23IPA基本診断項目

外部サービスの安全性・信頼性を確認して選定する

クラウドサービスやSaaSは便利ですが、信頼性・セキュリティを確認せずに導入すると、業務データを不適切に管理するサービスに預けてしまうリスクがあります。

⚠️ なぜ必要なのか?

クラウドサービスの事業者が突然サービスを終了したり、セキュリティ事故を起こしたりした場合、預けていたデータが消失・漏洩するリスクがあります。個人情報を扱うサービスを選定する際は特に、サービス事業者のセキュリティ体制の確認が重要です。

何をすれば良いのか?

  1. 1新しいサービスを導入する前にセキュリティポリシー・プライバシーポリシーを確認する
  2. 2ISO27001やSOC2等のセキュリティ認証を取得しているか確認する
  3. 3データの保存場所(国内・海外)を確認する
  4. 4サービス終了時のデータエクスポート方法を確認する
  5. 5利用するサービスの一覧を作成・管理する
  6. 6シャドーIT(未承認のサービス利用)の禁止を明文化する

🏁 どうなったら完了?

  • 外部サービス選定時の確認項目が定まっている
  • 現在利用中のサービス一覧が管理されている
  • シャドーITの禁止が周知されている

📋 運用で対応する場合のポイント

現在利用している全クラウドサービスの一覧をスプレッドシートで管理することから始めましょう。サービス名・利用部門・保存データの種類・契約状況を記録しておくことで、リスクの全体像が見えます。