13. SaaS導入・シャドーIT管理
| 項目 | 内容 |
|---|---|
| 改訂日 | 2025.01.15 |
| 適用範囲 | 全社・全従業員 |
本ガイドラインは、業務で利用するSaaS等のクラウドサービスの導入フローを定め、シャドーITを防止することを目的とする。
2. シャドーITの禁止
Section titled “2. シャドーITの禁止”当社では、情報セキュリティ責任者の承認を得ていないクラウドサービス(シャドーIT)の業務利用を禁止する。
シャドーITとは、組織が把握・承認していない情報システムやサービスを、従業員が独自に業務で利用することをいう。
3. 新規SaaSの導入
Section titled “3. 新規SaaSの導入”新規にSaaSを業務で利用する場合は、情報セキュリティ責任者に確認する。
情報セキュリティ責任者は、公開されているセキュリティ情報(第三者認証、プライバシーポリシー、利用規約等)を確認し、利用の可否を判断する。個別のセキュリティ対策確認チェックリストは作成しない。
情報セキュリティ責任者が把握しているSaaSが、業務利用を認められたサービスとなる。
4. SaaSの利用
Section titled “4. SaaSの利用”情報セキュリティ責任者が把握しているSaaSについては、各従業員が業務上必要な範囲で利用することができる。
5. AIサービスの利用
Section titled “5. AIサービスの利用”5.1 AIサービスへの入力禁止データ
Section titled “5.1 AIサービスへの入力禁止データ”以下のいずれかに該当するAIサービス以外を利用する場合、下記のデータを入力してはならない。
- 学習へのデータ利用をオプトアウトした企業契約のAIサービス
- 当社側でホスティングしているAIサービス
| 分類 | 具体例 |
|---|---|
| 個人情報 | 氏名、住所、電話番号、メールアドレス、生徒情報、顧客情報等 |
| 認証情報・シークレット | パスワード、APIキー、アクセストークン、秘密鍵、接続文字列等 |
| 機密性2以上の情報資産 | 社外秘または極秘に分類される業務情報 |
5.2 AIサービス導入時の確認事項
Section titled “5.2 AIサービス導入時の確認事項”AIサービスを新規に導入する場合は、情報セキュリティ責任者が以下の事項を確認する。
- 利用規約における入力データの学習利用に関する条項
- 学習へのデータ利用をオプトアウトする方法の有無
- データの保存・処理に関するセキュリティ対策
6. SaaSの見直し
Section titled “6. SaaSの見直し”業務で利用しているSaaSについては、以下の場合に見直しを行う。
- サービス提供者において重大なセキュリティインシデントが発生した場合
- サービスの仕様に重大な変更があった場合
- 利用継続の必要性がなくなった場合
形式的な定期レビューは実施しない。問題がなければ利用を継続し、上記の事象が発生した場合に再評価を行う。
-
- IT基盤運用管理
-
- 委託管理
-
- テレワークにおける対策