独立行政法人情報処理推進機構（IPA）は4月19日、「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」の報告書を公表しました。この調査は、ITサプライチェーンにおける標的型メール等のインシデントに関して、委託元・委託先間の情報セキュリティの責任範囲が明確にできない原因を明らかにし、対策を導き出すために実施したものです。委託元企業および委託先であるITシステム・サービス提供企業へのアンケートに加え、有識者等へのヒアリングや文献調査も行いました。

報告書によると、委託元の79.9%が「新たな脅威が顕在化した際の対応」について責任範囲を明確にしておらず、その理由として最も多かったのは専門知識・スキルの不足（79.6%）でした。また、責任範囲を明確にするために有効な施策を尋ねたところ、契約関連文書の雛形の見直し（58.5%）が最多となりました。