今回は,総務省から「ASP・SaaSにおける情報セキュリティ対策ガイドライン」(注1),経済産業省から「SaaS向けSLAガイドライン」(注2)が公表されたことを受けて,SaaS(Software as a Service),ASP(Application Service Provider)型のサービスについての情報セキュリティの問題について,法的な観点から検討を加えてみたいと思います。前回まで3回にわたって,アウトソーシングと情報セキュリティの問題について検討を加えましたが,SaaS,ASPもアウトソーシングの一形態であり,あわせて読んで頂ければと思います。

ASP・SaaSサービスの特徴に合わせた適切な対策が取られていない

 ASPやSaaS型のサービスは,ともにネットワークを通じてアプリケーション・サービスを提供するものであり,サービスの提供形態から見る限りは,大きな違いはありません(注3)。少なくとも法的な観点から検討する上でその差は大きくないと考え,今回はASPとSaaSとを特に区別せずに検討します。

 まず,「ASP・SaaSの情報セキュリティ対策に関する研究会報告書」(以下,「研究会報告書」),「ASP・SaaSにおける情報セキュリティ対策ガイドライン」(以下,「情報セキュリティ対策ガイドライン」)を参考に,サービス提供者側のセキュリティの問題について検討を加えてみたいと思います。

 研究会報告書では,「(a)情報セキュリティ対策の優先付けができていないのではないか」との仮説に対し,運用・改善のための組織・運用に係る情報セキュリティ対策はほとんどされていないこと,対策の優先付けができていないことが,以下のように指摘されています。

 ファイアウォールを設置する等,一般的な技術的情報セキュリティ対策は全てのASP・SaaS事業者で実施されているが,その一方で,情報セキュリティマネジメントを運用・改善していくためのプロセスの策定等の組織・運用に係る情報セキュリティ対策はほとんどされていない。適切なリスクアセスメントの実施のためには,そのための組織体制を整備する必要があり,必要な対策の優先付けをするための体制が整っていないものと認められる。

 また,インタビュー調査を実施したASP・SaaS 事業者の規模は様々であるにも関わらず,実施されている情報セキュリティ対策に大きな違いがなく,リスクアセスメントを通じた対策の優先付けができていないことが伺える。

 「(b)提供するASP・SaaSサービスの特徴に基づいた適切な情報セキュリティ対策ができていないのではないか」との仮説に対しては,一般的な対策はとられているものの,ASP・SaaSサービスの特徴を反映した,適切な情報セキュリティ対策が取られていないと,以下のように指摘しています。

 インタビュー調査を実施したASP・SaaS 事業者の提供するサービスはそれぞれ大きく異なるにも関わらず,ユーザ向け接続回線や主な情報セキュリティ対策の内容等を見る限り,実施している情報セキュリティ対策に大きな差は見られない。また,多くのASP・SaaS事業者が,実施している情報セキュリティ対策を「一般的な」と表現していることからも分かるように,現在実施している情報セキュリティ対策は,リスクアセスメントを実施し自らの提供するASP・SaaS サービスの特徴を反映した,適切な情報セキュリティ対策ではないものと考えられる。したがって,提供するASP・SaaS サービスの特徴に基づいた適切な情報セキュリティ対策はできていないものと認められる。

 ASP・SaaSサービスの利用者にとって,データの委託先となるサービス提供者側の情報セキュリティ対策は気になるところです。しかし,報告書を見る限り,現状ではASP・SaaS サービス特有の問題についての検討があまり進んでいなかったように思われます。

複数事業者の連携を意識した対策が求められる

 研究会報告書はガイドラインの対策項目を抽出する際に,ASP・SaaS サービス特有の事情として,以下の項目をあげています。

・利用者情報等のサービスデータをASP・SaaS 事業者が一括して預かる
・データに対する完全性の要求が常に高い
・複数のASP・SaaS 事業者が連携してサービスを提供する場合,サービス全体の情報セキュリティレベルを調整する必要がある
・サービスの提供・運用・保守のすべてにおいて外部ネットワークが不可欠である
・外部ネットワークにおいてインターネットが一般的に利用されており,クラッキングや盗聴の対象になりやすい

 ASP・SaaS サービス事業者が自社のセキュリティ対策を検討する際には,このようなASP・SaaS サービス特有の事情を意識することが重要だと思われます。特に最近では複数の事業者が連携する場合が多いので,その点を意識することが重要でしょう。また,研究会報告書では,ASP・SaaSサービスのタイプ別に,CIA(Confidentiality:機密性,Integrity:完全性,Availability:可用性)要求レベル判定結果も掲載されています(研究会報告書41頁以下)。自社が利用するASP・SaaSサービスの特性を検討する上で,参考になると思われます。

 なお,研究会報告書は,データに対する完全性(Integrity)の要求が常に高いとしています。しかし,研究会報告書が対象とするASP・SaaSサービスには,電話会議,Web会議なども含まれていますから,この点については若干の疑問があります(注4)。研究会報告書を基に策定されている情報セキュリティ対策ガイドラインを参考にする際には,この点に注意が必要ではないかと考えます。

 情報セキュリティ対策ガイドラインは,「組織・運用編」と「物理的・技術的対策編」に分かれています。「組織・運用編」については,「連携ASP・SaaS事業者から組みこむASP・SaaSサービスの管理」が取り上げられています。ただし,一般的なセキュリティ対策とそれほど異なるものが取り上げられているわけではありません。一方,「物理的・技術的対策編」では,ASP・SaaS事業者が提供するサービスのタイプ別に即して分類したパターン1~6ごとに対策参照値が設定してあり,こちらは参考になるのではないでしょうか。

 次回は,経済産業省が作成したSaaS向けSLAガイドラインを取り上げます。

(注1)詳細はASP・SaaSの情報セキュリティ対策に関する研究会報告書(案)等に係る意見募集の結果で参照できる
(注2)詳細は「SaaS向けSLAガイドライン」公表についてで参照できる
(注3)「SaaS向けSLAガイドライン」では,SaaSをASPの進化系と捉えている
(注4)研究会報告書は「完全性への要求」(報告書38頁)において,「ASP・SaaS 事業者が利用者のデータを管理するという特性上,そのデータに改ざん・削除・漏えい等のインシデントが発生した場合,顧客の事業継続に多大な影響を与えるものと考えられる。また,ASP・SaaS事業者が提供する情報においても,その情報に改ざん等のインシデントが発生した場合,その情報に依存している顧客にとって大きな損害が発生することが想定される。従って,ASP・SaaS 事業者においては,そのサービス種別に関わらず,完全性への要求は「高」いものと考えられる」としています。しかし,「改ざん・削除・漏えい等のインシデント」のうち「漏えい」は機密性の問題と考えられます。なお,情報セキュリティ対策ガイドライン5頁の「完全性への要求」の説明では「改ざん・削除等のインシデント」となっています

→「知っておきたいIT法律入門」の記事一覧へ

■北岡 弘章 (きたおか ひろあき)

【略歴】
 弁護士・弁理士。同志社大学法学部卒業,1997年弁護士登録,2004年弁理士登録。大阪弁護士会所属。企業法務,特にIT・知的財産権といった情報法に関連する業務を行う。最近では個人情報保護,プライバシーマーク取得のためのコンサルティング,営業秘密管理に関連する相談業務や,産学連携,技術系ベンチャーの支援も行っている。
 2001~2002年,堺市情報システムセキュリティ懇話会委員,2006年より大阪デジタルコンテンツビジネス創出協議会アドバイザー,情報ネットワーク法学会情報法研究部会「個人情報保護法研究会」所属。

【著書】
 「漏洩事件Q&Aに学ぶ 個人情報保護と対策 改訂版」(日経BP社),「人事部のための個人情報保護法」共著(労務行政研究所),「SEのための法律入門」(日経BP社)など。

【ホームページ】
 事務所のホームページ(http://www.i-law.jp/)の他に,ブログの「情報法考現学」(http://blog.i-law.jp/)も執筆中。