調達・購買管理システム!クラウド時代の選定方法と情報セキュリティ
近年では、業務系のシステムにおいてもクラウドサービス「SaaS」(Software as a Service)が提供されてきています。多くの企業が調達・購買システムにおいてもクラウドサービスを採用して、業務の効率化、支出の最適化、内部統制強化に利用しています。クラウドサービス「SaaS」を利用する際に、注意すべきポイントとして個人情報や機密情報の漏えいがあります。個人情報や機密情報が漏えいしないためにも、情報セキュリティ対策が重要です。
クラウドサービス「SaaS」に自社の情報を預けるには、事前に利用するクラウドサービスが、安全であるかを確認する必要があります。この記事では、クラウドサービスを利用する上でのセキュリティ対策について解説します。
個人情報とは
最初に、「個人情報」の定義について説明をします。個人情報保護法では、個人情報について以下のように定義しています。
『生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができることとなるものを含む。)、または個人識別符号が含まれるもの。』
この定義において、重要なポイントは次の2点です。
・個人に関する情報であること
・特定の個人を識別できること
すなわち、生きている人の個人に関する情報のうち、特定の個人を識別できる情報は「個人情報」になります。
個人情報の範囲
個人情報は氏名や生年月日のほか、それらによって特定の個人を識別できる情報を指します。例えば、住所・電話番号・メールアドレスなどの連絡先や会社での役職など、が個人情報に当てはまります。
名字や名前のどちらかでは個人の特定はできません。しかし名字に、住所・電話番号・メールアドレスや会社での役職などが加わると、個人が特定できてしまいます。そのため、これらの情報が個人情報になるのです。
日本に居住する外国人の情報も個人情報になります。しかし、法人の情報は個人情報には当てはまりません。ただし、法人の役員の氏名などは個人情報になります。
ほかにも、指紋データや運転免許証番号、パスポート番号、マイナンバーなども個人情報に当てはまります。これらは個人識別符号と呼び、法律や政令、規則で定めるものです。
個人データ
個人情報と個人データは、混同しやすいイメージがあります。個人データは、個人情報保護法第16条第3項にて以下のように定義されています。
個人情報保護法第16条第3項
「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
個人情報データベース等とは、特定の個人情報を検索できるように構成したデータベースです。紙媒体・電子データを問わず、個人情報を整理・分類して検索しやすいように構成してあれば、個人情報データベース等に該当します。
個人情報の取り扱い
事業者は個人情報の取り扱いに関して、一定事項を守らなくてはいけません。以下が主な個人情報の取り扱いルールです。
1. 個人情報の収集目的を本人に伝える
2. 個人情報は安全に管理をする
3. 第三者に個人情報を渡す際には、本人の同意が必要
4. 個人情報の本人からの開示請求には応じる
これらのルールを、個人情報保護法により事業者は守らなくてはいけません。
クラウドサービスにおける個人情報の取り扱い
自社でクラウドサービス「SaaS」を導入の際に、顧客の個人情報を取り扱っている場合には、クラウドサービスにおける個人情報の取り扱いに注意をする必要があります。ここでは、クラウドサービス「SaaS」における個人情報の取り扱いについて説明します。
個人データの提供に該当するか、しないか
クラウドサービス「SaaS」を導入しようとする利用者が、個人情報取扱事業者に当てはまる場合、個人情報保護法の規制を受ける可能性があります。これは利用者がクラウドを通じて個人情報を取り扱うか、取り扱わないかで変わります。またクラウドサービス「SaaS」の事業者が国内の事業者か、国外の事業者であるかは変わりません。
クラウドサービス「SaaS」では、利用者の保有するデータはクラウドサービス事業者のサーバーに保管されます。クラウドサービス事業者のサーバーに、個人情報を保管することが、個人情報保護法の情報の提供に該当するか、しないかがポイントになります。
調達・購買業務において、個人情報の提供に該当するケースは多くないと想定されますが、留意は必要です。
個人データの「提供」に該当しないケース
クラウドサービス「SaaS」の事業者が「個人データを取り扱わない」と決まっている場合は、利用者が個人情報取扱事業者であっても個人データを「提供」することにはなりません。そのため、本人の同意を得る必要はありません。
「個人データを取り扱わない」と契約条項で決めているため、クラウドサービス「SaaS」の事業者はアクセス制御などで、データ管理を適切に行う義務があります。
個人データを国内のクラウドサービス事業者に提供するケース
個人データを国内のクラウドサービス「SaaS」に提供するケースでも、本人の同意を得ずにクラウドサービス「SaaS」を利用できるケースもあります。データ入力などの情報処理を委託し、個人情報取扱事業者の利用目的の達成に必要であれば利用できます(個人情報保護法第23条5項1号)。
すなわち、個人データの情報処理を行う国内のクラウドサービス「SaaS」に、個人データを送るケースでは個人データの委託にならず、本人の同意は必要ありません。
個人データを国外のクラウドサービス事業者に提供するケース
個人データを国外のクラウドサービス「SaaS」に提供するケースでは、国内のクラウドサービス「SaaS」の事例とは異なります。国外のクラウドサービスは、個人データを委託する際の本人同意を不要とする例外規定が存在しません。そのため、本人の同意が必要になります(個人情報保護法第24条・令和2年改正)。
個人情報保護法第24条では、「外国」および「第三者」から除外されているものがあります。すなわち「外国」から除外されている国や「第三者」から除外されているクラウドサービスを利用する場合、個人データの提供において本人の同意が不要になります。
「外国」から除外されている国
ここでは、除外されている国について紹介します。
個人情報保護法第24条
個人の権利利益を保護する上で我が国と同等の水準にあると認められる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定めるもの
除外されている国
アイスランド、アイルランド、イタリア、英国、エストニア、オーストリア、オランダ、キプロス、ギリシャ、クロアチア、スウェーデン、スペイン、スロバキア、スロベニア、チェコ、デンマーク、ドイツ、ノルウェー、ハンガリー、フィンランド、フランス、ブルガリア、ベルギー、ポーランド、ポルトガル、マルタ、ラトビア、リトアニア、リヒテンシュタイン、ルーマニア及びルクセンブルク(平成三十一年一月二十三日時点における欧州経済領域協定に規定)
「第三者」から除外されているもの
ここでは、除外されている「第三者」について紹介します。
個人情報保護法第24条
個人データの取扱いについてこの節の規定により個人情報取扱事業者が講ずべきこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情報保護委員会規則で定める基準に適合する体制を整備している者
規則、告示
1. 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第四章第一節の規定の趣旨に沿った措置の実施が確保されていること(施行規則11条の2第1項)
2. 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること(施行規則11条の2第2項)
「第三者」から除外されるには、上述の「適切かつ合理的な方法」が重要な要素です。ここでの「適切かつ合理的な方法」は、以下のようになります。
・国外のクラウドサービスに、個人データを提供する場合
提供元および提供先間の契約、確認書、覚書など
・同一の企業グループ内に、個人データを提供する場合
提供元および提供先に共通して適用される内規、プライバシーポリシーなど
安全なクラウドサービスの選び方
クラウドサービス「SaaS」を導入するにあたって、どのようにして安全性の高いクラウドサービス「SaaS」を選べばよいのでしょうか。ここでは、クラウドサービス「SaaS」を選ぶ際にチェックすべき項目を説明します。
サポート体制が充実しているか
クラウドサービス「SaaS」を選ぶときには、サポート体制が充実しているかチェックすべきです。クラウドサービス「SaaS」を導入する前にサポートに相談が可能なのか、トラブル時にすぐに対応可能か、機能要望を受け付けてくれるかなどがあります。サポート体制が充実していれば、利用者が初心者でも安心して導入ができます。
データ容量
クラウドサービス「SaaS」を選ぶ際に、クラウドサービス「SaaS」のデータ容量は必ずチェックしましょう。また利用者の業務内容によって、使うデータ容量は異なります。どれだけのデータ容量が必要であるかも確認すべき項目です。将来的に使うデータ容量が増えることも考慮して、データ容量を追加できるクラウドサービスがおすすめです。調達時の見積依頼(RFQ)については、取引先(サプライヤー)に提出するための図面、設計書、各種資料などデータ容量が多く必要になることが想定されます。
クラウドサービスの機能
機能はクラウドサービス「SaaS」によって異なります。自社の業務内容に合った機能がある、クラウドサービスを選びましょう。リモートワークに対応した、場所やデバイスに制限がないクラウドサービスや、パソコンやスマホどちらからもアクセスできるクラウドサービスなど、便利な機能があります。またアクセス権限の設定や外部サービスとの連携などがあると、セキュリティ対策や業務の効率化ができます。
セキュリティ対策
クラウドサービスは個人情報や機密情報をインターネット上に預けるため、強固なセキュリティ対策がされているか確認をする必要があります。セキュリティ対策には、暗号化通信やIPアドレス制限、端末認証などさまざまな方法があります。セキュリティ対策が十分でないクラウドサービスを選んでしまうと、不正アクセスや情報漏えいなど、重大な問題に遭うリスクが大きくなります。
クラウドサービス「SaaS」には、クラウドサービス「SaaS」に特化したセキュリティ基準があります。これらのセキュリティ基準に対応しているかチェックするといいでしょう。
クラウドサービスに特化したセキュリティ基準は、以下のものが一般的に知られています。
・ISMSクラウドセキュリティ認証(ISO27001/ISO27017)
・CSマーク
・CSA STAR認証(CSA Security)
・StarAudit Certification
・FedRAMP
・SOC2,SOC2+
一例として、クラウドサービスのセキュリティ基準で代表的なISMSクラウドセキュリティ認証(ISO27001/ISO27017)を紹介します。
ISMSクラウドセキュリティ認証(ISO27001/ISO27017)は、ISO/IEC 27017:2015は、ISOより発行されたクラウドセキュリティに関する国際規格です。認証取得する際は、前提としてISO/IEC 27001の認証取得が必要があります。対象は全世界で、ISO27001を補完するクラウド固有の情報セキュリティ管理策を認証します。
Pマークを取得している
クラウドサービス「SaaS」を選ぶ際には、クラウドサービスがPマークを取得しているかをチェックするとよいでしょう。Pマークは、プライバシーマーク制度の略です。プライバシーマーク制度は、個人情報を扱う事業者が個人情報を適切に管理・運用していることを、消費者にロゴマーク(Pマーク)を用いてアピールする制度です。
利用者がPマークを取得している事業者であるならば、クラウドサービス側にもPマーク制度に合った個人情報の管理・運用を求める必要があります。クラウドサービスがPマークを取得していれば、個人情報の取り扱いが適切に行われている証明になります。
まとめ
この記事では、クラウドサービス「SaaS」における個人情報のセキュリティ対策について解説しました。クラウドサービスでは、個人情報の扱いが国内・国外で異なります。安全性の高いクラウドサービス「SaaS」を選ぶことで、個人情報や機密情報のデータを安心して預けることができます。
クラウドサービス「SaaS」を選ぶ際には、この記事安全性が高く情報漏えいリスクに対応しています。
