Notta

BPOセキュリティとは?委託先監督・契約条項・選定基準を解説

お役立ち記事

Share

Notta

Check!

  • BPO委託元にも監督責任
  • 契約条項で事故報告を明確化
  • 認証は範囲と運用まで確認

BPOを利用すると、経理、コールセンター、営業支援、バックオフィスなどの業務を外部の専門会社に任せられます。一方で、顧客情報、従業員情報、取引先情報、業務システムのIDなどを委託先が扱う場面も増えるため、セキュリティを「委託先の問題」として切り離すと、情報漏洩や不正アクセス、内部不正のリスクを見落としやすくなります。本記事では、BPO委託時に確認したいリスク、個人情報保護法における委託先監督と安全管理措置、契約書に入れる条項、ISMS認証やPマークを見るときの考え方を整理します。

おすすめ記事

目次

開く

閉じる
  1. BPOセキュリティとは|委託先に任せきりにしない管理の考え方
  2. BPO委託で起きやすいセキュリティリスク
  3. 個人情報保護法で見る委託先監督と安全管理措置
  4. 契約書に入れたいセキュリティ要件
  5. ISMS認証・Pマークを見るときの選定基準
  6. 導入後に続けるモニタリングと事故対応
  7. よくある質問(FAQ)
  8. まとめ|今日からできる3つのこと
  9. 関連記事
  10. 参考文献

BPOセキュリティとは|委託先に任せきりにしない管理の考え方

BPOセキュリティとは、BPO会社が行う対策だけでなく、委託元が委託範囲、データの種類、利用するシステム、再委託の有無、事故時の連絡方法を管理する考え方です。BPOとは(基礎)を整理すると、単なる作業代行ではなく、業務プロセスの一部を外部に移す取り組みです。そのため、委託元は「どの情報を、誰が、どの場所で、どのシステムから扱うか」を先に棚卸しする必要があります。

図1:BPOセキュリティの管理範囲 BPOセキュリティは委託元、委託先、利用システム、再委託先を含めて確認する。 BPOセキュリティの管理範囲 委託元 情報の棚卸し 契約・監督 BPO会社 アクセス管理 教育・ログ 利用システム SaaS・端末 通信経路 再委託・事故報告・監査権限も管理対象
図1:委託元・委託先・システムを分けて管理する

個人事業主や小規模事業者では、顧客名簿や請求情報を外部に渡す場面が中心です。中小企業では、複数部門の業務データやクラウドサービスの権限管理が課題になります。中堅・大企業では、再委託、海外拠点、監査、インシデント対応の手順まで含めた統制が求められます。

BPO委託で起きやすいセキュリティリスク

BPOで注意したいリスクは、情報漏洩、不正アクセス、内部不正の3つに分けると整理しやすくなります。情報漏洩は、メール誤送信、ファイル共有設定の誤り、持ち出し、端末紛失などで起きます。不正アクセスは、共有ID、弱いパスワード、退職者アカウントの残存、VPNやクラウドの設定不備が原因になりえます。内部不正は、委託先の担当者が閲覧権限を超えて情報を見たり、業務外にコピーしたりするケースを想定しておく必要があります。

図2:BPO委託時の3大セキュリティリスク 情報漏洩、不正アクセス、内部不正のリスクと主な対策を示す。 BPO委託時の3大リスク 1 情報漏洩 誤送信・共有設定 持ち出し・端末紛失 対策:暗号化・DLP・承認 2 不正アクセス 共有ID・権限過多 退職者IDの残存 対策:MFA・最小権限 3 内部不正 目的外閲覧 コピー・私的利用 対策:ログ・教育・牽制 再委託やSaaS利用がある場合は、委託先だけでなく利用環境も確認します。
図2:リスクを3分類に分けると対策を設計しやすい

委託先がSaaSを使う場合は、BPOの管理とクラウドの管理が重なります。アカウント、ログ、保管場所、バックアップ、端末制限などは、SaaSセキュリティとBPOの関係として確認すると抜け漏れを減らせます。特に、顧客対応や経理など個人データを扱う業務では、業務フローとデータフローを分けて図にすることが有効です。

個人情報保護法で見る委託先監督と安全管理措置

個人データの取扱いをBPO会社に委託する場合、委託元は委託先を選んで終わりではありません。個人情報保護委員会の通則編では、個人データの管理として、安全管理措置、従業者の監督、委託先の監督が整理されています。現行の見出しでは、安全管理措置は法第23条関係、従業者の監督は法第24条関係、委託先の監督は法第25条関係です。社内資料で条番号を使う場合は、公開前に現行ガイドラインと照合しておくと安心です。

図3:委託先監督の実務フロー 委託先選定から契約、運用確認、見直しまでの流れを示す。 委託先監督の実務フロー 選定 取扱情報 認証・体制 契約 秘密保持 再委託制限 運用確認 ログ・報告 教育・監査 見直し 権限棚卸し 改善依頼 委託元は、契約前だけでなく運用中も安全管理措置の実施状況を確認します。
図3:委託先監督は選定・契約・運用・見直しを続ける考え方

安全管理措置は、組織的、人的、物理的、技術的な管理に分けて考えます。たとえば、担当者の権限を必要な範囲に限る、紙書類や端末の持ち出しを制限する、ログを残す、委託先の教育状況を確認する、といった対策です。委託元は、委託先に任せる範囲が広いほど、契約前の確認だけでなく、定例報告や権限棚卸しの仕組みを設けることが重要です。

契約書に入れたいセキュリティ要件

BPO契約では、業務範囲や料金だけでなく、セキュリティ要件を具体化しておくことが大切です。一般的な秘密保持条項だけでは、アクセス権、再委託、事故報告、データ返却・削除、監査対応まで十分にカバーできないことがあります。BPO契約書への安全管理措置条項を確認しながら、自社の委託範囲に合わせて条項を分けて整理します。

条項確認したい内容実務上の見方
秘密保持対象情報、利用目的、持ち出し制限、契約終了後の義務「秘密情報」の範囲を広すぎず狭すぎず定める
アクセス管理ID発行、共有IDの禁止、権限付与、退職時の削除委託先担当者単位で権限とログを追える状態にする
再委託事前承認、再委託先の管理、再々委託の扱い委託元が把握しない外部共有を避ける
事故報告報告期限、報告先、初動内容、本人通知の連携発覚後すぐに連絡できるルートを明記する
監査・報告定例報告、証跡提出、現地確認、改善依頼監査の頻度と方法を委託規模に合わせる
返却・削除契約終了時のデータ返却、削除証明、バックアップの扱い終了後に情報が残るリスクを減らす

小規模な委託では、すべてを重い監査条項にするよりも、扱う情報の重要度に合わせて確認項目を絞る方が運用しやすくなります。一方で、要配慮個人情報、大量の顧客情報、決済情報、採用情報を扱う場合は、事故時の報告や再委託管理を細かく設計しておく必要があります。

ISMS認証・Pマークを見るときの選定基準

BPO会社を選ぶとき、ISMS認証(ISO/IEC 27001)やPマークは有力な確認材料になります。ただし、認証の有無だけで判断するのではなく、認証の範囲が委託したい業務に含まれているか、拠点や部門が対象になっているか、委託先の担当者教育やログ管理が実務に落ちているかを確認します。Pマークは個人情報の取扱い体制を見る手がかりになりますが、契約書、運用報告、事故時の連絡体制と合わせて評価します。

図4:BPO会社のセキュリティ選定チェックリスト 認証、体制、技術対策、運用報告、事故対応の5観点で確認する。 BPO会社の選定チェック 1ISMS・Pマークの対象範囲が委託業務と合っているか 2個人データの保管場所・アクセス経路を説明できるか 3担当者教育、権限棚卸し、ログ確認が運用されているか 4再委託、クラウド利用、海外拠点の有無を開示できるか 5事故発生時の連絡先・報告期限・初動手順が明確か
図4:認証は入口、実務の運用確認まで見る

クラウドサービスを使うBPOでは、ISMAPなど公的なクラウド評価制度の考え方も参考になります。民間企業がそのまま政府調達と同じ基準で選ぶ必要はありませんが、クラウドサービスの安全性を第三者評価や管理基準で確認する発想は、BPOの委託先選定にも応用できます。

導入後に続けるモニタリングと事故対応

BPOセキュリティは、契約して終わるものではありません。委託後は、月次または四半期ごとに、処理件数、権限変更、担当者変更、インシデント有無、再委託先の変更、教育実施状況を確認します。小規模な委託でも、共有フォルダの権限、退職者アカウント、紙資料の返却、外部ストレージの利用有無は定期的に見直します。

  • 委託開始時:取扱情報、利用システム、担当者、再委託先を一覧化する
  • 運用中:ログ、権限、教育、事故報告を定例会で確認する
  • 変更時:業務範囲や利用SaaSが変わったら契約・手順を見直す
  • 終了時:データ返却、削除証明、アカウント停止を確認する

事故対応では、事実確認を急ぎながらも、個人データの漏えい等に該当するか、本人への通知や個人情報保護委員会への報告が必要かを確認します。委託先からの第一報が遅れると、委託元の判断も遅れます。契約書と運用手順の両方で、発覚時の連絡期限、報告内容、再発防止策の提出方法を決めておくことが重要です。

よくある質問(FAQ)

Q. BPO会社がISMS認証を持っていれば十分ですか?

A. ISMS認証は確認材料になりますが、それだけで十分とはいえません。認証の対象範囲、委託業務との関係、担当者の権限管理、ログ、事故時の報告体制まで確認します。

Q. BPO委託は個人情報の第三者提供にあたりますか?

A. 業務委託として必要な範囲で個人データを扱わせる場合、個人情報保護法上の第三者提供とは別に、委託先監督の問題として整理されます。ただし、委託範囲を超えた利用や別目的での利用は注意が必要です。

Q. 小規模なBPOでも契約書にセキュリティ条項は必要ですか?

A. 顧客情報や従業員情報を扱うなら、委託規模が小さくても秘密保持、利用目的、再委託、事故報告、契約終了時の削除は確認しておきたい項目です。

Q. PマークとISMS認証はどちらを重視すべきですか?

A. 個人情報の取扱いを重視するならPマーク、情報セキュリティ管理体制全体を見るならISMS認証が参考になります。どちらか一方で判断せず、委託業務に必要な管理が実際に行われているかを確認します。

Q. 再委託がある場合は何を確認しますか?

A. 再委託先の名称、業務範囲、取扱情報、所在地、セキュリティ体制、再々委託の有無、事故時の連絡経路を確認します。事前承認制にしておくと、委託元が把握しない外部共有を減らせます。

Q. 事故が起きたとき、委託元は何から始めますか?

A. まず、発生日、発覚日、対象データ、件数、原因、影響範囲、委託先の初動を確認します。そのうえで、個人データの漏えい等に該当するか、報告や本人通知が必要かを判断します。

まとめ|今日からできる3つのこと

BPOセキュリティは、委託先の認証や契約書だけで完結するものではありません。委託元が扱う情報、業務範囲、利用システム、再委託、事故時の連絡経路を理解し、運用中も確認を続けることで、リスクを抑えやすくなります。

  1. 委託する業務と個人データの種類を一覧化する
  2. 契約書に安全管理措置、再委託、事故報告、削除証明を入れる
  3. ISMS認証やPマークを確認しつつ、ログ・権限・教育の運用状況を見る

関連記事

参考文献

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」平成28年11月(令和8年4月一部改正)、https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/、2026年6月7日取得
  • 独立行政法人情報処理推進機構(IPA)「中小企業の情報セキュリティ対策ガイドライン 第4.0版」2026年、https://www.ipa.go.jp/security/guide/sme/about.html、2026年6月7日取得
  • 国家サイバー統括室「政府機関等のサイバーセキュリティ対策のための統一基準群」2025年、https://www.cyber.go.jp/policy/group/general/kijun.html、2026年6月7日取得
  • 国家サイバー統括室「政府情報システムのためのセキュリティ評価制度(ISMAP)」2020年運用開始、https://www.cyber.go.jp/policy/group/general/ismap.html、2026年6月7日取得

この記事に興味を持った方におすすめ

あなたへのおすすめ記事

同じカテゴリの記事を探す

同じタグの記事を探す

同じタグの記事はありません

掲載希望の方はこちら
top