SaaSに預けた重要データ、安全に取扱いされているかはどうチェックすればいい?そのSaaS本当に安全ですか?(1/2 ページ)

多くの企業が個人情報をはじめとした重要データをSaaSに格納しています。ただ、これらのデータがSaaS事業者によって適切に取り扱われているかどうかを確認している企業はそう多くはないでしょう。本稿はチェック時のポイントを解説します。

» 2024年07月04日 07時00分 公開
[早崎敏寛アシュアード]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 安全なSaaSを選ぶポイントをお伝えする本連載。前回はSaaSのセキュリティ評価結果データから、SaaSのセキュリティ対策状況の実態について説明しました。

 本稿では個人情報保護法や世界のプライバシー法が厳格化する中、クラウドサービスにおける個人データの取扱いに関する評価ポイントを解説します。

筆者紹介:早崎敏寛氏(アシュアード Assured事業部 セキュリティグループ マネージャー)

Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用などを経験。総合コンサルティングファームのアビームコンサルティングでマネジャーとしてセキュリティコンサルティングを担当した後、クラウドサービス(SaaSなど)の安全性を第三者評価するセキュリティ評価プラットフォーム「Assured」を運営するアシュアードに入社。セキュリティ領域のドメインエキスパートとしてサービス開発や顧客支援を担い、年間数千件のクラウドサービスのセキュリティ評価を実施しているAssuredのセキュリティ評価責任者を務める。主な保有資格はCISA、CISM、PMP。



個人情報保護法の改正で何が変わる?

 2024年4月に個人情報保護法規則およびガイドラインが改正されました。注目すべき改正内容として、これまでは「個人データ」が安全管理措置の対象とされてきましたが、「個人情報取扱事業者が取得、または取得しようとしている個人情報であって、当該個人情報取扱事業者が個人データとして取り扱うことを予定しているもの」も対象として明確化されたことにより、実務的には安全管理措置の対象範囲が広がりました。

 これによってクラウドサービス利用者側にはどのような変化があるのでしょうか。

 例えば、最近ではクラウドサービスを利用してアンケートを実施するケースが増えてきていますが、アンケートで個人情報を取得し、“個人データ”として取り扱う場合、個人情報を取得するときにも情報漏えいを防止するために必要かつ適切な措置を講じることが求められます。そのためアンケートを実施するクラウドサービスで必要かつ適切な措置が取られているかどうかを利用者側は確認、評価する必要があります。

 個人情報保護委員会(以下、PPC)は2024年3月25日に、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点」について注意喚起をしました。

 この注意喚起はクラウドサービス事業者が提供する業務システムが不正アクセス被害を受けた事例を踏まえたものです。PPCの注意喚起の中から、注目すべき事項を2点解説します。

1.クラウドサービスの利用が個人データの取扱いの委託に該当するかどうか

 1点目は、個人情報取扱事業者がクラウドサービスで個人データを取り扱う場合、クラウドサービスの利用が個人データの取扱いの委託に該当するかどうかを判断する必要があることです。

 「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aによると、委託に該当しないケースとして、「契約条項によって当該クラウドサービス提供事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を実施している場合などが考えられる」とされています。この内容は「クラウド例外」と呼ばれ、クラウドサービスが個人データを取り扱うかどうかの判断基準となっています。

 PPCは今回の事例では、以下のことからクラウド例外の基準を満たしていないと判断されています。

  • 利用規約において、クラウドサービス提供事業者が保守・運用上必要であると判断した場合、データなどについて監視や分析、調査など必要な行為を実行できること。およびシステムのデータについて一定のケースを除き、許可なく使用し、または第三者に開示してはならないことなどが規定され、クラウドサービス提供事業者が特定の場合に利用者の個人データを使用できること
  • クラウドサービス提供事業者が保守用IDを保有し、利用者の個人データにアクセス可能な状態であり、取扱いを防止するための技術的なアクセス制御などの措置が講じられていなかったこと
  • 利用者と確認書を取り交わした上で、実際にクラウドサービス利用者の個人データを取り扱っていたこと

 このことからユーザーは、クラウドサービスの利用規約のデータの取扱いに関する記載内容やアクセス制御の対策内容を確認して、対象のクラウドサービスが個人データの取扱いの委託に該当するかどうかを判断する必要があります。

2.委託先に対する適切な監督

 2点目はクラウドサービスが個人データの取扱いの委託に該当する場合、利用者である個人情報取扱事業者は、委託先に対して適切な監督を実施する必要があるということです。特に留意する点としてPPCは以下の3点を挙げています。

  • サービスの機能やサポート体制だけでなく、サービスに付随するセキュリティ対策についても十分理解し、確認した上で、クラウドサービス提供事業者およびサービスを選択する
  • 個人データの取扱いに関する必要かつ適切な安全管理措置(個人データの取扱いに関する役割や責任の分担を含む)として合意した内容を、規約や契約などでできるだけ客観的に明確化する
  • 利用しているサービスにおいて、セキュリティ対策を含めた安全管理措置の状況などをクラウドサービス提供事業者から定期的に報告を受けるなどして確認する

 これらを踏まえて、個人データの取扱いが発生するSaaSを評価する上で重要なポイントについて解説します。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.