2020年4月7日一度目の緊急事態宣言による長期間の外出自粛の要請が発出されてから早一年が経過。その後、一度目の緊急事態宣言が解除された後も”新しい生活様式”の一部としてテレワークは継続されており、それだけでなく業務実施場所の多様化やコミュニケーションのオンライン化などの新しい働き方は不可逆的な変化として定着するものと思われる。
緊急事態宣言発令によりCOVID-19対策として短期間でテレワークを導入、もしくは元々テレワークという制度は導入していたものの、積極的な利用とはなっておらず、利用頻度が急激に増加したことで見直しを余儀なくさるなど、組織は世の中の状況に合わせた対応が必要であった。
このような背景もあり、ICTの環境整備が優先され、セキュリティ対策が後回しになっているだけでなく、ITサプラチェーンにおける業務委託契約でも委託先(*1)と委託元(*2)の間で業務実施場所やコミュニケーションの方式等について整合ができていない可能性もある。
そこでIPAは「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」を実施している。
昨年12月に公開された個人への調査結果、および本年1月に公開した組織への調査結果における中間報告に続き、調査全体の最終報告が公開された。
サマリー
・規定やルールの曖昧さ、実態とのかい離有、委託元は更に従業員の理解、周知が課題
・BYODのルールを決めていない企業が一定数存在
・BYOD利用時に組織が感じている課題
・BYODを利用して業務を実施する際に会社でルールが無くても個人で実施しているセキュリティ対策
・テレワークに関するセキュリティ対策の規定・規則・手順などの取り決めの状況
・コロナ禍でのセキュリティ対策の特例が現状も継続
・半分以上の委託元がテレワークに関する社内規定・規則・手順の順守確認を実施していない
・ルール策定状況の違いによる遵守困難・急速な行動の変化に伴うIT知識の不足
・ニューノーマルに対応した業務委託契約は進んでいない
・ITサプライチェーンにおける業務委託契約時のセキュリティ確保の増加
コロナ禍におけるニューノーマルな状況にあっても、委託元・委託先がお互いの業務環境やルールについて十分に整合をした上で業務委託契約の内容を取り決めることが大切である。今回の調査結果は情シスにとっては気になる内容も多いと思われるが、今回は新たに明らかになったポイント中心にいくつか紹介する。時間が許す限り、資料をダウンロードし、その内容について目を通すことをオススメする。
*1 委託元:IT企業等に対して ITシステム・ソフトウェアの製造・開発・保守・運用等を発注・委託している、ITサービスの提供を受けている組織および企業
*2 委託先:顧客(委託元)からITシステム・ソフトウェアの製造・開発・保守等を受託している、もしくはITサービスを提供しているIT企業
この記事の目次
前説:テレワーク実施状況
調査結果の紹介に入る前にアンケート回答企業がどのようにテレワークに取り組んでいたのかを確認しておくことにする。
1.テレワークの導入状況
まずはテレワークの導入が委託先/委託元でどのように実施されているか質問している。興味深いことに委託先のテレワークの実施割合が約9割と、委託元(約5割)よりも高いことが明らかになった。
図1:テレワークの導入状況
2.テレワークの導入時期
テレワークの実施経験がある組織の内、委託先は約5割、委託元は約6割が緊急事態宣言発出以降にテレワークを導入している。
この結果から、緊急事態宣言をきっかけとしてテレワークへ急速に移行した組織が多いと仮定できる。
