IPAがシステム開発のモデル契約書第二版公開、セキュリティ仕様書の作成プロセスを明確化

独立行政法人情報処理推進機構（IPA）は12月22日、これまでの検討を取りまとめ「民法改正整理反映版」に民法改正に直接かかわらない論点の見直しを加えた「情報システム・モデル取引・契約書」第二版を公開したと発表した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2020.12.24 Thu 8:05

セキュリティ基準等公表情報を使用した一般的なセキュリティ仕様書の作成イメージ全 1 枚拡大写真

独立行政法人情報処理推進機構（IPA）は12月22日、これまでの検討を取りまとめ「民法改正整理反映版」に民法改正に直接かかわらない論点の見直しを加えた「情報システム・モデル取引・契約書」第二版を公開したと発表した。同時に、「第二版」から参照されるセキュリティ基準等公表情報の一例として「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」と「セキュリティ仕様策定プロセス」も公開した。

「第二版」では、ユーザ企業、ITベンダ、関連業界団体、および法律専門家の参画を得て議論を重ね、中立的な立場でメリットが偏らない契約書作成を目指している点が特長で、民法改正に直接かかわらない論点について、現行のモデル契約条項と解説の修正版、および見直しについての解説を整理している。

「第二版」では、セキュリティ仕様書の作成プロセスを明確化し、その内容を解説に記載するとともに、そのプロセスを前提とする契約書の条項を整理。セキュリティに関して、公的機関や業界団体、セキュリティ関連企業等が提供する脅威分析を行い攻撃への影響と対策（緩和策）等を検討するための参照情報を使用し、ユーザとベンダが必要な情報を相互に出し合い、開発対象のシステムについて考慮しつつ脅威の影響についてリスク評価を行い、対策の実装有無を決定・合意し、その結果をセキュリティ仕様書に反映するといった協力を行ったうえでセキュリティ仕様書を作成する。

また、対策を実装しない場合にも、その旨を記録することが重要とし、そのためにシステム開発の各段階にて、ユーザおよびベンダのそれぞれが提供すべき情報や検討すべき事項は何か、各段階の成果物は何か、どの段階でセキュリティ仕様を確定するのか等について整理する必要があるとしている。

「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」と「セキュリティ仕様策定プロセス」については、セキュリティ専門家、一般社団法人コンピュータソフトウェア協会（CSAJ）、Software ISAC等のセキュリティ関連団体の参画を得て議論を重ねるとともに、広く意見募集も行い、「第二版」から参照されるセキュリティ基準等公表情報の一例として、Windows Active Directory環境用の文書を作成した。

IPAでは、ユーザ企業・ITベンダ双方が「第二版」を参照することで、契約のタイミングで双方が共通理解のもと対話を深め、よりよい関係のもとITシステム開発が行われることを期待している。

《高橋潤哉（ Junya Takahashi ）》