データ保存等にレンタルサーバーを使う場合などのデータ管理方法
社内のデータの管理について質問です。
自社でメールサーバーを設置せず、Gmail等の企業向けのサービスを使う場合、またデータ保存等にレンタルサーバーを使う場合などは、データの管理方法として、何か問題があるでしょうか?
例えば、契約企業がプライバシーマークを取得していることが前提となったりするのでしょうか?
社内データの外部保存(Gmailやレンタルサーバー等の利用)における管理上の注意点について回答申し上げます。
結論から申し上げますと、外部サービスの利用自体に問題はありませんが、ISMSやPマークの基準に基づいた「委託先の評価」と「契約内容の確認」が必須となります。
また、委託先がPマーク等を取得していることは必須条件ではありませんが、選定の際の重要な「評価基準」の一つとなります。
1. 委託先の管理責任
Gmailやレンタルサーバーにデータを保管することは、外部の事業者にデータの管理を委託することを意味します。ISMSやPマークでは、以下の対応が求められます。
- 委託先の選定・評価:
相手先が十分なセキュリティ水準(暗号化、バックアップ、アクセス制限等)を維持しているか、事前に評価する必要があります。 - 契約(利用規約)の確認:
機密保持、事故発生時の報告体制、データの安全管理措置が契約内容(またはサービス規約)に含まれているか確認しなければなりません。
2. 委託先がPマークを取得している必要はあるか?
委託先がプライバシーマークやISMS、あるいはSOC2等の第三者認証を取得していることは、必須ではありません。
しかし、Googleのような巨大なクラウド事業者を自社で直接監査することは現実的ではありません。そのため、以下のような「第三者による認証」をもって「十分なセキュリティ水準にある」とみなして評価するのが一般的です。
- 認証の活用:
Googleのような大企業を自社で監査することは困難なため、ISMSやISO 27017、SOC2、Pマーク等の第三者認証を取得していることをもって「信頼できる委託先」と評価するのが実務上のスタンダードです。 - 法人契約の重要性:
無料版ではなく、管理機能や規約が整備された「法人向けサービス」を利用することが推奨されます。
3. 実務的な対応ステップ
外部サービスを利用する際は、以下のステップで管理を進めてください。
- 「委託先評価記録」にて、利用するサービスの安全性を評価し、記録を残す。
- サービスの利用規約やセキュリティホワイトペーパーをエビデンスとして保管する。
- 社内で「多要素認証の義務化」などの利用ルールを徹底する。
弊社のサンプル文書集には、委託先の評価をスムーズに行うためのテンプレートも収録しております。これらを活用し、組織として適切なガバナンスが効いている状態を整えてください。
