こんばんは。今回は不正アクセスネタです。以下はScanNetSecurityの記事からです。

scan.netsecurity.ne.jp

　単に「不正アクセスを受けた」というだけではなく、「再委託先のサーバが不正アクセスを受けて一部情報が削除された」という点です。

　「不正アクセス」「再委託」という2つのパワーワードが並んでいます。日本スポーツ協会が電通と契約した時点で、再委託を許可していたのかどうかというのがここでは読み取れませんでした。もし、無断で再委託されていたとすると、発注元は再委託先をコントロールしようがありません。そもそも再委託されていることを知る由もないという問題がありそうです。

　「情報セキュリティ対策の一層の強化」とありますが、一体どうするんでしょうか？

　再委託を許可する契約だったのか、そうでなかった場合は電通がアウトですし、許可していたとした場合、一次委託先が再委託先を適切にコントロールする責任を負うことになります。再委託先選定時に適切な情報セキュリティ対策がなされているかを確認する必要がありそうです。

　発注先がコントロール出来なくなるという点を考えると、ここは再委託禁止事項を盛り込むべきではないでしょうか。発注側が委託先の情報セキュリティ対策について、きちんと確認する必要はありそうです。どうも他人事のように電通が考えていそうに受け取れる印象を抱かせる記事でした。

　ある程度自前で対応するということも考えないと拙そうです。