ISMS, プライバシーマークおよび商品に関する質問と回答をご紹介

Evernote、Googleの無料で使えるサービスを会社で利用する場合?

更新日:2026/04/10 (公開日:2015/11/04)
ISMSサンプル文書集.  5,299 views
※本記事は、ISM Web store が作成・検証したものです。

ISMS取得支援パッケージに関して質問です。

Evernote、Googleの無料で使えるサービス(便利なので個人的に使っているものもあります)を会社で利用する場合にはどのようにISMSに落とし込めば良いのでしょうか?

管理策は5.21あたりが該当するのかなと思いますが、ほかにも該当する箇所があるでしょうか?
またリスクの分析はどのようにすべきなのでしょう?こういったサービスは紙の契約書が存在するわけではないので、利用規約を確認するなどで十分なのでしょうか?

利用にあたっては作成すべき書類も出てくると思うので、どういったものを作成すべきでしょうか?
できましたら具体的な事例などをあげてご回答いただければ幸いです。

ちなみに実際に利用するとしても、セキュリティ面を考慮すれば、限定的な利用にとどめることになると思います。(例えば、Evernoteであれば業務にとって役立つ情報をスタッフ間で共有するとか、自分の備忘録的な利用など)

最新のISMS規格(JIS Q 27001:2023)に基づき、クラウドサービスを業務利用する際の管理ポイントを解説いたします。

結論から申し上げますと、「サービス自体の信頼性評価(供給者管理)」「社内での利用範囲の制限(資産管理)」を明確にすることが重要です。

1. 情報資産としての特定

「Evernote」、「Google」等の各種サービスをサービスとして分類し、「情報資産台帳」に登録し、扱う情報の機密レベルを定義します。

  • 5.9 資産の目録:
    サービス名を登録し、管理責任者を定めます。
  • 5.10 資産の適切な利用:
    「公開情報の共有に限定する」といった、サービスの利用範囲を明文化します。

2. リスクアセスメントの実施

紙の契約書がないサービスのリスク分析は、「利用規約」および「事業者が公開しているセキュリティホワイトペーパー」を根拠に行います。

  • リスクの特定:
    • –  機密性: データが暗号化されているか? サービス提供者がデータの中身を閲覧しないと明記されているか?
    • –  可用性: サービス停止(SLA)のリスク。バックアップは自社で取る必要があるか?
    • –  法的リスク: データの保存場所(国)はどこか?(GDPRや日本の個人情報保護法の影響)
  • 評価のポイント:
    GoogleやEvernoteなどは、外部機関による認証(ISO 27001やSOC2)を取得しています。これらの証明書を確認することで、個別の監査に代えるのが一般的です。
  • 脅威:
    原則、自社と同等のセキュリティ対策を供給者にも求める必要があるため、「脅威一覧表」に挙げられている脅威のほぼ全てが該当。
  • 脆弱性:
    自社が供給者に要求するセキュリティ要求事項(組織、人的、物理的、技術的なセキュリティ対策)を満たしているかを判断及び要求する手順が確立されていない。

3. 該当する主な管理策(JIS Q 27001:2023 附属書A)

附属書Aの以下の項目が特に関係します。

  • 5.23 クラウドサービスの利用における情報セキュリティ:
    クラウドサービスの導入、利用、管理、および利用終了までのプロセスを管理することを求めています。
  • 5.19 供給者関係における情報セキュリティ:
    サービス提供者を「供給者」として評価・モニタリングします。
  • 5.20 供給者との合意:
    紙の契約書の代わりに、オンライン上の利用規約を「合意事項」として記録に残します。

4. 整備すべき書類の例

実務上、審査で確認される主な書類は以下の通りです。

  1. クラウドサービス利用規程(またはモバイル機器・テレワーク規程への追記):
    「許可されたサービス名」「利用可能なアカウント(会社支給のみか、個人併用可か)」「禁止される行為(極秘情報のアップロード禁止等)」を定めます。
  2. 外部供給者評価記録(クラウドサービス評価表):
    利用規約を確認した日付、認証取得状況(ISO 27001等)、評価結果(採用の可否)を記録します。
  3. リスクアセスメント(分析・評価)記録:
    「クラウドサービス利用による情報漏えい」などのシナリオに対するリスク評価。

5. 具体的な事例(Evernote利用の場合)

「Evernote」の場合であれば、管理の方針として「業務効率化のための情報共有」に限定し、具体的な対策としては「多要素認証(2FA)の有効化を必須とする。」といったことが考えられます。

  • 個人アカウントでの利用は禁止し、会社が管理するアカウント(または会社のアドレスで登録したもの)に限定する。
  • 「退職時には直ちにアクセス権を削除する」旨を退職時チェックリストに含める。

最新のISMS規格(JIS Q 27001:2023)では「クラウド利用」が独立した管理策として強調されています。「便利だから使う」だけでなく、「サービスの安全性(外部認証)を根拠として評価し、社内で使い方のルールを決める」というプロセスを文書化することが、重要となってきます。

【参考】amazon Web Serviceやgoogle Apsを利用しようかと考えておりますが、この場合も委託先として認識しないといけないのでしょうか? || ISM Web store サポートブログ

ISMSサンプル文書集

文書づくりにお困りなら『ISMSサンプル文書集』

ISMSサンプル文書集は、既にISMS文書を作成されている方や書籍などを参考に独自で作成される方にでも参考になる、ISMS(ISO27001)認証取得に必要なマニュアルおよび規程書、様式を具体的に示したサンプル文書集です。

詳しくはこちら

ISM Web store

執筆・監修: カスタマーサポート

ISMS、プライバシーマーク、ISO9001の取得・運用支援において、25年以上のコンサルティング実績を持つ専門チームが執筆しています。現場での指導経験と、数多くの審査対応ノウハウを凝縮して制作した文書・教育用テキストを販売しています。ご購入の有無にかかわらず、無料メールサポートにて専門家が直接お答えします。


Pマークの社員教育はテキスト配布とテストだけでも良いですか?集合研修が難しい場合の対応。
2010/11/16 プライバシーマーク全般 3,226 views
ISMSサンプル文書集
ファイルサーバ管理規程はISMSのどの文書に該当する?具体的な管理ルールを教えて下さい。
2020/06/12 ISMSサンプル文書集 3,105 views
ISMSサンプル文書集
ISMSの内部監査員と事務局は兼任できますか?メンバーを同じにする際の注意点は?
2008/04/17 ISMSサンプル文書集 4,167 views
プライバシーマーク サンプル文書集
規程の改訂履歴は「法改正に伴う改訂」の一言で良い?それとも修正箇所を列挙すべきですか?
2023/08/22 Pマークサンプル文書集 1,789 views
ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

ISO/IEC27001:2022 (JIS Q 27001:2023) 情報セキュリティマネジメントシステム 要求事項の解説

詳しくはこちら

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

個人情報保護マネジメントシステム 導入・実践ガイドブック(JIS Q 15001:2023): PマークにおけるPMS構築・運用指針対応

詳しくはこちら

対訳ISO9001:2015品質マネジメントの国際規格

対訳ISO9001:2015品質マネジメントの国際規格

詳しくはこちら