SaaS利用が業務の中核となった現代の企業にとって、個人情報保護は避けて通れない経営課題です。日本の個人情報保護法（APPI）は、2022年施行の改正で漏えい等報告・本人通知が義務化され、その後もガイドライン改正が続いており、要求事項の精緻化が進んでいます。SaaSベンダーへの委託管理、越境移転、漏えい時の報告義務といった論点が情シス部門の現場に降りかかっています。EUのGDPR、米国のCCPA/CPRAなど、海外規制にも対応が求められる組織が増えています。

しかし、現場では「SaaSにどんな個人情報が入っているか把握できない」「ベンダー管理を強化したいが手が回らない」「漏えい発生時に速報・確報を期限内に報告できる体制がない」といった声が頻発します。SaaS時代の個人情報保護は、従来の「社内サーバーで個人情報を厳重管理する」発想だけでは対応しきれません。

個人情報保護法とSaaSの関係、情シス部門が押さえるべき管理体制、SaaSベンダー選定の評価軸、漏えい時の対応プロセス、実装の5ステップを解説します。情シス部門の個人情報保護担当者、ISMS事務局、コンプライアンス責任者を主な対象とした内容です。

個人情報保護法とSaaSの関係

個人情報保護法は、企業が取り扱う個人情報の利用目的の特定、安全管理措置、第三者提供の制限、本人の権利保障などを規定する法律です。SaaSは「個人情報の取扱いの委託」または「クラウドサービスの利用」に該当するため、特有の管理義務が発生します。

ガイドラインでは、SaaSの利用形態を2つに分類しています。

• 委託：SaaSベンダーが個人情報を取扱う形態（CRM、HRシステムなど）
• 利用：SaaSベンダーが個人情報にアクセスしない形態（ストレージのみ提供など）

実務では、SaaSベンダーが個人情報にアクセス可能であれば、原則として「委託」に該当すると解されており、委託先の監督義務（安全管理措置の確認、契約による義務付け、定期的な評価）を負います。これに違反した状態で漏えいが発生すると、企業に重大な責任が問われます。

特に注意が必要な論点は次の3つです。

• 越境移転：海外サーバーに個人情報を送る場合は、本人同意のほか、相当措置・外的環境の把握など複数の対応手段があります
• 委託先監督：SaaSベンダーへの定期的な評価とインシデント連絡体制
• 漏えい報告：要配慮個人情報の漏えい、財産的被害のおそれ、1,000人を超える漏えい等の場合、速報は発覚後3〜5日以内、確報は発覚後30日以内（不正目的のおそれがある場合は60日以内）に個人情報保護委員会への報告が必要です。本人通知も速やかに実施します

これらを満たすには、組織として体系的な管理体制と、SaaS管理プラットフォームによる可視化が必要となります。

参考：個人情報保護法ガイドライン｜個人情報保護委員会

参考：個人情報保護に関するQ&A｜個人情報保護委員会

SaaS時代の個人情報保護で押さえる7つの管理体制

SaaS時代の個人情報保護を実現するため、情シス部門が押さえるべき管理体制を7つに整理します。組織規模と業界規制に応じて、優先順位を設定して実装してください。

1. 個人情報を取扱うSaaSの一覧化

組織が利用するSaaSのうち、個人情報を取扱うものを一覧化します。CRM、HRシステム、メール配信ツール、ヘルプデスク、ファイル共有、コラボレーションツールなどが該当します。SaaS管理プラットフォームを活用することで、シャドーITも含めた網羅的な可視化が可能です。

2. 利用目的と取扱範囲の文書化

各SaaSで取扱う個人情報の種類（氏名、メールアドレス、電話番号、住所、決済情報、要配慮個人情報など）、利用目的、保管期間、アクセス権限を文書化します。これは個人情報取扱台帳として、監査時にも提示します。

3. SaaSベンダーのセキュリティ評価

各SaaSベンダーの第三者認証（ISO27001、SOC 2、ISMAP、Pマーク）、セキュリティポリシー、データセンターの所在地、暗号化対応、アクセスログ取得の有無を評価します。新規契約時のチェックリスト化が望ましいです。

4. 委託契約と覚書の整備

SaaSベンダーとの契約に、個人情報の取扱い条項、目的外利用の禁止、再委託の制限、漏えい発生時の連絡義務、契約終了時のデータ削除義務を盛り込みます。標準的な業務委託契約に「個人情報取扱特約」を追加する形が一般的です。

5. アクセス権限管理と最小権限

SaaSへのアクセス権限を最小限に絞り、職務分掌を徹底します。IDaaSによる統合認証、多要素認証、特権アカウントの厳格管理、入退社に伴うアカウント発行・権限剥奪の自動化を実装します。

6. 漏えい・インシデント対応体制

漏えいや不正アクセスが発生した際の連絡フロー、エスカレーション, 本人通知、当局報告の手順を文書化し、訓練を実施します。漏えい等報告義務（速報3〜5日・確報30日）に対応するため、体制と手順を事前に整えておくことが必須です。

7. 定期的なレビューと教育

四半期または半期ごとに個人情報取扱台帳を見直し、退職者処理、要配慮個人情報の取扱い、ベンダー評価を継続的に実施します。社員教育も年1回以上実施し、最新の規制動向と社内ルールを共有します。

参考：個人情報の安全管理措置｜個人情報保護委員会

SaaSベンダー選定で評価する観点

SaaSベンダー選定では、機能・価格だけでなく、個人情報保護の観点での評価が必須です。次の観点を選定基準に組み込んでください。

第三者認証の取得状況

ISO27001、SOC 2 Type II、ISMAP、Pマークなどの取得状況は、ベンダーのセキュリティ管理水準を示す客観的な指標です。日本の公共部門向けではISMAP、米国市場向けではSOC 2 Type IIが標準的な要件となっています。

データセンターの所在地と越境移転

データの保管場所が日本国内か、海外か、複数地域に分散しているかを確認します。海外保管の場合、対象国・地域の個人情報保護法への対応、本人同意の取得、第三国への移転制限を確認します。

暗号化と鍵管理

データの保管中・転送中の暗号化方式、暗号鍵の管理体制（顧客管理鍵か事業者管理鍵か）、暗号化アルゴリズムの強度を評価します。

アクセス制御と認証

SAML/OIDC連携、多要素認証、SCIMプロビジョニング、IPアドレス制限、デバイス制限などの対応状況を確認します。SSOで統合管理できるベンダーが望ましいです。

ログ取得と監査対応

アクセスログ、操作ログ、管理者操作ログの取得範囲、保管期間、エクスポート機能を確認します。法人プランやエンタープライズプランでないと取得できないログがある点に注意します。

インシデント発生時の連携体制

24時間対応、インシデント連絡窓口、エスカレーション体制、過去のインシデント履歴と対処内容を確認します。SLAに具体的な対応時間を盛り込めるベンダーが望ましいです。

契約条件とデータ削除

契約終了時のデータ返還・削除条件、削除証明書の発行、データポータビリティ（エクスポート機能）を確認します。ベンダーロックインを避ける観点でも重要な確認事項です。

参考：クラウドサービスの委託先選定ガイドライン｜JIPDEC

個人情報漏えい時の対応プロセス

個人情報漏えいが発生した際の対応プロセスを事前に文書化し、訓練を実施することで、漏えい等報告義務（速報・確報）に対応できる体制を整えます。

ステップ1：検知と初動対応

異常を検知した時点で、情シス部門、情報セキュリティ責任者、法務、広報、経営層への即時連絡フローを起動します。被害拡大の防止（アカウント停止、システム遮断、影響範囲の特定）を最優先で実施します。

ステップ2：影響範囲の調査

漏えいの内容、件数、漏えい経路、原因を迅速に調査します。SaaSベンダーから提供されるログ、内部のSIEM、関係者からの聞き取りを総動員し、24〜48時間以内に概要を把握することを目指します。

ステップ3：当局報告の準備と実施

1,000人を超える漏えい、要配慮個人情報の漏えい、財産的被害のおそれ、不正目的のおそれがある漏えい（ランサムウェア等による不正アクセスを含む）が対象です。速報（発覚後3〜5日以内）と確報（30日以内、不正目的の疑いがある場合は60日以内）を個人情報保護委員会に報告します。報告内容には、漏えいの概要、原因、対応状況、再発防止策を含めます。

ステップ4：本人通知と顧客対応

影響を受ける本人への通知を、適切な手段（メール、書面、Webサイト掲載など）で実施します。顧客や取引先への説明、お問い合わせ窓口の設置、Q&Aの整備を並行します。

ステップ5：再発防止策と社内・社外公表

原因分析に基づく再発防止策を策定し、実施します。重大事案では社外公表（プレスリリース）を行い、社内でも全社員への共有と教育を実施します。再発防止策の実施状況は、当局や顧客に対して継続的に報告することが望ましいです。

参考：漏えい等報告の手引き｜個人情報保護委員会

個人情報保護を支えるツールの活用

個人情報保護の管理体制を効率的に運用するには、複数のツールを組み合わせる必要があります。代表的なツールカテゴリを整理します。

• SaaS管理プラットフォーム
• 組織が契約するSaaSの一覧化、ライセンス利用状況、退職者残存アカウント、シャドーITを自動可視化。個人情報を取扱うSaaSの特定、ベンダー評価、契約期限管理にも活用。Josysなどが代表例。
• IDaaSとIGA
• 統合認証、多要素認証、SCIMプロビジョニング、定期的なアクセスレビューを提供。Microsoft Entra ID、Okta、SailPointなどが代表的で、アクセス制御の中核を担う。
• DLP（Data Loss Prevention）
• 機密情報の不正な持ち出し、メール送信、外部ストレージへのアップロードを検知・制限。エンドポイント、ネットワーク、クラウドDLPの組み合わせが標準的。
• CASB/SSPM
• クラウド利用全般のセキュリティ統制と、SaaS設定の継続的監視を提供。CASBはユーザーアクセス、SSPMはSaaS設定の監視に強み。
• SIEM
• PC、SaaS、ネットワーク、サーバーのログを統合し、不正アクセスやインシデントを検知。Microsoft Sentinel、Splunk、IBM QRadarなどが代表的。
• プライバシー専用ツール
• OneTrust、TrustArcなど、個人情報保護とプライバシー管理に特化した専用ツール。GDPR、CCPA、APPIといった複数規制への対応が必要な組織で活用。

参考：クラウドセキュリティガイドライン｜JNSA

個人情報保護SaaS体制構築の5ステップ

個人情報保護のSaaS体制を構築するためのステップを5段階で整理します。

ステップ1：現状把握とリスク評価

組織が取扱う個人情報、利用するSaaS、現状の管理体制を棚卸しします。リスクアセスメントを実施し、優先度の高い領域を特定します。SaaS管理プラットフォームの導入が、可視化の起点となります。

ステップ2：管理体制と文書整備

個人情報取扱台帳、利用規程、SaaS選定基準、委託契約テンプレート、漏えい対応プレイブックを整備します。法務部門と情シス部門的連携が、文書整備の鍵となります。

ステップ3：ベンダー評価と契約見直し

既存SaaSベンダーの評価を実施し、必要に応じて契約条項を更新します。新規ベンダー選定時には、評価チェックリストを必須プロセスに組み込みます。

ステップ4：システム統制の強化

IDaaS、多要素認証、SCIMプロビジョニング、アクセスレビュー、SIEMといった技術的統制を強化します。SaaS管理プラットフォームと連動することで、運用負荷を抑えながら統制レベルを上げられます。

ステップ5：訓練と継続的改善

漏えい対応訓練、社員教育、内部監査を定期的に実施します。最新の規制動向、業界事故、ベンダー対応の変化を継続的に取り込み、管理体制を進化させていきます。

参考：ISMSの実装ガイド｜JIPDEC

個人情報保護関連の用語集

個人情報保護と社内コミュニケーションで頻出する用語を整理します。

• 個人情報保護法（APPI）：日本の個人情報保護に関する法律
• GDPR：EUの一般データ保護規則
• CCPA/CPRA：米国カリフォルニア州の消費者プライバシー法（CPRAによる改正を含む）
• 個人情報取扱事業者：個人情報を事業に利用する事業者
• 要配慮個人情報：人種、信条、病歴など特に取扱に注意が必要な情報
• 委託：個人情報の取扱を第三者に委託すること
• 越境移転：海外への個人情報移転
• 安全管理措置：個人情報を安全に管理するための措置
• Pマーク：個人情報保護マネジメントシステムの認証
• ISMS（Information Security Management System）：情報セキュリティマネジメントシステム
• ISO/IEC 27018：クラウド事業者の個人情報保護
• DPO（Data Protection Officer）：データ保護責任者
• DPA（Data Processing Agreement）：データ処理契約
• 漏えい等報告：個人情報漏えい時の当局報告
• 本人通知：影響を受ける本人への通知

参考：IT用語辞典 e-Words

ジョーシスでSaaSの個人情報保護を効率化する

SaaSの個人情報保護管理を効率化したい情シス部門には、Josysが現実的な選択肢になります。Josysは、SaaS、デバイス、アカウントを統合管理するAI駆動型アイデンティティガバナンスプラットフォームで、SaaSの一覧化、入退社に伴うアカウント発行・権限剥奪の自動化、アクセス権限の可視化、ベンダー管理、ライセンス利用状況の監視を一気通貫で提供します。

国内外700社以上の導入実績があり、事例によっては、IT工数を最大50%、ITコストを最大75%削減した報告もあります。350以上のSaaSアプリと連携し、個人情報を取扱うSaaSの特定、契約管理、アクセスレビュー、漏えい時の影響範囲調査を支援します。ISO27001、SOC 2 Type II、APPI対応、Pマーク取得企業の体制整備など、複数の監査・認証要件に対応した体制構築を支援します。中堅企業から準大企業まで広く採用されています。

Josysの製品概要を5分で理解する資料をダウンロードする

Josysの無料デモを予約して、自社の課題に合うかを確認する

よくある質問（FAQ）

SaaSの個人情報保護でよく寄せられる質問にお答えします。

Q1：SaaS利用は個人情報保護法上の「委託」に該当しますか

SaaSベンダーが個人情報にアクセス可能であれば、原則として「委託」に該当します。ストレージのみ提供で個人情報にアクセスできない形態は「利用」となります。実務では委託として扱う方が安全側の判断で、委託先監督義務に従って契約と評価を整備します。

Q2：SaaSベンダーの選定で何を最優先すべきですか

第三者認証の取得状況（ISO27001、SOC 2 Type II）、データセンターの所在地、契約条項の整備度を最優先します。これらが基本要件を満たさないベンダーは、個人情報を扱う業務での採用を避けるべきです。

Q3：海外SaaSを利用する際の越境移転対応はどうすべきですか

利用規約と契約で越境移転の同意が含まれているか確認し、本人同意（プライバシーポリシーへの記載）、対象国・地域の規制動向を把握します。GDPR対象国とのデータ移転では、SCC（標準契約条項）への対応も必要となります。

Q4：漏えい発生時の当局報告（速報・確報）に対応する体制はどう整えるべきですか

連絡フロー、エスカレーション、当局報告のテンプレート、本人通知の手順を事前に文書化し、年1回以上の訓練を実施します。SaaS管理プラットフォームで影響範囲を即時に特定できる基盤を整えることで、対応スピードが大幅に向上します。

Q5：シャドーITで個人情報が処理されている場合、どう対応すべきですか

SaaS管理プラットフォームでシャドーITを検知し、個人情報処理の有無を確認します。業務上必要なら正式契約に移管し、ベンダー評価を完了してから運用継続、不要なら段階的に廃止します。シャドーIT放置は、個人情報保護法違反のリスクとなります。

まとめ

SaaSの個人情報保護は、可視化、ベンダー管理、技術的統制、運用フローの組み合わせで実現します。ここまで紹介した7つの管理体制、SaaSベンダー選定の観点、漏えい時対応プロセス、5ステップの構築フローを起点に、自社の体制を進化させてください。SaaSとデバイス、アカウントを横断管理したい中堅・準大企業の情シス部門には、Josysが現実的な選択肢となります。

関連記事：ISO27001のIT管理｜情シス担当者が押さえる管理策と認証取得への実装ステップ

関連記事：IT統制の課題｜中堅企業の情シスが直面する論点と解決アプローチ

関連記事：コンプライアンス・オーバーヘッドを削減する｜運用負荷を抑えながら統制を維持する方法