K.外部委託
| (概説)
ここでいう外部委託とは、LANシステムについて、外部の協力会社になんらかの業務を依頼することをいう。つまり、業務の依頼内容に応じて、請負(委託)契約のみでなく、委任(準委任)契約や働者派遣契約も含んで解釈している。 例えば、ネットワークについてコンサルティングを受けたり、SEに新技術の指導を受ける場合等は、委任(準委任)契約となり、例えば、ヘルプデスクやネットワーク運用に人材を派遣してもらう場合等は、労働者派遣契約になる。 なお、情報システム部門の一部または全部を外部に委託するアウトソーシングも、LANシステムについて有効な手段であるが、これは請負(委託)契約になる。 |
1 委託計画 監査目標 (1) 委託計画を策定し、委託の責任者が承認しているか。 着眼点 a) 委託計画の立案手順が明確か確認する。*1 b) 委託の責任者を定めているか確認する。*1 c) 委託計画書が作成されているか確認する。*1 d) 状況の変化に応じて、委託計画を見直しているか確認する。*1 留意事項 これらは、LANシステム特有のことではなく、情報システム全般の外部委託と何ら変わらない。 監査目標 (2) 委託の目的及び対象範囲を明確にしているか。 着眼点 a) 委託の目的及び対象範囲は、委託の方針に基づいているか確認する。*1 b) 委託の目的及び対象範囲を関係者が合意しているか確認する。*1 c) 自社とベンダーおよび、マルチベンダー間の責任範囲を明確化しているか確認する。 留意事項 委託の目的としては、要員不足の解消や運用コストの削減等がある。 対象範囲は、導入構築のコンサルテーションや、運用支援といった別け方がある。 また、マルチベンダーを採用する場合、例えば本店と支店や、バックボーンとフロント・エンドと いうように、契約時に各ベンダー毎の責任範囲を明確にする必要がある。 監査目標 (3) 委託は、具体的な効果、問題点等を評価して決定しているか。 着眼点 a) 委託の効果、問題点等を総合的な観点から検討しているか確認する。*1 b) 委託に係る関係者が参画して評価しているか確認する。*1 留意事項 委託の効果の例としては、LAN管理費用の削減、マルチベンダー環境および、インターネット 環境での専門的なサービスの享受等である。 問題点の例としては、当該組織への技術蓄積が困難になる(ただし、企業によっては、これ だけ技術革新が激しいと、技術蓄積が必要でないとの判断を下す場合もあり、監査人は、 この判断が適切であるか監査する必要がある)、不正防止、機密保護等がある。 2 委託先選定 監査目標 (1) 委託先の選定基準を明確にしているか。 着眼点 a) 委託先の選定基準を明文化し、企画、開発、運用及び保守業務の責任者が承認しているか 確認する。*1 b) 選定基準が、委託計画と整合しているか確認する。*1 c) 選定基準が、客観的な指標を定めているか確認する。*1 d) 選定基準が、委託業務の特性を考慮しているか確認する。*1 留意事項 委託業務が一過性のものか、継続的なものかによっても選定基準が変わる。 いずれにしても、選定基準が明文化されており、責任者が承認しているか確かめる。 また、ハードウェア及びソフトウェアの導入にあたって、ベンダーの信頼性を考慮しているか確か める。特に海外企業の場合は、日本の代理店の規模、実績及び十分な支援が得られるかどうか について考慮しておく必要がある。 監査目標 (2) 委託先が提案した受託条件の比較検討を行っているか。 着眼点 a) 選定基準に基づいて、受託条件を比較検討しているか確認する。*1 b) 委託先の決定理由を明確にしているか確認する。*1 c) 比較検討の結果を企画、開発、運用及び保守業務の責任者が承認しているか確認する。*1 留意事項 ソフトウェア会社によっては、独自の認定技術者制度を設けている場合があり、この認定技術者 数もベンダー選定の比較項目となりうる。 3 委託契約 監査目標 (1) 委託契約は、委託契約ルールに基づいて締結しているか。 着眼点 a) 委託契約ルールを定めているか確認する。*1 b) 委託契約ルールに基づいた契約書を作成し、委託の責任者が承認しているか確認する。*1 c) 契約書は、法的要件を満たしているか確認する。*1 d) 契約書の内容を関係者に周知徹底しているか確認する。*1 e) 特に海外のベンチャー等の場合は、M&A、倒産に関して、契約内容を考慮しているか確認する。*2 留意事項 契約書に、次の項目が含まれているか、確認する。 @委託業務内容及び範囲A委託方法B期間または納期D成果物E委託費と支払い条件 F権利の帰属G損害賠償H特約条項I免責条項Jセキュリティ条項K障害対策 L委託内容や成果物の中に教育に関する項目M技術支援N文書化条項Oソフトウェアのアップ グレード条項 他 監査目標 (2) 不正防止、機密保護等の対策を明確にしているか。 着眼点 a) 不正防止、機密保護等の対策を情報セキュリティ条項として定めているか確認する。*1 b) 責任範囲を明確にしているか確認する。*1 留意事項 契約時に、不正防止、機密保護等の対策を明示する必要がある。特にLANシステムでは、 ファイアウォールの情報、サーバーのユーザID・パスワード、IPアドレス等重要なセキュリティ対策上 の情報を委託先のベンダーが知りうることができるので、契約書上、明示されているか確認する。 監査目標 (3) 知的財産権を明確にしているか。 着眼点 a) 委託先が作成したプログラム、データ及びドキュメントの知的財産権の帰属を明確にしているか 確認する。*1 b) 知的財産権の管理の責任者を定めているか確認する。*1 留意事項 例えば、システムの運用ツール(サーバーへのユーザーの一括登録ツール等)を委託先が作成 することがありえる。このようなプログラム等の知的財産権の帰属を明確にしているか確認する。 監査目標 (4) 特約条項及び免責条項を明確にしているか。 着眼点 a) 想定される問題事項を明確にしているか確認する。*1 b) 必要な特約条項及び免責条項を契約書で明確にしているか確認する。*1 留意事項 特に、マルチベンダー環境の障害の切り分けを誰が何処まで責任を持って行うかを明確にして おくことは、障害対応を迅速にするのに役立つ。 機器の保守契約を交わす際、ベンダーの権利と義務を明確にしておく。 4 委託業務 監査目標 (1) 委託業務の実施内容は、契約内容と一致しているか。 着眼点 a) 契約で定めた委託業務の内容を実施しているか確認する。*1 b) 委託業務の実施内容を委託の責任者が把握してるか確認する。*1 c) 委託業務の実施内容と契約内容の相違点について、適切な措置を講じているか確認する。*1 留意事項 これらはLANシステム特有のことではなく、情報システム全般の外部委託と何ら変わらない。 監査目標 (2) 委託業務の進捗状況を把握し、遅延対策を講じているか。 着眼点 a) 委託の責任者は、進捗状況を定期的に把握しているか確認する。*1 b) 遅延の原因を究明し、適切な措置を講じているか確認する。*1 留意事項 これらはLANシステム特有のことではなく、情報システム全般の外部委託と何ら変わらない。 監査目標 (3) 委託先における不正防止、機密保護等の対策の実施状況を把握し、必要な措置を講じているか。 着眼点 a) 不正防止、機密保護等の対策の実現方法を明確にしているか確認する。*1 b) 不正防止、機密保護等の対策の実施状況を把握しているか確認する。*1 c) 不正防止、機密保護等の対策の実施状況に応じて、必要な改善措置を講じているか確認する。*1 留意事項 これらはLANシステム特有のことではなく、情報システム全般の外部委託と何ら変わらない。 監査目標 (4) 成果物の検収は、委託契約に基づいて行っているか。 着眼点 a) 成果物の件集方法を明確にしているか確認する。*1 b) 成果物の件集は、検収方法に基づいて実施しているか確認する。*1 c) 検収結果を委託の責任者が承認しているか確認する。*1 留意事項 これらはLANシステム特有のことではなく、情報システム全般の外部委託と何ら変わらない。 監査目標 (5) 委託した業務の結果を分析及び評価しているか。 着眼点 a) ベンダーのサポート・サービスを文書化するために、サービスログを取っているか確認する。*2 b) 委託計画に基づいて、委託業務の実施結果を分析及び評価しているか確認する。*1 c) 委託先評価を定期的に実施しているか確認する。 d) 委託業務の分析及び評価結果を記録し、委託の責任者が承認してるか確認する。*1 e) 関係者に評価結果を報告しているか確認する。*1 f) 今後の委託業務へ、この結果を反映させているか確認する。 留意事項 これらはLANシステム特有のことではなく、情報システム全般の外部委託と何ら変わらない。
付録 [1]LAN(インターネット接続)で可能な外部委託サービス内容 以下の項目は、LANシステムにおいて必要な作業である。企業は、規模、スタッフ、技術力、セキュリ ティ、コスト面等から各項目を取捨選択して、外部委託契約することができる。監査人は、外部委託の準備段 階、選定段階、運用段階で、上記監査基準を利用して監査する必要がある。 1.構築・導入 ・ネットワーク・コンサルテーション ・ネットワーク設計 ・ネットワーク構築 ・ハードウェア導入(設定、ネットワーク接続、据え付け) ・ハードウェア追加導入(ボード、周辺機器) ・ソフトウェア導入(ネットワークOS、アプリケーション) ・ネットワーク機器導入(設定、据え付け) ・上記移設(解体・運搬、組み立て調整) ・互換テスト ・接続検証 2.運用管理 ・Mailサーバ E−Mailシステムの保守 メーリングリストの管理 ・Newsサーバ Newsシステムの保守 Newsグループの管理 ・WWWサーバ WWWシステムの保守 ・ホスト管理 IPアドレス管理 ・ファイル管理 バックアップの取得・管理 ・ディスク容量の管理 アプリケーションソフトの導入 ・ソフトのバージョンアップ OS等のバグフィックスの適用 ・アカウント管理 ユーザIDの登録 課金管理 ・接続支援 クライアントの接続支援 ・規約管理 規約・利用手順の更新 ・ウイルスチェック コンピュータウイルスのチェックおよび駆除 ・ソフトウェア・サポート 情報提供、障害に対するフォロー、更新版の提供 ・ヘルプデスク ネットワーク管理者向けヘルプデスク 開発者向けヘルプデスク 障害対応ヘルプデスク 運用操作ヘルプデスク 3.障害対応 ・障害窓口対応 機器・回線・通信サービスへの対応 ・障害原因の初期調査 代替対策による障害回避 ・リカバリー システムおよびデータのリカバリー ・問題管理 ベンダー・メーカーへの状況連絡と修復依頼 復旧作業と障害解決の確認 障害内容の報告と履歴管理 4.機密管理 ・ネットワーク ファイアウォールの保守 公衆網からのアクセス管理 セキュリティーホール情報の収集 ・サーバ パスワード管理 施錠管理 サーバ設置場所への入退室管理 5.構成管理 ・ネットワーク構成 機器構成・トポロジーの管理 機器の接続情報管理 ・サーバ構成 機器構成管理 バス接続構成 ディスク資源管理 ユーザID管理 ソフト構成管理 ・クライアント構成 機器構成管理 ソフト構成管理 ・通信サービス クライアント/サーバ構成 通信サービス設定内容の把握 6.性能管理 ・利用状況管理 接続状況の監視 ・統計状況提供 アクセス状況の把握 ・パフォーマンス管理 トラフィック量の管理 CPU使用量の管理 ・障害予防 トラフィックネックの解消 CPUネックの解消 不良パケット等の発見 サーバの不要プロセスの除去 7.資源管理 ・ディスク資源 性能管理・最適化 ・ライセンス管理 ライセンス契約内容の管理 ・保守契約管理 保守契約の管理 ・資産管理 機器・ソフトの管理 ・備品管理 保管・補給 ・貸出品管理 貸出品の貸出返却管理 ・マニュアル管理 保管・整理 ・廃棄処理
ガイドラインの目次に戻る。
付録 [2] 契約書の注意項目とサンプル LANシステムに関連する業務を外部に依頼する場合、次の3つの契約形態が取られる。 外部請負(委託)契約、委任(準委任)契約、労働者派遣契約である。 これらについて、法律用語の説明は、別の書物を参照していただくとして、システム監査で確認 すべき契約書の項目と、契約書のサンプルを記載する。なお、契約書サンプルにある甲とは、委託 者であり、乙とは、受託者を指す。 1. 委託契約であるべき基本項目 ・発注年月日 ・委託業務内容及び範囲 ・委託方法 ・期間または納期 ・成果物の納品と検収(請負契約と準委任契約) ・委託費・決済日と決済方法 ・派遣者の就業(労働者派遣契約のみ) 業務の具体的な内容、就業場所、指揮命令者、派遣先責任者、派遣元責任者、 就業条件、派遣者、派遣期間、業務資料等の管理、是正措置の要求権、 備品等の貸与他 ・請負業務の遂行(請負契約および準委任契約) 業務遂行責任者の決定、作業担当者の決定、指定作業場、現場責任者の決定、 再委託、業務請負等資料の管理、進捗状況の報告・調査、機器の提供および返還 ・契約の変更・解除 2. 不正防止、機密保護等の項目 受託者は、委託者の情報を知り得る機会が多い。例えば、IPアドレスやファイア ウォールの設定内容等である。これらの情報の開示を禁止したり、不正使用を防止す ることを明文化しているか確認する。また、損害賠償についても合わせて明示してい るか確認する。 ・不正使用等の防止 良いサンプル 「業務遂行に際して、甲から貸与されまたは入手した資料、データ、情報、ソフト ウェア等(以下資料等という)について、乙は、次の各号に定める事項を遵守し、 派遣者に周知徹底させるものとする。 (1)資料等について、善良なる管理者の注意義務を持って保管管理するすること (2)資料等は、甲の指定した目的以外には使用しないこと (3)甲の書面による承諾なく、資料等を就業場所から持ち出し、または方法のいか んにかかわらず、複製しないこと (4)資料等が、当該業務を遂行するうえで必要でなくなったとき、および甲から返還 を求められたときは、速やかにこれらを返還すること」 「乙は、甲から貸与または使用許諾された機器等を善良なる管理者の注意義務を持って 保管管理するものとし、これを当該業務を遂行する目的以外に使用しないとともに、 これを第三者に開示、譲渡、貸与、もしくは使用許諾してはならない」 ・守秘義務 良いサンプル 「甲または乙は、本契約に関して知り得た相手方の技術上、販売上その他の業務上 の秘密を、本契約の存続期間中はもとより本契約終了後といえでも第三者に漏洩し ないとともに、(業務遂行責任者、現場責任者、作業担当者、下請負人、派遣 者等)に対してもこの趣旨を徹底させ、遵守させる義務を負うものとする。 ただし、次の各号のいずれかに該当する情報は、秘密情報でないものとする。 (1)開示の時点で既に公知のもの、または開示後情報を受領した当事者の責によら ずして公知となったもの (2)甲または乙が開示を行った時点で既に相手方が保持しているもの (3)第三者から守秘義務を負うことなく正当に入手したもの (4)相手方からの開示以降に開発されたもので、相手方からの情報によらないもの」 3. 知的財産権の項目 委託契約において、例えば、LANシステムの効率的な運用のためにソフトウェアを 開発した場合、そのソフトウェアの権利の帰属が問題になる。このようなケースに備え、 必要に応じ、知的財産権について明示する必要がある。システム監査人は契約内容の妥 当性を評価する必要がある。 ・権利の帰属 良いサンプル(委託者側に有利なサンプル) 「当該業務に基づき作成さた成果物に関する納入媒体の所有権、および成果物の工業 所有権、著作権(著作権法第27条及び第28条に規程する権利を含む)その他の 一切の権利は、乙が甲に譲渡するものとする。 乙は、自己の営業のため、その他理由の如何を問わず、成果物に含まれるソフトウ ェアその他の資料の一部といえども、これを複製し、使用する場合には、甲の書面 における承諾、または甲との別の契約を必要とする。 乙は、成果物を、甲が自己の責任において任意に変更、修正しても一切異議を申し 立てないものとする。甲が成果物を変更及び修正したことに起因し、甲及び甲の顧 客に損害を与えた場合、乙は責任を負わないものとする。 乙は、甲が成果物または、その二次的著作物を公衆に提供または提示するに際し、 乙または乙の従業員を、著作者として表示する必要のないことに同意する。 甲、または甲の代理人は、著作権登録等の手続きを遂行するために必要と考えられ る協力を乙に依頼できるものとする。 乙は甲が委託する業務について、著作者人格権を行使しないものとする。」 この他に成果物中に、第3者が著作権その他の権利等を有する部分がある場合がある ので、その場合の使用権の承諾や権利の侵害しないことについて記載があるか確認 する。また、権利の移転時期についても記載があるか確認する。 4. 特約条項及び免責条項 請負契約の場合、成果物の瑕疵担保責任が明文化されているか確認する。 ・障害対策(瑕疵担保責任 請負契約のみ) 良いサンプル 「成果物の引渡後××ヶ月を経過するまでの期間に当該成果物に乙の責に帰すべき瑕 疵が発見された場合は、乙は甲の指示に基づき乙の責任と負担において速やかにそ の補正または追加を行うものとする。」 また、無償保証期間に当該成果物について乙の責任外の瑕疵が発見されたり、無償保 証期間後に当該成果物の瑕疵が発見された場合でも、有償でその補正または追加を実 施してもらう旨を記載しているか確認する。 ・損害賠償 業務遂行中に受託者の故意または過失によって損害を被った場合、または、受託者の 責任に帰する理由で成果物に瑕疵があり、それによって損害を被った場合の損害賠償 について、記載があるか確認する。 この他に、契約違反による損害賠償についても記載があるか確認するとよい。