままの責任分界点からの脱却 　業務委託が企業活動の中で当たり前となっている中で、近年発生しているセキュリティインシデントを見ると、特に重要になっているのが責任分界点だろう。セキュリティ業務の外部委託の中でも度々見られるが、委託先が負う役割や作業が曖昧なままになっていたり、委託先がやってくれるはずと委託元が誤認したりしているようなケースもある。 　何に対して委託先が責任を持ち、何に対して委託元が責任を持つかは、可能な限り具体的に明確にする必要がある。自社に専門知識がない領域での外部委託となると、「そこは柔軟に対応していただけるんですよね？」といった曖昧な形にしてしまうことがあるが、これは絶対に排除しなければならない。責任範囲から作業内容、ルール、プロセスなど、委託先に対価を払って請け負ってもらうものを具体化すべきで、もっというと委託元に残る責任が何かを委託先と整理することだ。 　委託業務の中で過失や故意による事象が発生した場合には、事後対応を含めさまざまな費用や損害が発生することは避けられない。業務範囲や作業内容に関して明確にすることはもちろんだが、さまざまなコストを誰が負担するのかを含めて責任の所在を明確にすることだ。 委託元として忘れてはならない責任 　さまざまなセキュリティインシデントで「業務委託先」が1つのキーワードになっている点を考えると、偶然にも多発している可能性も考えられるが、自社内で発生した事故ではないからこそ公表できている可能性も考えられる。 　しかしながら、改めて考えなければならないポイントは、セキュリティインシデントが委託先で発生した場合にも、自社の業務である以上、選定から運用に至るまで責任は委託元にあるという根本原則だ。委託先が対策を十分行っている中で発生しようとも、対策が不十分だったりずさんな対応になったりすることによって発生しようとも、管理監督責任は委託元にある。個人情報保護法でも明確になっている通りだ。 　さまざまな背景があっての業務委託であり、それ自体はビジネス上の意思決定であり、それ自体は否定されるものではない。しかし、セキュリティ業務においても見られるが、専門知識の欠如などの理由でベンダー丸投げと言われてもおかしくない業務委託は多くの領域で散見される。 　委託先への丸投げは責任の丸投げと同等であり、根本から改善する必要がある。業務は外部業者に委託できても、セキュリティの責任は委託元に帰属することになる。管理監督責任はもちろんだが、業務委託先に対する目利き力の強化も合わせて必要だろう。その責任を全うできないのであれば、業務委託という選択肢は採用すべきではなく、内製化も検討するべきだ。 染谷 征良（そめや まさよし） パロアルトネットワークス株式会社　チーフサイバーセキュリティストラテジスト パロアルトネットワークスの日本におけるサイバーセキュリティ戦略を担当。これまで20年以上にわたり欧州、北米、日本のサイバーセキュリティ業界で活躍し、セキュリティ戦略や技術、マーケティング、ブランディング、競合戦略まで同業界に関する幅広い専門性を有する。