近年、ウイルス感染や不正アクセスなどにより、ウェブサイトの運営委託先から大量の個人情報が漏洩した、というような報道を目にすることは珍しいものではなくなりました。 このようなITサプライチェーン(*1)上のインシデントの影響は、直接の被害組織だけでなく、複数の関係者に影響を及ぼす可能性があり、看過できない課題となっています。 そこで、IPAでは、ITサプライチェーンにおける対策状況、およびインシデント発生事例などについて調査を行い、「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」として公表しました。調査で明らかになったのは、情報セキュリティについて何をどのように依頼すればよいのかわからない委託元が多い、また契約上の責任範囲が明確にされていない、というものでした。