© correlate design Inc.

  • Instagram
  • Facebook
  • Twitter
  • note

CONTACT

クラウドサービス選定ルールと利用承認フロー

1. 目的

本ルールは、合同会社コラレイトデザイン(以下「当社」という)がクラウドサービス(SaaS、PaaS、IaaS など)を選定・利用する際の基準および承認フローを明確化することで、情報漏えいリスクやコンプライアンス違反を防ぎ、適切なセキュリティを確保することを目的とします。

2. 適用範囲

  1. 当社の役員、従業員(正社員、契約社員、パート、アルバイト、派遣社員、顧問など)、および当社の業務に従事する全ての者(以下「従業員等」という)が、業務上利用するクラウドサービスに適用します。
  2. 本ルールに定める事項は、必要に応じて委託先や外部パートナーにも準拠を求めます。

3. 選定ルール

3.1. セキュリティ・コンプライアンス要件

クラウドサービス選定時には、以下の項目を中心に確認します。

  1. 認証・認可
    • SSO(シングルサインオン)や多要素認証など、安全なログイン手段をサポートしているか。
    • アクセス制御機能(権限管理、IPアドレス制限等)が充実しているか。
  2. 暗号化
    • 通信経路(TLS/SSL)やデータ保管時の暗号化が実施されているか。
    • 暗号鍵管理の手法が適切であり、ユーザが自身の鍵を管理可能か(必要に応じて)。
  3. データ保管場所と法令順守
    • データセンターの所在地(国内/海外)と、適用される現地のデータ保護法制。
    • ISO27001、SOC2 など国際的なセキュリティ認証の取得状況。
  4. 可用性・バックアップ
    • サービス稼働率(SLA)やバックアップ、障害発生時の復旧手順。
    • アップデート/メンテナンス情報の告知方法とサポート体制。
  5. ログ・監査機能
    • ユーザ操作ログの取得や監査ログを保持できるか。
    • インシデント発生時にログを活用可能なレベルで管理されているか。
  6. データ所有権・利用規約
    • ユーザがアップロードするデータの所有権や二次利用の可否について明確に定義されているか。
    • 個人情報や機密情報の取り扱いに関する契約条項が存在するか。

3.2. 機能・コスト要件

  1. 業務上の必要機能の充足
    • 当社が利用を想定する機能(コラボレーション機能、分析機能、連携機能など)が提供されているか。
    • UI・操作性が現場の業務フローに適合しているか。
  2. スケーラビリティ・拡張性
    • ユーザ数やデータ量が増加した際、必要に応じてプランやサーバリソースを拡張できるか。
    • API連携や外部サービスとの統合性は十分か。
  3. ライセンス体系とコスト
    • ユーザ単位・組織単位などの課金形態と導入コストの妥当性。
    • 長期的な利用を想定した際の総コスト(TCO)と投資対効果(ROI)の評価。

3.3. 選定プロセス

  1. 要件整理
    • 利用部署・担当者はサービス利用目的、機能要件、セキュリティ要件、予算などを明確化。
  2. 候補サービスの調査・比較
    • 複数のクラウドサービスを比較検討し、上記のセキュリティ・機能・コストの観点から評価表を作成。
  3. セキュリティ管理担当または情報セキュリティ管理責任者への相談
    • 選定段階で必要なセキュリティ要件を確認し、リスク評価を実施。
  4. トライアル(PoC)の実施(必要に応じて)
    • 利用部署が試用版などで動作確認を行い、業務適合性を確認。
  5. 最終候補サービスの決定
    • 選定理由、リスク評価結果、コスト見積もりなどをまとめる。

4. 利用承認フロー

以下に、一般的な利用承認のステップを示します。社内の組織構造や権限に応じてフローをカスタマイズしてください。

  1. 利用部署による申請
    • 利用を希望する部署または担当者が「クラウドサービス利用申請書」を作成。
    • 申請書には、利用目的・機能要件・セキュリティ評価結果・費用などを記載。
  2. 部署長(またはプロジェクト責任者)の承認
    • 部署長が業務上の必要性と費用対効果を審議。
    • 部署予算またはプロジェクト予算の範囲内かを確認し、承認または差戻しを行う。
  3. 情報セキュリティ管理責任者(またはIT管理部門)の審査
    • セキュリティリスク評価、データの取扱い、利用規約の確認、契約書(NDA等)の要否を判断。
    • 安全性やコンプライアンス上の問題がないかをチェック。
    • 必要に応じて法務部門との連携や追加確認を実施。
  4. 経営層または役員への最終承認(高額案件・重要データを扱う場合等)
    • 金額・重要度に応じて取締役会や経営責任者の最終承認を取得。
    • 契約手続きの開始可否を決定。
  5. 契約・アカウント設定
    • 必要な契約書(クラウド利用契約、機密保持契約、データ処理契約等)を取り交わす。
    • アカウントの初期設定や利用部署への利用方法周知を実施。
    • システム連携や社内ルール(IPアドレス制限など)に従った設定を行う。
  6. 運用開始・モニタリング
    • 運用開始後は、利用状況を定期的にモニタリング。
    • 問題やセキュリティリスクが発生した場合は速やかに報告し、適切な対処を行う。

5. 運用と見直し

  1. 定期レビュー
    • 年1回以上、利用中のクラウドサービスの継続利用の妥当性を見直し、不要サービスの解約やプラン変更を検討。
    • セキュリティ要件や法改正による影響を定期的にチェックし、必要に応じて対応を行う。
  2. 費用監視
    • 利用実績と費用を定期的にモニタリングし、予算超過や非効率なコストがないかを確認。
  3. 契約更新管理
    • サブスクリプション契約の期限や更新条件を把握し、更新手続きを適切に行う。
    • 契約更新時には利用実績・リスク状況を再評価し、条件見直しやサービス乗り換えも検討する。

6. 教育と周知

  1. ガイドラインの提供
    • 従業員等に対し、本ルールに基づいたクラウドサービス選定・利用の手順を分かりやすくまとめたガイドラインを提供する。
  2. 研修・周知活動
    • 新規導入や大幅アップデート時には、利用部署への説明会や研修を実施し、運用ルールの徹底を図る。

7. 違反・罰則

本ルールに違反し、重大なセキュリティインシデントやコンプライアンス違反が発生した場合、就業規則や契約規定に則り、懲戒処分や損害賠償請求等を検討する場合があります。

8. お問い合わせ

本ルールに関して疑問や相談がある場合は、以下の窓口へご連絡ください。

【事業者名】合同会社コラレイトデザイン
【担当部署】IT管理部門
【住所】〒112-0001 東京都文京区白山2-22-20
【メールアドレス】contact@correlate.design

CONTACT

現在、お問い合わせは公式LINEにて承っております。
公式LINEで問い合わせる
お仕事のご相談・お見積もり相談 ・アポイントメント ・メディア取材 など、
ご用件とお問合せ内容を詳細にお知らせくださいませ。

ご返信までにお時間を要する場合や、
ご質問によってはお応えできかねる場合もございます。
あらかじめご了承ください。

ホームページ/WEBサイト制作、デザインのご依頼は、
東京都文京区の合同会社コラレイトデザインにお任せください。
お見積もりのご依頼や、未確定な制作のご相談から承ります。