Notta

SaaSのセキュリティ|利用者の責任範囲とISMAP・個情法の要点【公的資料準拠】

お役立ち記事

Share

Notta

Check!

  • SaaSのセキュリティは事業者と利用者の責任共有モデルで成立する
  • ISMAP登録は政府調達基準・民間は参照(必須ではない)
  • 個情委は2024年に注意喚起を公表(委託先監督の義務に注意)

「導入を検討しているSaaSは安全か」「個人情報を扱うが、これは『委託』に該当するのか」──SaaSのセキュリティ判断は、事業規模や業種を問わず実務担当者を悩ませる論点です。個人情報保護委員会も2024年3月以降、クラウドサービス提供事業者およびその利用者への注意喚起を相次いで公表しており、利用者側に残る責任範囲の理解は急務となっています。本記事では、IPA(独立行政法人情報処理推進機構)、総務省、個人情報保護委員会、ISMAP(政府情報システムのためのセキュリティ評価制度)の公的資料に基づき、SaaSの利用者責任、ISMAP制度の位置づけ、個人情報保護法上の留意点、導入前に確認すべきチェック観点を、規模ニュートラルに整理します。

💡 SaaSを導入する前に——自社の業務課題を整理していますか?

この記事を読んでいる方の多くは、業務効率化やSaaS導入に取り組む法人担当者です。SaaSの概念を理解する前に、「自社のどの業務課題を解決したいか」を整理しておくと、SaaS導入の判断が格段に精度が上がります。

SaaS導入に取り組む企業が同時に見直すことが多い業務課題を、以下にまとめました。自社の状況と照らし合わせながら、この記事を読み進めてください。

⚠️ 成長フェーズで急に限界が来る業務チェックリスト

「今はExcelで回っている」という感覚のまま成長を続けると、ある時点で業務が突然破綻します。以下に当てはまる項目があれば、SaaS導入と並行して見直しを検討してください。

おすすめ記事

目次

開く

閉じる
  1. SaaS利用時のセキュリティリスクと利用者の責任範囲
  2. ISMAP(政府情報システムのためのセキュリティ評価制度)とは
  3. SaaSと個人情報保護(委託先管理・データ保護)
  4. 導入前のセキュリティチェック観点
  5. よくある質問(FAQ)
  6. まとめ|今日からできる3つのこと
  7. 関連記事
  8. 参考文献

SaaS利用時のセキュリティリスクと利用者の責任範囲

SaaSのセキュリティは、提供事業者だけが守るものではありません。独立行政法人IPAは「中小企業のためのクラウドサービス安全利用の手引き」で、クラウドサービスのセキュリティは「サービス事業者と利用者が、役割・責任を分担」する考え方であると説明しています。これは一般に「責任共有モデル」と呼ばれ、SaaSにおいては、データセンター・ネットワーク・サーバー・OS・アプリケーション本体までを事業者が担い、ID/パスワード管理、アクセス権限の設定、保存するデータの取扱いポリシー、利用者教育などは利用者の責任とされます。

SaaSの責任共有モデル SaaSの責任は事業者と利用者で分担される 事業者が担う領域 ・ データセンター物理セキュリティ ・ ネットワーク・通信経路 ・ サーバー・ストレージ ・ OS・ミドルウェア ・ アプリケーション本体の保守 ・ サービス基盤の脆弱性対応 → 契約・SLAで明示される 利用者が担う領域 ・ ID/パスワードの管理 ・ アクセス権限の設計・付与・剥奪 ・ アプリケーションの設定値 ・ 取扱うデータの選定と保護 ・ 利用者教育・運用ルール ・ シャドーIT・退職時の権限管理 → 組織内ガバナンスで担保する 公的に「責任共有モデル」と呼ばれる考え方
図1:SaaSのセキュリティ責任は事業者と利用者で分担される(IPA「中小企業のためのクラウドサービス安全利用の手引き」をもとに編集部作成)

利用者側に残るリスクとして、IPAの「クラウドセキュリティ〜設定ミスとの付き合い方〜」では、利用者側の設定ミスがクラウドサービスにおける重大インシデントの主因のひとつであることが指摘されています。具体的には、公開範囲の誤設定、認証情報の管理不備、退職者のアカウント残置、外部連携アプリケーションの過剰な権限付与などが該当します。また、IPAの「クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査」では、SaaS自体を取り巻く委託先・連携先まで含めたサプライチェーンリスクへの目配りが必要であると整理されています。

事業規模ごとの重点は次のように整理できます。個人事業主・フリーランスでは、強固なパスワード設定と多要素認証の有効化、業務データと私的データの分離が最低限の取り組みになります。中小企業では、複数SaaSのID統合(シングルサインオン)の検討と、入退社・異動時の権限見直しフローの定型化が課題になります。中堅・大企業では、シャドーIT対策、監査ログの収集と保管、グローバルでのデータ所在管理など、全社ガバナンスの仕組み化が求められます。SaaSの基礎についてはSaaSとは|公的資料準拠の基礎ガイドで整理しているため、あわせて参照してください。

ISMAP(政府情報システムのためのセキュリティ評価制度)とは

📋 SaaS導入の前に潰しておきたいボトルネック

SaaS導入企業が「先に整理しておくべきだった」と口を揃える業務課題です。成長フェーズで突然破綻するリスクがある領域を確認してください。

ISMAP(イスマップ:Information system Security Management and Assessment Program)は、政府が求めるセキュリティ要求を満たしているクラウドサービスをあらかじめ評価・登録することで、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、円滑な導入を促す制度です。2020年1月30日のサイバーセキュリティ戦略本部決定に基づき、内閣官房(内閣サイバーセキュリティセンター)、デジタル庁、総務省、経済産業省が共同で運営し、独立行政法人IPAが運用支援を担っています。「ISMAP等クラウドサービスリスト」は2021年3月に初回登録・公開され、ISMAPポータルサイトで公表されています。

ISMAPの評価プロセス ISMAPの3ステップ評価プロセス 1 ISMAP管理基準 国際標準等に基づく セキュリティ要求基準 2 第三者監査 ISMAP登録監査機関が 基準への適合を監査 3 リスト登録 ISMAP等クラウド サービスリストに掲載 政府機関は原則ISMAP等クラウドサービスリストから調達を行う
図2:ISMAPの評価プロセス(ISMAPポータル「制度案内」をもとに編集部作成)

政府機関等がクラウドサービスを調達する際には、原則として「ISMAP等クラウドサービスリスト」に掲載されたサービスから調達することとされています。一方で、ISMAPポータルでは「公開されるリスト等を民間等においても参照することで、クラウドサービスの適切な活用が推進されることが期待される」とも記されており、民間企業がSaaSの公的な信頼性指標として参照することが想定されています。

ただし、ISMAP登録の有無だけでセキュリティ判断のすべてを置き換えるものではない点には注意が必要です。ISMAPは事業者側の管理体制と基盤のセキュリティを評価する制度であり、責任共有モデルにおける利用者側の責任(ID管理・設定・教育など)はカバーされません。また、業界別の規制(医療・金融など)や、個人情報保護法上の委託先監督義務は、ISMAP登録の有無に関係なく利用者側に残ります。

SaaSと個人情報保護(委託先管理・データ保護)

SaaSで顧客や従業員の個人データを取り扱う場合、個人情報保護法上の論点として「クラウド事業者は委託先に当たるか」が常に問われます。個人情報保護委員会のガイドライン(通則編)「Q&A 7-53」には、いわゆる「クラウド例外」が示されています。クラウドサービス事業者が個人データを取り扱わないこととなっており、かつ取り扱わないための適切なアクセス制御等の措置が講じられている場合は、委託にも第三者提供にも該当しないとする解釈です。

もっとも、個人情報保護委員会は2024年3月25日に、人事労務管理等のクラウドサービスを提供する事業者に対して行政指導を行い、「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点」について注意喚起を公表しました。さらに同年12月17日には、人事労務管理のためのサービスをクラウド環境で開発・提供する場合、および利用する場合の留意点として、追加の注意喚起が出されています。これらは「実態としてクラウド事業者が個人データを取り扱っていると判断されれば、クラウド例外は適用されない」可能性を改めて示したものといえます。

委託に該当する場合、委託元(利用者)は個人情報保護法第25条に基づき「委託先の監督」義務を負います。個人情報保護委員会のガイドライン3-4-4では、委託元が必要かつ適切な措置として、次の3点を講じることが求められます。

  • 適切な委託先の選定(事業者の情報セキュリティ方針や認証・認定の取得状況を確認)
  • 委託契約の締結(安全管理措置、再委託の条件、漏えい等発生時の通知・報告等の明示)
  • 委託先における個人データ取扱い状況の把握(チェックシート等を用いた継続的な確認)

これらは事業規模を問わず適用される義務です。個人事業主であっても、顧客の連絡先や取引履歴をSaaSで管理する以上、利用規約や安全管理措置の確認は欠かせません。中小・中堅大企業では、利用規約に必要な条項が盛り込まれているかの精査、不足する場合の覚書・データ処理契約の締結、定期的な取扱い状況の把握が求められます。

導入前のセキュリティチェック観点

📎 SaaS導入企業が同時に見直していること

SaaS導入を検討する企業の多くは、SaaS活用と並行して以下の業務課題にも着手しています。

⚖️ 法務・コンプライアンス

反社チェックの自動化

取引先・採用候補者の反社確認を手作業でやっている

👥 人材・採用

採用管理の仕組み化

採用管理をExcelで行い、拡大フェーズで限界を感じている

💼 バックオフィス

労務業務の外部委託

給与計算・労務手続きを担当者1名に依存している

SaaS導入前のセキュリティ確認は、4つの観点に分けて整理すると抜け漏れを防ぎやすくなります。総務省の「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)第3版」とIPAの「クラウドサービス安全利用チェックシート」を組み合わせると、利用者側で確認すべき観点を体系化できます。

SaaS導入前セキュリティチェックの4観点 SaaS導入前に確認すべき4観点 ① 認証・認定の確認 ・ ISMAP登録の有無(政府調達基準) ・ ISO/IEC 27001(情報セキュリティ) ・ CSマーク(クラウドサービス監査) ・ プライバシーマーク ② 契約・利用規約の確認 ・ 責任範囲・SLAの明示 ・ 安全管理措置の記載 ・ 再委託の条件 ・ 漏えい等発生時の通知・報告 ③ 運用・インシデント対応 ・ ログ取得・保管期間 ・ 脆弱性対応プロセスの開示 ・ サポート窓口・対応時間 ・ 利用者側の運用ルール整備 ④ データ・サーバーの所在 ・ データの保管国・準拠法 ・ 暗号化(通信・保管) ・ バックアップ・復旧手順 ・ 退会時のデータ取扱い
図3:SaaS導入前に確認すべき4観点(総務省「ASP・SaaSの安全・信頼性に係る情報開示指針」とIPA「クラウドサービス安全利用チェックシート」をもとに編集部作成)

規模別の重点も意識しておくと、限られた人員でも実効性を確保しやすくなります。個人事業主では「認証取得の有無」と「責任範囲」「データ所在」の3点を中心に、利用規約の該当条項を確認します。中小企業ではこれらに加えて、退職時のアカウント・権限管理プロセスの整備と、利用者向けの簡易な運用ルール(パスワード方針、外部共有の可否など)の文書化が課題となります。中堅・大企業では、調達基準としてISMAP登録や同等の認証を要件化し、監査ログの収集と全社的なシャドーIT対策、グローバルなデータ所在管理を組み込みます。AI機能を組み込んだSaaSを検討する場合は、入力データの再学習可否や履歴の保持についても確認が必要です。業務へのAI導入の論点はAIチャットボットの業務導入ガイドでも整理しています。

よくある質問(FAQ)

Q. ISMAP登録のないSaaSは使ってはいけないのですか?

A. ISMAPは政府機関の調達基準として原則必須とされる制度ですが、民間企業の利用において必須化されているものではありません。ISMAPポータルでも、民間が参照することで適切な活用が推進されることが期待される、という位置づけです。ISO/IEC 27001、CSマーク、プライバシーマーク等の他の認証・認定の取得状況や、責任共有モデルにおける利用者側の体制とあわせて総合的に判断します。

Q. SaaSの利用は必ず「個人情報の委託」に該当しますか?

A. 個人情報保護委員会のガイドライン(通則編)「Q&A 7-53」では、クラウドサービス事業者が個人データを取り扱わないこととなっている場合は、委託にも第三者提供にも該当しないとされています(クラウド例外)。ただし、実態としてクラウド事業者が個人データを取り扱っていると判断される場合は委託に該当することがあり、2024年の注意喚起でもこの点が改めて示されました。サービスの実態と契約条項の双方で判断する必要があります。

Q. 「絶対安全」と説明する事業者は信頼できますか?

A. SaaSのセキュリティは事業者と利用者の責任共有モデルで成り立つため、事業者単独で「絶対安全」を保証できるものではありません。IPAの「クラウドセキュリティ〜設定ミスとの付き合い方〜」でも、利用者側の設定ミスが重大インシデントの主因のひとつであることが指摘されています。「絶対」「100%」といった表現で説明する事業者よりも、責任分界・脆弱性対応・インシデント時の通知体制を具体的に開示する事業者を選ぶ視点が重要です。

Q. 脆弱性診断やWAFは利用者側で用意すべきですか?

A. SaaSのアプリケーション本体に対する脆弱性診断とWAFは、責任共有モデル上、原則として事業者側の領域です。利用者側で別途用意するものではなく、事業者が実施している脆弱性対応プロセスや、WAF等の防御機構の開示状況を確認する立場になります。一方、利用者が独自に構築する連携アプリケーションや、PaaS/IaaSの上に構築するシステムについては、利用者側に脆弱性対応の責任が残る場合があります。

まとめ|今日からできる3つのこと

SaaSを学んでいる企業が同時に取り組んでいること

「SaaSとは何か」を理解した次のステップとして、実際にSaaSを活用している企業が同時に進めている取り組みをご紹介します。

⚖️ 法務・コンプライアンスリスク

反社チェックツールとは?メリット・デメリット、選び方も解説

取引先・採用候補者の反社確認を手作業でやっている——SaaS導入で取引先・採用が増えるほどリスクが高まります。

👥 採用・人材管理

採用管理システムとは?機能やメリット・デメリット、選び方を解説

採用管理をExcelで行い、拡大フェーズで限界を感じている——採用拡大フェーズに備えて早めの仕組み化を。

💼 バックオフィス効率化

人事労務代行とは?外注できる業務や利用メリット、選び方も解説

給与計算・労務手続きを担当者1名に依存している——担当者1名依存の体制は成長とともに限界を迎えます。

⚠️ SaaS導入と並行して放置すると危険な業務——実際にあった失敗ケース

SaaS導入を進めながら、以下の業務課題を後回しにしたために発生した問題です。

🏢 社員規模別・SaaS導入と同時に見直す業務課題

会社の規模によって「先に解決すべき業務課題」は異なります。

〜30名規模

経営者・担当者が兼務するフェーズ。まずバックオフィスの属人化解消が優先。

オンラインアシスタントとは?メリット・デメリット、選び方を解説

100名以上

取引先・外部連携が増えるフェーズ。法務・コンプライアンス体制が必要。

反社チェックツールとは?メリット・デメリット、選び方も解説

SaaSのセキュリティは、事業者の認証取得や評価制度の登録だけで完結するものではなく、利用者側にも明確な責任範囲が残ります。導入前に次の3点を整理することから始められます。

  1. 利用しているSaaSの責任共有モデルを確認し、自社の責任範囲を文書化する
  2. 取り扱う個人データの量と性質に応じて、利用規約と安全管理措置の条項を見直す
  3. 導入前チェックを4観点(認証・契約・運用・データ)で定型化し、調達時に運用する

SaaS全般の基礎についてはSaaSとは|公的資料準拠の基礎ガイドもあわせて参照してください。

関連記事

参考文献

  • 独立行政法人IPA セキュリティセンター「中小企業のためのクラウドサービス安全利用の手引き」https://www.ipa.go.jp/security/guide/sme/about.html(2026年5月30日取得)
  • 独立行政法人IPA「クラウドサービス(SaaS)のサプライチェーンリスクマネジメント実態調査」https://www.ipa.go.jp/security/reports/economics/scrm/cloud2022.html(2026年5月30日取得)
  • 政府情報システムのためのセキュリティ評価制度(ISMAP)ポータルサイトhttps://www.ismap.go.jp/(2026年5月30日取得)
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」「クラウドサービス提供事業者が個人情報保護法上の個人情報取扱事業者に該当する場合の留意点(注意喚起)」https://www.ppc.go.jp/(2026年5月30日取得)
  • 総務省「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)第3版」「クラウドサービス提供・利用における適切な設定に関するガイドライン」https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00149.html(2026年5月30日取得)

この記事に興味を持った方におすすめ

あなたへのおすすめ記事

同じカテゴリの記事を探す

同じタグの記事を探す

同じタグの記事はありません

掲載希望の方はこちら
top