Competencies

アウトソーシングをご検討中ですか?多くのアウトソーシング プロジェクトが様々な理由から失敗しています。うまくったように見えて、結局は削減したはずのコスト以上かかっている場合もあります。アウトソーシングの大きなリスクの1つに、知的財産の保護の問題があります。残念ながら、この問題に対する 100%有効な手段はありません。アウトソーシングを選択する際、お客様の知的財産が損なわれるリスクを減らすには、守るべき事がいくつかあります。

1.     アウトソーシングということを意識する

まず、アウトソーシングしようとしている知的財産の目録を作成します。知的財産は、著作権・商標・企業秘密・特許など、様々な形式があります。データベースに登録されているものもあるでしょうし、ソフトウェアのソースコードに組み込まれていたり、会議室やイベントのホワイトボードにアイデアとして書かれる可能性もあります。

知的財産の構成や保管場所、誰が管理し、誰が使用し、誰が更新し、誰が保証するのか、どのように保護されているのか、何らかの攻撃を受けた場合にどれくらい脆弱であるか、事前に知っておくべきです。

他社との間で結ばれる知的財産のライセンス条項を調べておく必要があります。パートナーとの間で、ライセンス契約で知的財産に関するアウトソーシングが禁じられていないことを確認してください。

outsourcing or in-house development?

2.    適切なパートナーを選択する

アウトソーシング先を選択する際、以下の事に注意してください。

  • アウトソーシング国の評価:アウトソーシング先が所在する国の法律についての評価が必要です。司法制度による保護がしっかりしており、係争などが生じた時に救済措置が取られるかどうか知っておく必要があります。
  • アウトソーシング会社の評価:アウトソーシング先の会社の実績や履歴について以下の点で評価が必要です:
    • 顧客やパートナーへのサービス品質
    • 社員やマネージャーの数と能力
    • 財務状況と取引履歴
    • 離職率
    • 品質保証とセキュリティに関して、現時点で実施されている標準類(CMMi、ISO 9000、ISO/IEC 27001、スクラム認定など)
    • トップ企業との技術提携(例.Microsoft、Oracle、Salesforce などのパートナーシップや認定技術者数)

choose the right outsourcing partner

3.     法的枠組みを取り入れる

関係を構築する前に当事者間の NDA(機密保持契約)に署名する必要があります。契約を締結する際に、機密保持契約の条項がきちんと網羅されていることを確認します。

  • 製品のライセンスとオーナーシップ
  • 機密保持 機密情報、および機密情報の所有権と開示の定義
  • 機密情報の使用と開示に関する制限

プロジェクトに従事するすべてのオフショア スタッフに、機密保持契約書への署名を義務づけます。すべてのスタッフに、契約書の知的財産の保護とプライバシーに関する規約を守らせる必要があります。

have a legal framework in place when outsourcing\

4.     個人のセキュリティ

ソフトウェアのアウトソーシングは、結局は「人」です。プロジェクトに参加する契約社員やコンサルタントは、個人履歴の査定に応じてもらう必要があります。オフショア先の会社のスタッフ一人一人に至るまで履歴のチェックを行います。ただし、このような審査は、信頼や責任のレベル、および当事国の法律なども考慮して行う必要があります。

  • 身分証明書(例.IDカードやパスポートなど)
  • 学歴(例.卒業証明書など)
  • 業務実績(例.履歴書など)
  • 犯罪履歴
  • 信用調査

アウトソーシング先の企業が適切なセキュリティ対策を実施しているか、すべての社員に対してセキュリティ教育を行っているか、(必要に応じて)セキュリティに関する会社の責任を明確にしているか、セキュリティに対する方針・標準・手順・ガイドライン(例えば、プライバシー、使用方針、セキュリティ事故が発生した場合の報告手順など)と関連する義務について契約書に定義されているかを確認します。

personnel security when outsourcing

5.     情報セキュリティ管理システム

アウトソーシング先の企業が情報セキュリティを管理するための適切なシステムを採用していることを確認します。ISO 27001 などの国際的に認知されたものが望ましいですが、そうした認証を取得していない場合、最低限でも以下についてはISMS(情報セキュリティ管理システム)を適用することを要求すべきです:

データ管理

  • 情報の分類
  • 管理者と使用者
  • 情報の格納場所
  • 情報の取り出しと破棄
  • 論理アクセスの管理
  • ネットワークおよび保護されるシステムへの物理アクセスの管理。顧客資産と VLAN の隔離
  • 各端末のセキュリティ
  • プロジェクトのすべての主要な構成要素について、事業継続性計画が明確に示されていること
  • 定期的なセキュリティ脆弱性の評価と、セキュリティギャップの特定および対策

アクセス管理

  • 論理アクセスの管理
  • ネットワークおよび保護されるシステムへの物理アクセスの管理。顧客資産と VLAN の隔離
  • 各端末のセキュリティ

事業継続性

  • プロジェクトのすべての主要な構成要素について、事業継続性計画が明確に示されていること
  • 定期的なセキュリティ脆弱性の評価と、セキュリティギャップの特定および対策