WEBコミュニケーション事業部の安田です。

先日、SMBCのソースコードがGitHubに公開されていたというニュースがありました。
原因は委託先のSE(システムエンジニア)がソースコードをアップロードしたとのことでした。情報漏洩は様々なケースで発生します。
今回はシステム開発を業務委託する場合に注意したいポイントをお話します。

1. 契約書

システム開発を依頼するときに「業務委託契約書」や「秘密保持契約書」などの契約書を必ず交わすと思います。秘密情報の定義や扱いなどは除き、注意しておきたいのが「権利」「再委託」「余後効」です。

権利は、納品後に著作権なども含み誰が有するのか？を明記する必要があります。ソースコードの著作権は開発会社に帰属すると記載している場合があります。開発会社が開発したシステムを組み込んで開発したシステムであれば理解できますが、独自システムの場合であれば確認が必要です。

再委託は、「許可しない」「事前連絡が必要」など色々な記載が見られます。許可する場合には、依頼会社と委託先会社で締結している内容を、委託先会社の責任で再委託会社にも遵守させることをお勧めします。委託先会社と再委託会社間の契約内容が緩くなっている場合があるためです。

余後効は、契約が期間満了または解除により終了した後も有効に存続する内容を記載しますが記載されていない契約書をよく見かけます。実際にどこまで有効になるのか不明ですが記載されたほうが良いと思います。

契約書で不安や不明な場合は、そのままにせず専門家に相談することをお勧めします。

2. 情報管理方法の確認

契約書に開発環境に関する記載があるケースもありますが、それとは別に確認を行います。

「閲覧できる人は誰なのか？他の人はアクセスできないように制限はされているのか？」「社内環境以外からもアクセスできるのか？」「持ち出しや複製などできるのか？」「データの保管場所、保管方法はどうなっているのか？」など、どのような漏洩対策を講じているのか？を確認します。厳しいところですと、定期的にログの提出をするところもあります。最初に確認するだけでなく、定期的に確認することも必要だと思います。

3. 納品後のデータ消去の確認

契約書に、「提供された情報を返還または適切に消去する」といった記載を見かけますが、お客様から消去してくださいと指示されたことはとても少ないです。納品＆検品で気が緩んでいるためかも知れませんし、タイミングがわからないからかも知れません。開発会社に情報が残っていると漏洩の可能性が残ってしまいます。適切に消去するように依頼側から促し、消去の確認をするまで管理も怠らないようにしましょう。

最後に。

悪意のある者が持ち出すのを防ぐのは非常に難しいですが、注意が足りない、認識不足など悪意はないが漏洩につながりそうな者への対策はしっかりと行う必要があります。委託会社が主に行う必要がありますが、依頼側も委託会社に任せっきりではなく、自分たちも委託会社の管理をおろそかにしないように注意が必要だと思います。