第121回,第122回と,外部委託先・再委託先に対する管理の観点から経済産業省の個人情報保護ガイドライン改正案を取り上げた。最近,外部委託を前提としたITとして,SaaS(Software as a Service)/ASP(Application Service Provider)が注目を集めている。今回はこれらのサービスと個人情報保護対策の関係について考えてみたい。
個人情報保護法が牽引してきた日本のSaaS/ASP市場
2007年12月19日,総務省の「ASP・SaaSの情報セキュリティ対策に関する研究会」は,「ASP・SaaSの情報セキュリティ対策に関する研究会報告書(案)」および「ASP・SaaSにおける情報セキュリティ対策ガイドライン(案)」を取りまとめ,意見募集を開始した(「ASP・SaaSの情報セキュリティ対策に関する研究会報告書案等に係る意見募集」参照)。
この報告書案では,SaaS/ASPが急速に普及・拡大を続ける背景要因として,「ブロードバンドの普及」「個人情報保護法の施行等による企業の意識の変化」「ASP・SaaSサービスの多様化」の3点を挙げている。さらに,人的・金銭的リソースに限界のある中小企業が個人情報保護法に対応するために,高いレベルの運用・管理ノウハウを持つASP・SaaSサービスを利用するようになったことが大きいとも指摘している。SaaS/ASP事業者にとって,個人情報保護法がビジネス拡大の追い風となってきた点が注目される。
その一方で,グループウエア,ECサイト,人事採用管理など,SaaS/ASPの対象となる情報には個人情報が含まれているケースが多い。SaaS/ASPの対象業務は多岐に渡っており,個人情報保護対策として何をどのレベルまでやればいいのか,統一的なルールはないのが実情だ。しかも,SaaS・ASP事業者の大半は中小企業(SMB)であり,情報セキュリティ対策に割ける人的・金銭的リソースに限界がある。
各省庁の個人情報保護ガイドライン改正作業は,発注者の委託先・再委託先に対する管理を強化する方向で進んでいる。受託するSaaS/ASP事業者の個人情報保護対策は,SaaS/ASPのみならずIT市場全体の成長を左右する課題でもある。
SaaS/ASPには個人情報管理の視点に立った目利き役が不可欠
個人情報を取り扱うSaaS/ASPサービスにおいて,発注者は直接的な対策を講じることができない。このため,アプリケーション運用からサポート,データ管理,セキュリティに至るまでのSLA(Service Level Agreement),関連情報などを含めた契約管理業務が重要になってくる。契約書の作成,契約内容の確認,委託先との交渉など,契約情報の一元的なライフサイクル管理が不可避だ。
総務省では2003年3月,地方自治体向けの共同利用型アウトソーシングについて,プロジェクトの進め方,契約の方法,SLA等に関する指針を示すことを目的とした「公共ITにおけるアウトソーシングに関するガイドライン」を公表した。このガイドラインは,アプリケーションをネットワーク経由でレンタルし,使用料金を徴収するタイプのXSP(Xサービスプロバイダー)を委託先に想定しているので,民間のSaaS・ASP利用企業にとっても学ぶべき点が多い。
また経済産業省では2008年1月21日,中小のSaaS利用企業を念頭に置いた「SaaS向けSLAガイドライン」を公表した。個人情報管理に関連する記述は少ないが,同省の改正個人情報ガイドライン案の「委託先の監督」と合わせて読むと,SaaS利用上の留意点が理解できるだろう。
実際,法務部門とユーザー部門のやりとりでSaaS/ASP導入手続きが進むケースも多い。社内にIT専門家がいなくても利用できるサービスだからこそ,検討段階で個人情報管理の視点に立った目利き役が必要となる。後追いの契約管理で事故が発生してから,それを教訓に再発防止対策を考える「墓石安全」に至る事態は回避したいものだ。
次回は,第116回で触れた郵便事業分野の個人情報ガイドラインについて取り上げてみたい。
|
→「個人情報漏えい事件を斬る」の記事一覧へ |
|
■笹原 英司 (ささはら えいじ) 【略歴】 IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士 【関連URL】 IDC JapanのWebサイトhttp://www.idcjapan.co.jp/ |
