SaaSに預けた重要データ、安全に取扱いされているかはどうチェックすればいい?:そのSaaS本当に安全ですか?(2/2 ページ)
安全なSaaSかどうかをチェックする4つのポイント
個人データの取扱いが発生するSaaSを評価する上で重要なポイントを4点解説します。
1.個人データの利用目的は明確かどうか
1点目は個人データの利用目的です。SaaSにおける個人データの利用目的は、利用規約やプライバシーポリシーに記載されています。多くのサービスではサービスの運営・管理維持やバックアップ、企業からの問い合わせに向けて個人データを利用します。この他、SaaSで多い理由としては「個人が識別・特定できないように加工した統計情報作成のため」「サービスの改善や新規サービスの開発・提供に必要なデータの解析または分析」「市場および顧客動向の調査」などがあります。
そのため、まずはSaaSにおける個人データの利用目的を、利用規約やプライバシーポリシーから確認しましょう。利用規約などに個人データの利用目的の記載が無い場合は、事業者に問い合わせましょう。問い合わせに回答しなかったり、具体的なデータの取扱い目的の回答がなかったりする際は利用しないことをお勧めします。
注意してほしいのは、SaaS選定時のセキュリティチェックで「預託データにはアクセスしない」と回答していても、利用目的に統計情報の作成と記載がある場合は、実際には預託した個人データにアクセスされ、不適切な取り扱いや情報流出につながる恐れがあるという点です。サービス提供に必要な範囲外で個人データにアクセスされたくない場合、事業者と交渉するか、そもそもサービスを利用しないようにしましょう。
しかし多くのSaaSはより良いサービスを提供するために、「統計情報の作成」を実施しているので、これを禁じてしまうとサービスが改善されない可能性があるという点も覚えておくといいでしょう。
どちらにせよ、個人データの具体的な内容や重要度などに合わせて、事業者のデータ取扱いについて許容する範囲を策定し、利用可否を判断しましょう。
2.生成AIをどう利用しているか
2点目はSaaSが生成AIを利用しているケースです。読者の中には「ChatGPT」をはじめとした生成AIサービスを利用するとき、入力データが生成AIの学習に利用されないことや海外へのデータ保管について確認している方も多いかもしれません。しかしSaaSが生成AIを利用している場合、どの生成AIを利用しているか、入力データが学習に使われていないかどうかなどを確認している方はどのくらいいるでしょうか。
利用している生成AIのセキュリティやプライバシー保護について利用規約や個別に説明ページを用意している“良心的なSaaS”もありますが、これを全く記載していないものもあります。
PPCは2023年6月2日、生成AIサービス利用に関する注意喚起を発表し、生成AIサービスを提供する事業者の利用規約やプライバシーポリシーなどを十分に確認することを留意点に挙げています。また、総務省と経済産業省は2024年4月、AI事業者ガイドラインを公表し、AIガバナンスの構築が重要であるとしています。
この他、SaaSが日本のデータセンターで運用されている場合でも、連携する生成AIサービスは海外で稼働しているケースがあります。
これらを踏まえて、生成AIを利用しているSaaSに利用規約やプライバシーポリシーが記載されているかどうか、AIガバナンスについての方針を明らかにしているかどうかを確認しましょう。もし記載がない場合はSaaS事業者に問い合わせてみてください。1点目と同様にこれに回答しなかったり、明確な回答がなかったりするときは利用しないことを推奨します。
3.適切な安全管理措置が講じられているかどうか
3点目は適切な安全管理措置が講じられているかどうかです。セキュリティチェックにおいてSaaS事業者が「預託データにアクセスしない」と回答していても、適切な安全管理措置が講じられていなければ、預託データにアクセスされていないと判断するのは困難です。
例えば預託データにアクセスできる権限を従業員に付与していない一方で、預託データのアクセスについてモニタリングしていない場合、適切な対策ができていると言えるでしょうか。
モニタリングを実施していない場合、外部からの不正アクセスや内部不正によって、預託データにアクセスされていたとしても気付けないため、適切な対策ができているとは言えません。
SaaSの選定前には、事業者が「組織」「人」「物理」「技術」などの領域でセキュリティ対策が網羅的に実行されていることを確認しましょう。
4.定期評価を実施しよう
4点目は定期評価を実施することです。SaaSは短期間のうちに、新たな機能をリリースしたり、新たなサービスと連携したりするため、それに合わせて利用規約も改訂されます。利用部門には利用規約変更の通知が来ますが、ITやセキュリティ部門などの管理部門は利用部門から連絡がないと把握できません。
また、SaaS選定時に確認したセキュリティ対策が継続されていることやトレンドに合わせたセキュリティ対策が講じられているかどうかを確認する必要があります。そのため、利用規約やセキュリティ対策の状況を確認するために定期的な評価は欠かせません。
次回はOSINTだけでは分からないSaaSのセキュリティ評価のポイントを解説します。
関連記事
SaaSベンダーはどこまでランサムウェア対策をしているのか? 実態調査から見えたちょっと心配な現状
導入しているSaaSはランサムウェア対策をきちんと施しているでしょうか。実態調査からSaaSのセキュリティ対策状況を明らかにします。
SaaSのセキュリティ対策ってどうやるの? まずは周辺のリスクを整理しよう
SaaS事業者がサイバー攻撃の被害を受けてサービスを停止したり、ヒューマンエラーなどによって個人情報が漏えいしたりといったセキュリティ事案が発生している。安心、安全なSaaSを見極めてセキュリティ性を適切に評価するポイントを探ります。
なぜ日本だけサードパーティー侵害が突出するのか? その背景にある根深い慣習
ランサムウェア激化に伴い、関連会社を含めたサプライチェーンのセキュリティ確保は急務となっている。しかし日本企業にはこれを阻む幾つかのハードルがある。それは一体何か。
ランサムウェア渦中の「ニコニコ」に学ぶ“適切な広報対応”の重要性
「ニコニコ」関連のサービスで発生したランサムウェア被害が非常に大きな話題を集めています。今回は渦中のニコニコが出した12分の動画から“重すぎる現状”をまとめるとともに、インシデント中の広報対応の重要性を学びます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- Microsoft 365の値上げが訴訟 Copilotの抱き合わせ販売問題が再燃
ITmediaはアイティメディア株式会社の登録商標です。