総務省「クラウドサービスの安全・信頼性に係る情報開示指針」とは?SaaS、AIに関する開示項目や関連する認定制度について解説します
総務省「クラウドサービスの安全・信頼性に係る情報開示指針」とは?
クラウドサービスの安全・信頼性に係る情報開示指針は、クラウドサービスの比較・評価・選択等に必要な情報に対する利用者のニーズに対応するため、総務省が策定し、公表しているものです。
クラウドサービスの安全・信頼性に係る情報開示指針」はいくつかのサービスにわかれた情報開示指針の総称で、現在は以下のような情報開示指針が公表されています。
- ASP・SaaSの安全・信頼性に係る情報開示指針(第3版)
- ASP・SaaS(特定個人情報取扱いサービス)の安全・信頼性に係る情報開示指針
- ASP・SaaS(医療情報取扱いサービス)の安全・信頼性に係る情報開示指針
- IaaS・PaaSの安全・信頼性に係る情報開示指針(第2版)
- データセンターの安全・信頼性に係る情報開示指針(第3版)
- IoTクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)
- IoTクラウドサービスの安全・信頼性に係る情報開示指針(IaaS・PaaS編)
- AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)
最近では令和4年10月に「ASP・SaaSの安全・信頼性に係る情報開示指針」が第3版へと改訂されました。同時に、クラウドサービス利用時の設定不備に起因する事故の増加に伴い、同時に「クラウドサービス提供・利用における適切な設定に関するガイドライン」の策定が行われました。
ASP・SaaS・クラウドを普及促進させることを目的とする団体である一般社団法人日本クラウド産業協会(ASPIC)は、これらの情報開示を行っているクラウドサービス事業者を認定する「クラウドサービスの安全・信頼性に係る情報開示認定制度」を運営しています。
クラウドサービス提供・利用における適切な設定に関するガイドラインと情報開示指針の関係
総務省「クラウドサービス提供・利用における適切な設定に関するガイドライン」では、クラウドサービスにおける設定不備の抑止・防止に向けては以下三つが基本的な考え方とされています。
① クラウドサービス利用者・事業者双方において、クラウドサービスの特性や、クラウドサービスの利用・提供におけるリスクについて認識すること
② クラウドサービス利用者・事業者双方において、自身の責任範囲や役割を理解し、それを共通認識とすること
③ クラウドサービス利用者・事業者間でコミュニケーションを密なものとしつつ、双方における設定不備の抑止・防止の対策を適切に実施すること
クラウドサービスの利用においてセキュリティリスクを低減するためには、クラウドサービス事業者は適切なセキュリティ対策に必要な情報提供を行い、クラウドサービス利用者はその情報をもとに適切な設定を維持管理することが求められるのです。
ASP・SaaSの安全・信頼性に係る情報開示指針の内容
ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編) 第3版 では、101の項目が定義されており、以下のような情報の開示が求められます。
事業所・事業
事業者の名称や法人番号、所在地等を確認します。
人材
代表者の氏名経歴や、従業員数、役員数を確認します。
財務状況
財務データとして、単独ベースでの売上高や資本金、自己資本比率等を確認します。財務の信頼性を表す上場の有無や財務監査の状況、決算公告の実施有無についても開示されます。
まだ利益の出ていないスタートアップなどの企業では、財務データは非公開となっているケースもあるでしょう。
資本関係・所属団体
株主構成や所属する業界団体を確認します。
コンプライアンス
コンプライアンスに関する組織体制や従業員に対する教育・守秘義務契約の有無等を確認します。サービス提供に関する委託先がある場合には、その管理についても開示されます。
コンプライアンスに関する文書では、情報セキュリティに関する規程、事業継続に関する規程、リスク管理に関する規程、勧誘・販売・係争に関する規程、苦情対応に関する規程と利用者による設定不備の抑止・防止に係る規程の有無を確認します。
サービス基本特性
サービスの提供内容やカスタマイズの有無、料金体系を確認します。エンタープライズ向けの製品などでは、カスタマイズの有無や料金などが個別契約によるものあるでしょう。
また合わせて、サービスの変更・終了時の事前告知の有無やサービス稼働率の実績値、SLAの有無などが開示されます。セキュリティに関する項目では、第三者認証の取得有無、脆弱性診断やバックアップ、冗長化等の対策が行われているかを確認できます。
アプリケーション等
提供されるアプリケーションに連携するサービスやアプリケーションのセキュリティを確認します。
セキュリティに関する項目では、ウイルス対策、管理者権限の運用管理、ログ等の記録、セキュリティパッチ管理や暗号化などの項目について確認できます。
ネットワーク
セキュリティに関する項目では、ファイアウォール、不正侵入検知システム、ネットワーク監視、なりすまし対策の有無等について確認します。
専用線を利用するサービスの場合はその速度や帯域保証の有無、責任範囲について確認できます。
端末
パソコン、スマホ等の推奨される端末の種類、ブラウザの種類を確認します。
ハウジング(サーバ設置場所)
主にデータセンターの物理的セキュリティについて確認します。データセンターの所在地、耐震構造、電源設備、消化設備、避雷針対策、入退室管理等について開示されます。
サービスサポート
サポートの窓口や営業時間について確認します。インシデントや障害発生時の連絡手段についても開示されます。
AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針の内容
AIを用いたクラウドサービスの安心・安全・信頼性に係る情報開示指針(ASP・SaaS編) の内容は、ASP・SaaSの安全・信頼性に係る情報開示指針の内容と重複する部分も多いですが、AIに特化した内容として以下のようなものが挙げられます。
サービス内容
AIサービスに対する透明性、プライバシー保護、倫理などの考え方を表すAIポリシーの有無、AI機能に関する責任分担(人間の判断の有無、損害賠償責任等)、学習済みモデルの権利関係について開示されます。
アプリケーション等
AIの精度、精度向上のための追加学習の有無、推論時間や学習時間等の性能・品質について開示されます。AI関連の他社サービスやOSSライブラリの利用有無についても確認できます。
また、AIへの攻撃(データ汚染等)に対するセキュリティ対策についても開示されます。
クラウドサービス情報開示認定制度とは
クラウドサービス情報開示認定制度とは、クラウドサービス事業者が安全・信頼性に係る情報開示を適切に行っていることを認定する制度です。一般社団法人日本クラウド産業協会(ASPIC)が運営しています。
認定は申請をおこなったクラウドサービス事業者に対し、サービス単位で行われ、認定された事業者・サービスはASPICのウェブサイト上で公開されています。認定の有効期間は2年であり、開示情報の内容の更新により2年ごとに延長されます。
ASP・SaaSの情報開示指針に従って認定されたクラウドサービスには以下のようなものがあります。
- Salesforce Services (株式会社セールスフォース・ジャパン)
- BtoBプラットフォーム (株式会社インフォマート)
- Cuenote安否確認サービス (ユミルリンク株式会社)
- V-CUBE (株式会社ブイキューブ)
その他のサービスは 認定サービスの一覧 | ASPIC にて閲覧できます。2023年9月現在は160程度のサービスが公開されています。
