共同PSIRT/BPOを使う時の契約ポイント
(責任分界・免責・情報区分)
PSIRTを社内の内製リソースだけで回すのが難しい時、現実的な選択肢になるのが 共同PSIRT や BPO(業務委託) です。
ただし、ここで契約内容を雑に作ってしまうと、運用が楽になるどころか、むしろ現場のプロセスが止まってしまいます。
典型的には、次のような事故が起きます。
- 受付や翻訳は外部がやるが、最終判断が誰なのか曖昧でボールが落ちる
- 「影響なし」のドラフトは作ってもらえるが、OEMへの責任の所在が曖昧
- SBOMやログを出した後で、情報区分の線引きが甘かったと気づく
- 期限(SLA)が守れなくても「委託範囲外です」と言われる
- 契約終了時に、証跡や台帳の引継ぎができず監査で詰む
結論から言うと、共同PSIRT/BPOの成否は、ツールや担当者のスキルよりも 「契約でどこまで切り分けたか」 で決まります。
特に重要なのは、責任分界・免責・情報区分 の3点です。
先に結論:契約は「外に出す仕事」と「社内に残す仕事」を分ける
最初に決めるべきは、共同PSIRT/BPOに「何を任せ」、そして「何を自社の責任として残すか」です。
- 受付窓口の運用
- OEM依頼の整理/翻訳
- 案件ID採番と期限管理
- 一次トリアージの補助
- 回答ドラフトの作成
- OEM様式への転記
- 定例会議の進行や台帳整備
- 対象版数の最終確定
- 影響あり/なしの最終判断
- リスク受容の決定
- 外部回答の承認
- 例外判断(期限交渉、重大案件)
- 自社機密の開示可否判断
この切り分けが曖昧だと、共同PSIRT/BPOは“便利な丸投げ先”ではなく、
“責任があいまいな中間層(ボトルネック)”になってしまいます。
比較:共同PSIRT/BPOで契約に入れるべき論点
まずは、最低限この表の論点で整理すると「契約で何を握るべきか」が分かりやすくなります。
| 論点 | 契約で決めること | 曖昧だと起きること |
|---|---|---|
| 役務範囲 | 受付、一次仕分け、台帳更新、文面作成など、何を委託するか | 「それは範囲外です」で止まる |
| 責任分界 | 誰が判断し、誰が承認し、誰が送るか | 結論の責任が曖昧になる |
| 情報区分 | SBOM、ログ、設計情報、顧客情報の扱い | 出しすぎ・出せなさすぎの両方が起きる |
| SLA | 受領、一次回答、更新、ドラフト返却の期限 | OEM期限に間に合わない |
| 証跡帰属 | 台帳、回答文、根拠資料、履歴の所有者 | 監査で証跡が散らばる |
| 免責 | 最終判断責任、利用結果責任、再委託時の扱い | 後で責任の押し付け合いになる |
| 終了時引継ぎ | データ返却、削除、継続案件の移管 | 契約終了時に運用が止まる |
BPOや共同運用で「誰が・いつ・どう判断したか」をクラウド上でスムーズに連携する仕組みを見てみませんか?
共同PSIRT運用のイメージをデモで確認する契約で必ず決めたい7項目
1. 役務範囲
最初に「何を頼むのか」を明文化します。特に次のような粒度で明記した方が安全です。
- 受付のみ
- 一次トリアージまで
- 回答ドラフトの作成まで
- OEMフォーマットへの変換まで
- 定例会議/進捗管理まで
※“PSIRT支援一式”のような曖昧表現は危険です。
2. 責任分界(最重要)
ここが最重要です。特に、次の線引きを書面化(あるいは運用フロー図化)してください。
受託側(BPO)ができること: 整理、記録、ドラフト作成、期限管理
委託側(自社)が持つこと: 対象版数の最終確定、影響有無の最終判断、対外回答の承認
共同PSIRT/BPOが「影響なし」のドラフトを書くのは問題ありませんが、その「影響なし」の最終責任は自社で持つ方が、OEM対応としても法務的にも安全です。
3. 情報区分
実務で一番揉めやすいのがここです。少なくとも、次の3区分は開始前に決めてください。
- 共有可: 案件ID、期限、表向きの製品名、提出済み文面
- 条件付き共有: SBOM、構成表、ログ、設定値
- 原則非共有: ソースコード、内部チケット詳細、顧客固有情報
この区分が無いまま始めると、外部が分析に必要な時に情報を出せず、逆に不要な自社機密を渡してしまうことになります。
4. 免責
ここで言う免責は、「全部責任逃れする」ことではなく、「責任の所在を明確にすること」です。契約で整理したいのは、たとえば次のような論点です。
- 最終技術判断は委託側(自社)が持つこと
- 受託側は提供された情報に基づき支援を行うこと
- 故意/重過失や守秘義務違反があった時の扱い
- 第三者(OEM等)からのクレーム時の扱い
- 再委託先が関わる場合の責任連鎖
※ここは最終的に法務確認が必要ですが、少なくとも事業部門として論点から漏らさないことが大事です。
5. SLA(期限)
共同PSIRT/BPOで一番価値が出やすいのが「期限(SLA)運用」です。だからこそ、受託側のSLAと委託側のSLAを分けて書きます。
受託側: 受領後、4時間以内に案件化 / 1営業日以内に一次トリアージ / ドラフトは2営業日以内に返却
委託側: 返却後、1営業日以内に承認 または 差し戻し
このように、相手の作業期限だけでなく、「社内での往復の期限」も切るのが運用を止めないコツです。
6. 証跡帰属
監査で一番困るのは、共同PSIRT/BPOを使っていた時期の証跡が、解約後に自社に残っていないことです。最低限、次を決めてください。
- 案件台帳の「正本」はどちらのシステムで持つか
- 回答ドラフトの保管先
- 証跡リンク/IDの管理者
- 提出履歴の保管先
- 契約終了時の返却・削除方法
7. 終了時の引継ぎ
見落としやすいですが、かなり重要です。契約が終わった瞬間に案件が止まらないよう、次を決めます。
- 継続中案件一覧の引継ぎフォーマット
- 「次回更新日付き」の案件の引継ぎルール
- 証跡・テンプレ・台帳のデータ返却形式
- アカウント停止、データ削除の証明、バックアップ扱い
兼務でも破綻しない導入手順
1まず対象業務を3分割する
「外に出せる」「社内に残す」「条件付きで共有する」の3つに分けます。ここがすべての出発点になります。
2期待する成果物を決める
「案件台帳」「一次トリアージ記録」「回答ドラフト」「期限アラート」「月次報告」など、目に見える成果物を具体的に定義します。
3最初は1OEM・1製品群で始める
いきなり全案件・全製品を委託しない方が安全です。小さく回してSLAや連携のテンポを確認してから、契約範囲を広げる方が失敗しにくいです。
4証跡の保存先だけは最初に統一する
どちらが作業しても、結果的に自社が監査で辿れる(自社管理下のシステムにデータが残る)ようにしておく必要があります。
よくあるNG例(委託が失敗するパターン)
-
NG1:業務範囲が「PSIRT支援一式」
何をどこまで頼んだのか後から不明になり、結局「お互いに相手がやると思っていた」という責任分界の崩壊が起きます。 -
NG2:ドラフト作成と最終判断が混ざっている
「文面を作る支援」と「技術的に影響なしと判断する責任」を分けないと、何かあった時の責任が曖昧になります。 -
NG3:SBOMやログを“必要時に考える”
最初に情報区分のNDAやセキュリティチェックを済ませておかないと、いざ緊急の脆弱性分析が必要な時にデータを渡せず詰まります。 -
NG4:終了時引継ぎを決めていない
ベンダーを切り替える時や内製化する時に、台帳・証跡・継続案件が手元に残らず、運用が完全にストップします。
FAQ:契約と責任分界
A. 文面のドラフトや情報の整理は任せても、「対象版数の最終確定」「影響有無の最終判断」「OEMへの対外送付の承認」は自社に残す方が安全です。製品の責任を負うのはあくまで自社だからです。
A. 「役務範囲」「責任分界」「情報区分」の3つです。ここが曖昧なまま金額やNDAだけを結んでしまうと、現場で何を渡して何を頼んでいいか分からず、プロジェクトが止まります。
A. 最終的には法務レビューが前提ですが、少なくとも「最終判断責任は自社にあること」「BPOは提供情報に基づく支援であること」「守秘義務違反や再委託時の扱い」は、実務上の論点として明記するよう要求した方がよいです。
自社に最適なPSIRT体制を相談しませんか?
社内のリソース状況に合わせて、どの業務を標準化してシステムや外部BPOに任せ、どの判断を社内に残すべきか。共同PSIRTの活用可否を含め、監査に耐えうる運用フローの構築をサポートします。