SaaSのセキュリティ｜利用者の責任範囲とISMAP・個情法の要点【公的資料準拠】

「導入を検討しているSaaSは安全か」「個人情報を扱うが、これは『委託』に該当するのか」──SaaSのセキュリティ判断は、事業規模や業種を問わず実務担当者を悩ませる論点です。個人情報保護委員会も2024年3月以降、クラウドサービス提供事業者およびその利用者への注意喚起を相次いで公表しており、利用者側に残る責任範囲の理解は急務となっています。本記事では、IPA（独立行政法人情報処理推進機構）、総務省、個人情報保護委員会、ISMAP（政府情報システムのためのセキュリティ評価制度）の公的資料に基づき、SaaSの利用者責任、ISMAP制度の位置づけ、個人情報保護法上の留意点、導入前に確認すべきチェック観点を、規模ニュートラルに整理します。

目次

開く

閉じる

1. SaaS利用時のセキュリティリスクと利用者の責任範囲
2. ISMAP（政府情報システムのためのセキュリティ評価制度）とは
3. SaaSと個人情報保護（委託先管理・データ保護）
4. 導入前のセキュリティチェック観点
5. よくある質問（FAQ）
6. まとめ｜今日からできる3つのこと
7. 関連記事
8. 参考文献

SaaS利用時のセキュリティリスクと利用者の責任範囲

SaaSのセキュリティは、提供事業者だけが守るものではありません。独立行政法人IPAは「中小企業のためのクラウドサービス安全利用の手引き」で、クラウドサービスのセキュリティは「サービス事業者と利用者が、役割・責任を分担」する考え方であると説明しています。これは一般に「責任共有モデル」と呼ばれ、SaaSにおいては、データセンター・ネットワーク・サーバー・OS・アプリケーション本体までを事業者が担い、ID／パスワード管理、アクセス権限の設定、保存するデータの取扱いポリシー、利用者教育などは利用者の責任とされます。

利用者側に残るリスクとして、IPAの「クラウドセキュリティ〜設定ミスとの付き合い方〜」では、利用者側の設定ミスがクラウドサービスにおける重大インシデントの主因のひとつであることが指摘されています。具体的には、公開範囲の誤設定、認証情報の管理不備、退職者のアカウント残置、外部連携アプリケーションの過剰な権限付与などが該当します。また、IPAの「クラウドサービス（SaaS）のサプライチェーンリスクマネジメント実態調査」では、SaaS自体を取り巻く委託先・連携先まで含めたサプライチェーンリスクへの目配りが必要であると整理されています。

事業規模ごとの重点は次のように整理できます。個人事業主・フリーランスでは、強固なパスワード設定と多要素認証の有効化、業務データと私的データの分離が最低限の取り組みになります。中小企業では、複数SaaSのID統合（シングルサインオン）の検討と、入退社・異動時の権限見直しフローの定型化が課題になります。中堅・大企業では、シャドーIT対策、監査ログの収集と保管、グローバルでのデータ所在管理など、全社ガバナンスの仕組み化が求められます。SaaSの基礎についてはSaaSとは｜公的資料準拠の基礎ガイドで整理しているため、あわせて参照してください。

ISMAP（政府情報システムのためのセキュリティ評価制度）とは

ISMAP（イスマップ：Information system Security Management and Assessment Program）は、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、円滑な導入を促す制度です。2020年1月30日のサイバーセキュリティ戦略本部決定に基づき、内閣官房（内閣サイバーセキュリティセンター）、デジタル庁、総務省、経済産業省が共同で運営し、独立行政法人IPAが運用支援を担っています。「ISMAP等クラウドサービスリスト」は2021年3月に初回登録・公開され、ISMAPポータルサイトで公表されています。

政府機関等がクラウドサービスを調達する際には、原則として「ISMAP等クラウドサービスリスト」に掲載されたサービスから調達することとされています。一方で、ISMAPポータルでは「公開されるリスト等を民間等においても参照することで、クラウドサービスの適切な活用が推進されることが期待される」とも記されており、民間企業がSaaSの公的な信頼性指標として参照することが想定されています。

ただし、ISMAP登録の有無だけでセキュリティ判断のすべてを置き換えるものではない点には注意が必要です。ISMAPは事業者側の管理体制と基盤のセキュリティを評価する制度であり、責任共有モデルにおける利用者側の責任（ID管理・設定・教育など）はカバーされません。また、業界別の規制（医療・金融など）や、個人情報保護法上の委託先監督義務は、ISMAP登録の有無に関係なく利用者側に残ります。

SaaSと個人情報保護（委託先管理・データ保護）

SaaSで顧客や従業員の個人データを取り扱う場合、個人情報保護法上の論点として「クラウド事業者は委託先に当たるか」が常に問われます。個人情報保護委員会のガイドライン（通則編）「Q&A 7-53」には、いわゆる「クラウド例外」が示されています。クラウドサービス事業者が個人データを取り扱わないこととなっており、かつ取り扱わないための適切なアクセス制御等の措置が講じられている場合は、委託にも第三者提供にも該当しないとする解釈です。

もっとも、個人情報保護委員会は2024年3月25日に、人事労務管理等のクラウドサービスを提供する事業者に対して行政指導を行い、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点」について注意喚起を公表しました。さらに同年12月17日には、人事労務管理のためのサービスをクラウド環境で開発・提供する場合、および利用する場合の留意点として、追加の注意喚起が出されています。これらは「実態としてクラウド事業者が個人データを取り扱っていると判断されれば、クラウド例外は適用されない」可能性を改めて示したものといえます。

委託に該当する場合、委託元（利用者）は個人情報保護法第25条に基づき「委託先の監督」義務を負います。個人情報保護委員会のガイドライン3-4-4では、委託元が必要かつ適切な措置として、次の3点を講じることが求められます。

• 適切な委託先の選定（事業者の情報セキュリティ方針や認証・認定の取得状況を確認）
• 委託契約の締結（安全管理措置、再委託の条件、漏えい等発生時の通知・報告等の明示）
• 委託先における個人データ取扱い状況の把握（チェックシート等を用いた継続的な確認）

これらは事業規模を問わず適用される義務です。個人事業主であっても、顧客の連絡先や取引履歴をSaaSで管理する以上、利用規約や安全管理措置の確認は欠かせません。中小・中堅大企業では、利用規約に必要な条項が盛り込まれているかの精査、不足する場合の覚書・データ処理契約の締結、定期的な取扱い状況の把握が求められます。

導入前のセキュリティチェック観点

SaaS導入前のセキュリティ確認は、4つの観点に分けて整理すると抜け漏れを防ぎやすくなります。総務省の「ASP・SaaSの安全・信頼性に係る情報開示指針（ASP・SaaS編）第3版」とIPAの「クラウドサービス安全利用チェックシート」を組み合わせると、利用者側で確認すべき観点を体系化できます。

規模別の重点も意識しておくと、限られた人員でも実効性を確保しやすくなります。個人事業主では「認証取得の有無」と「責任範囲」「データ所在」の3点を中心に、利用規約の該当条項を確認します。中小企業ではこれらに加えて、退職時のアカウント・権限管理プロセスの整備と、利用者向けの簡易な運用ルール（パスワード方針、外部共有の可否など）の文書化が課題となります。中堅・大企業では、調達基準としてISMAP登録や同等の認証を要件化し、監査ログの収集と全社的なシャドーIT対策、グローバルなデータ所在管理を組み込みます。AI機能を組み込んだSaaSを検討する場合は、入力データの再学習可否や履歴の保持についても確認が必要です。業務へのAI導入の論点はAIチャットボットの業務導入ガイドでも整理しています。

よくある質問（FAQ）

Q. ISMAP登録のないSaaSは使ってはいけないのですか？

A. ISMAPは政府機関の調達基準として原則必須とされる制度ですが、民間企業の利用において必須化されているものではありません。ISMAPポータルでも、民間が参照することで適切な活用が推進されることが期待される、という位置づけです。ISO/IEC 27001、CSマーク、プライバシーマーク等の他の認証・認定の取得状況や、責任共有モデルにおける利用者側の体制とあわせて総合的に判断します。

Q. SaaSの利用は必ず「個人情報の委託」に該当しますか？

A. 個人情報保護委員会のガイドライン（通則編）「Q&A 7-53」では、クラウドサービス事業者が個人データを取り扱わないこととなっている場合は、委託にも第三者提供にも該当しないとされています（クラウド例外）。ただし、実態としてクラウド事業者が個人データを取り扱っていると判断される場合は委託に該当することがあり、2024年の注意喚起でもこの点が改めて示されました。サービスの実態と契約条項の双方で判断する必要があります。

Q. 「絶対安全」と説明する事業者は信頼できますか？

A. SaaSのセキュリティは事業者と利用者の責任共有モデルで成り立つため、事業者単独で「絶対安全」を保証できるものではありません。IPAの「クラウドセキュリティ〜設定ミスとの付き合い方〜」でも、利用者側の設定ミスが重大インシデントの主因のひとつであることが指摘されています。「絶対」「100%」といった表現で説明する事業者よりも、責任分界・脆弱性対応・インシデント時の通知体制を具体的に開示する事業者を選ぶ視点が重要です。

Q. 脆弱性診断やWAFは利用者側で用意すべきですか？

A. SaaSのアプリケーション本体に対する脆弱性診断とWAFは、責任共有モデル上、原則として事業者側の領域です。利用者側で別途用意するものではなく、事業者が実施している脆弱性対応プロセスや、WAF等の防御機構の開示状況を確認する立場になります。一方、利用者が独自に構築する連携アプリケーションや、PaaS／IaaSの上に構築するシステムについては、利用者側に脆弱性対応の責任が残る場合があります。

まとめ｜今日からできる3つのこと

SaaSのセキュリティは、事業者の認証取得や評価制度の登録だけで完結するものではなく、利用者側にも明確な責任範囲が残ります。導入前に次の3点を整理することから始められます。

1. 利用しているSaaSの責任共有モデルを確認し、自社の責任範囲を文書化する
2. 取り扱う個人データの量と性質に応じて、利用規約と安全管理措置の条項を見直す
3. 導入前チェックを4観点（認証・契約・運用・データ）で定型化し、調達時に運用する

SaaS全般の基礎についてはSaaSとは｜公的資料準拠の基礎ガイドもあわせて参照してください。

関連記事

• SaaSとは｜公的資料準拠の基礎ガイド
• AIチャットボットの業務導入ガイド

参考文献

• 独立行政法人IPA セキュリティセンター「中小企業のためのクラウドサービス安全利用の手引き」https://www.ipa.go.jp/security/guide/sme/about.html（2026年5月30日取得）
• 独立行政法人IPA「クラウドサービス（SaaS）のサプライチェーンリスクマネジメント実態調査」https://www.ipa.go.jp/security/reports/economics/scrm/cloud2022.html（2026年5月30日取得）
• 政府情報システムのためのセキュリティ評価制度（ISMAP）ポータルサイトhttps://www.ismap.go.jp/（2026年5月30日取得）
• 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点（注意喚起）」https://www.ppc.go.jp/（2026年5月30日取得）
• 総務省「ASP・SaaSの安全・信頼性に係る情報開示指針（ASP・SaaS編）第3版」「クラウドサービス提供・利用における適切な設定に関するガイドライン」https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00149.html（2026年5月30日取得）