クラウド提供者と利用企業の責任範囲を、技術、契約、法令、証跡の四層で整理し、契約レビューとインシデント対応へつなげます。
クラウド提供者と利用企業の責任範囲を、技術、契約、法令、証跡の四層で整理し、契約レビューとインシデント対応へつなげます。
クラウド提供者と利用企業の分担を、技術、契約、法令、証跡の四層で整理します。
クラウドセキュリティの責任共有モデルとは、クラウドサービスに関するセキュリティ責任を、クラウドサービス提供者と利用企業との間で、技術的、運用的、契約的に分担する考え方です。これは技術部門向けの説明にとどまらず、企業法務、個人情報保護、内部統制、監査、取締役会によるリスク監督、委託先管理、インシデント対応、訴訟・証拠保全に直接関わります。
この整理が重要なのは、クラウドを使っても、利用企業がデータ、ID、アクセス権限、設定、利用目的、法令遵守、説明責任から解放されるわけではないためです。下の一覧では、責任共有モデルを法務・統制の観点から見る四つの問いをまとめています。各項目は、事故時に誰が何を説明するかを判断する材料になります。
情報漏えい、ランサムウェア、アカウント乗っ取り、設定ミス、クラウド停止が起きたときの役割を明確にします。
個人情報保護法、業法、委託先管理、内部統制、顧客契約とクラウド設定を一致させます。
提供者の責任範囲と、利用企業が顧客・本人・当局・監査人へ負う説明責任を混同しないようにします。
責任共有モデルを半分ずつ責任を負う考え方として読むと、実務を誤ります。次の表は、四つの責任層を分けたものです。左列から順に、技術、契約、法令、説明の各層があり、同じ事故でも層ごとに見るポイントが変わることを読み取ります。
| 層 | 内容 | 企業法務上の意味 |
|---|---|---|
| 技術的管理責任 | 誰が設定、運用、監視、パッチ適用、ログ取得を行うか | セキュリティ設計、RACI、運用手順の問題です。 |
| 契約上の責任 | 利用規約、個別契約、SLA、補償、責任制限で何が定められているか | 契約交渉、リスク配分、損害回復可能性の問題です。 |
| 法令上の責任 | 個人情報保護法、業法、会社法、金商法、労働法、国外法令に照らして誰が義務を負うか | 監督官庁対応、本人通知、行政処分、取締役責任の問題です。 |
| 説明・証明責任 | 後日、誰がどの証拠で適切な管理を説明できるか | 監査、訴訟、第三者調査、顧客説明、再発防止の問題です。 |
オンプレミス、IaaS、PaaS、SaaS、マネージド、生成AIで責任範囲が変わります。
従来型のオンプレミスでは、企業がデータセンター、サーバー、ネットワーク、OS、ミドルウェア、アプリケーション、データ、権限、監視、バックアップを広く管理していました。クラウドでは一部を提供者が担いますが、データ、ID、設定、利用目的、法令遵守は利用企業側に残りやすい領域です。
次の比較一覧は、オンプレミス、IaaS、PaaS、SaaSで典型的に誰が担うかを示しています。列が右へ進むほど提供者管理が増えますが、データ、ID、設定、法令遵守は右端でも利用企業側に残る点を読み取ります。
| 領域 | オンプレミス | IaaS | PaaS | SaaS |
|---|---|---|---|---|
| 物理施設 | 利用企業 | 提供者 | 提供者 | 提供者 |
| 物理サーバー | 利用企業 | 提供者 | 提供者 | 提供者 |
| 仮想化基盤 | 利用企業または委託先 | 提供者 | 提供者 | 提供者 |
| OS | 利用企業 | 多くは利用企業 | 多くは提供者 | 提供者 |
| ミドルウェア | 利用企業 | 利用企業 | 多くは提供者 | 提供者 |
| アプリケーション | 利用企業 | 利用企業 | 利用企業または提供者 | 提供者 |
| データ | 利用企業 | 利用企業 | 利用企業 | 利用企業 |
| ID・アクセス権限 | 利用企業 | 利用企業 | 利用企業 | 利用企業 |
| 設定・利用目的・法令遵守 | 利用企業 | 利用企業 | 利用企業 | 利用企業 |
マネージドサービスでも、利用企業の責任はなくなりません。次の一覧は、マネージドサービスで確認すべき事項です。左から順に、データ、設定、証跡、国外・委託の観点で読みます。サービス名にマネージドとあるだけで安全性を推定しないことが重要です。
個人情報、営業秘密、要配慮情報、医療情報、金融情報、ソースコードの有無を分類します。
パブリックアクセス、暗号化、暗号鍵、管理者権限、API連携、検証環境への複製を確認します。
バックアップ期間、監査ログ、設定変更履歴、サポートアクセス、障害時の調査記録を確認します。
海外リージョン、国外サポート拠点、サブプロセッサ、国外法制度、暗号鍵管理を確認します。
生成AI機能をSaaS内で有効化する場合、提供者が基盤を保護していても、利用企業がどのデータを入力し、どの外部アプリに連携を許可し、どの出力を業務で使うかを管理します。次の比較一覧は、生成AIやAPI連携で法務が確認する論点をまとめたものです。
| 確認対象 | 問い | 法務上の意味 |
|---|---|---|
| 入力データ | モデル学習、品質改善、ログ保存、レビューに使われますか | 秘密保持、個人情報、営業秘密、顧客契約に関わります。 |
| 出力物 | 正確性、知財、第三者権利、差別・不当表示を誰が評価しますか | 業務利用時の責任とレビュー手順に関わります。 |
| 管理機能 | 機能の無効化、制限、利用ログ取得は可能ですか | 規程違反の防止、監査、教育に関わります。 |
| 外部連携 | サブプロセッサ、外部モデル提供者、国外処理はありますか | 委託、国外移転、再委託管理に関わります。 |
契約文書群、責任分界点、インシデント通知、監査、再委託、責任制限を確認します。
クラウド契約では、価格、契約期間、SLA、準拠法だけを見ると、責任共有モデルの核心を見落とします。データの帰属、セキュリティ基準、責任分界点、インシデント協力、監査証跡、再委託、データ所在、終了時対応、責任制限、変更管理を一体で確認します。
次の一覧は、契約レビューで確認する主要条項を整理したものです。左列は条項、右列は具体的な確認事項です。契約書本文だけでなく、利用規約、サービス仕様、セキュリティ文書、サブプロセッサ一覧、SLA、監査報告書も合わせて読むことが重要です。
| 条項 | 確認すべき事項 |
|---|---|
| 定義 | 顧客データ、個人データ、機密情報、ログ、メタデータ、派生データ、サブプロセッサ |
| 利用目的 | 提供者が顧客データをどの目的で利用できるか |
| セキュリティ | 暗号化、アクセス制御、脆弱性管理、ログ、監視、物理セキュリティ |
| 責任分担 | サービス別RACI、共有統制、利用企業の設定義務 |
| 個人情報 | 委託、第三者提供、国外移転、再委託、本人対応、データ処理契約 |
| サブプロセッサ | 事前通知、異議申立て、一覧、所在地、再委託契約 |
| データ所在 | リージョン、バックアップ、サポートアクセス、国外アクセス |
| インシデント通知 | 通知期限、通知内容、調査協力、ログ提供、原因分析、再発防止 |
| 監査 | SOC、ISO、ISMAP、CAIQ、監査権、ペネトレーションテスト条件 |
| 終了時対応 | データ返還、削除証明、バックアップ削除時期、移行支援 |
| 責任制限 | 情報漏えい、個人情報、秘密保持、知財侵害、第三者請求の例外 |
セキュリティ部門の言葉を法務上の論点へ翻訳すると、契約と運用のずれを発見しやすくなります。次の表は、代表的な翻訳例です。左列の技術設定を見たとき、右列のような義務、責任、証拠の問題につながることを読み取ります。
| セキュリティ上の論点 | 法務上の翻訳 |
|---|---|
| MFAが無効 | アカウント乗っ取り時に自社の安全管理措置が争われます。 |
| ストレージが公開設定 | 個人情報漏えい、秘密情報漏えい、顧客契約違反につながります。 |
| ログ保存期間が短い | 原因調査、証拠保全、本人通知、訴訟対応が困難になります。 |
| 暗号鍵を提供者が管理 | 国外アクセス、秘匿性、委託先管理、顧客説明が論点になります。 |
| バックアップ未設定 | ランサムウェア、業務停止、契約不履行、BCP不備につながります。 |
| 管理者権限が過大 | 内部不正、退職者アクセス、監査不備、内部統制欠陥につながります。 |
| サブプロセッサ未把握 | 再委託管理、国外移転、監督義務、顧客契約違反が問題になります。 |
責任分担を契約書本文だけで表すと、実務部門が使いにくくなります。RACI表を付属書にすると、提供者、利用企業IT、情報セキュリティ、法務・プライバシー、内部監査、経営の役割を一覧化できます。次の表では、Rは実行責任、Aは説明責任、Cは協議先、Iは情報共有先を意味します。
| 統制項目 | 提供者 | 利用企業IT | セキュリティ | 法務・個人情報 | 内部監査 | 経営 |
|---|---|---|---|---|---|---|
| 物理データセンター保護 | R/A | I | I | I | C | I |
| ゲストOSパッチ | I | R | C | I | C | I |
| SaaS管理者権限 | C | R | C | C | C | I |
| 個人データ分類 | I | C | C | R/A | C | I |
| 当局報告判断 | I | C | C | R/A | I | I |
| 重大事故の経営報告 | I | C | R | C | C | A |
第三者提供、委託、国外移転、漏えい等対応、外的環境の把握を分けて確認します。
クラウド利用では、クラウド事業者に個人データを預けることが常に第三者提供または委託になるわけではありません。契約条項等により、提供者がサーバに保存された個人データを取り扱わない旨が定められ、適切なアクセス制御等が行われている場合には、個人データの提供に該当しない場合があります。ただし、この整理は利用企業の安全管理義務が消えるという意味ではありません。
次の判断の流れは、クラウド利用時の個人データの扱いを整理するためのものです。上から順に、個人データの有無、提供者の取扱い、委託・第三者提供・国外移転、事故時対応へ進みます。分岐では、契約文書と技術的アクセス可能性の両方を見ることが重要です。
顧客情報、従業員情報、要配慮情報、ログ、メタデータを分類します。
契約条項、サポートアクセス、平文閲覧可能性、処理内容を見ます。
委託先選定、契約、監督、再委託、国外法制度を確認します。
設定、アクセス権限、暗号化、ログ、バックアップ、教育を整えます。
速報、確報、本人通知、顧客通知、ログ保全、再発防止を事前に決めます。
委託に該当する場合、委託元は委託先において安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行う必要があります。次の比較一覧は、クラウド委託先監督で使う評価材料をまとめています。大規模クラウドでは個別現地監査が難しいため、複数の資料を組み合わせて確認します。
| 評価材料 | 確認する内容 |
|---|---|
| SOC報告書 | 対象期間、対象サービス、補完的利用者統制、例外事項を確認します。 |
| ISO認証 | ISO/IEC 27001、27017、27018などの対象範囲を確認します。 |
| CSA CAIQ・CCM | クラウド統制領域と自社統制との対応を確認します。 |
| ISMAP登録 | 政府調達で求められるセキュリティ要求との関係を確認します。 |
| セキュリティ文書 | 暗号化、ログ、脆弱性対応、障害対応、サポートアクセスを確認します。 |
| サブプロセッサ一覧 | 再委託先、所在地、変更通知、異議申立ての可否を確認します。 |
国外移転や外的環境の把握では、データの論理的保存場所だけでは足りません。次の表は、外国に関係する確認項目を示しています。リージョン、サポート、再委託、暗号鍵、外国政府アクセス、顧客契約上の保存制限を分けて読むことが重要です。
| 確認項目 | 見るべき内容 |
|---|---|
| リージョン | 保存先、バックアップ先、災害復旧先を確認します。 |
| サポートアクセス | 国外担当者がアクセス可能な国・地域を確認します。 |
| サブプロセッサ | 所在国、処理内容、契約上の監督方法を確認します。 |
| 暗号鍵 | 管理主体、保管場所、復号可能者を確認します。 |
| 外国法制度 | 政府アクセス、法執行機関要請、透明性レポートを確認します。 |
| 顧客契約 | 国内保存、国内処理、国外移転禁止を約束していないか確認します。 |
ID、暗号化、設定管理、脆弱性、ログ、バックアップを証跡化します。
クラウドでは、IDが新しい境界線になります。利用者ID、管理者ID、サービスアカウント、APIキー、OAuth連携、SSO、MFA、特権アクセス管理が不適切であれば、強固なクラウド基盤も無力化されます。
次の表は、ID・アクセス管理における提供者と利用企業の典型的役割を示しています。提供者が機能を持っていても、MFA強制、最小権限、退職者ID削除、権限棚卸しを実行するのは利用企業側である点を読み取ります。
| 論点 | 提供者の典型的役割 | 利用企業の典型的役割 |
|---|---|---|
| 認証基盤 | IAM、MFA、SSO連携機能の提供 | MFA強制、SSO設計、退職者ID削除 |
| 権限管理 | ロール、ポリシー、監査ログ機能の提供 | 最小権限、職務分掌、権限棚卸し |
| APIキー | キー発行・ローテーション機能の提供 | キーの保管、漏えい防止、定期更新 |
| 管理者権限 | 管理機能の提供 | 付与基準、承認、緊急時利用、証跡管理 |
| 外部連携 | アプリ連携機能の提供 | 連携アプリ審査、不要連携の解除 |
クラウド上のデータは、公開情報、社内情報、機密情報、個人情報、高機密情報、法令規制情報に分けて扱います。次の一覧は、データ分類ごとの統制を整理したものです。左から右へ、情報の重要度が高くなるほど、アクセス制御、暗号化、監査、法令対応が強くなることを読み取ります。
| 分類 | 例 | 必要な統制 |
|---|---|---|
| 公開情報 | 公開済み広報資料 | 改ざん防止、公開承認 |
| 社内情報 | 一般社内文書 | アクセス制御、ログ |
| 機密情報 | 契約書、価格表、事業計画 | MFA、暗号化、共有制限 |
| 個人情報 | 顧客情報、従業員情報 | 安全管理措置、本人対応、委託先管理 |
| 高機密情報 | M&A、訴訟、研究開発、医療、金融 | 強固な暗号化、特権管理、監査、DLP |
| 法令規制情報 | マイナンバー、医療情報、金融取引情報 | 個別法令・業法対応、厳格なアクセス管理 |
クラウド事故の多くは、設定ミス、権限過大、公開範囲の誤り、ログ無効、暗号化無効、不要なポート公開、APIキー漏えいなどから生じます。次の一覧は、主要統制領域と利用企業側の実装をまとめたものです。各項目では、機能の有無ではなく、有効化、保存期間、例外承認、復旧テストなどの運用証跡を読むことが重要です。
標準構成、Infrastructure as Code、手動変更制限、公開禁止、設定変更ログ、CSPM、例外期限管理を導入します。
予防提供者範囲、重大脆弱性通知、利用企業側の適用期限、例外承認、OSS、SBOM、診断条件を確認します。
継続管理操作、API、データアクセス、認証、ネットワーク、改ざん防止、保存期間、SIEM連携、法務ホールドを設計します。
証跡SLA、RTO、RPO、取得主体、暗号化、イミュータブル化、復旧テスト、顧客通知義務を確認します。
復元設定ミス、SaaS乗っ取り、ランサムウェア、提供者障害を分けて初動を整理します。
インシデント対応では、提供者が悪いのか利用企業が悪いのかを急いで決めるより、原因、影響、ログ、通知義務、再発防止を分けて確認することが重要です。クラウドでは、提供者が基盤を保護していても、利用企業の設定、ID、データ、バックアップ、顧客契約が問題になります。
次の比較一覧は、代表的なクラウドインシデントと責任共有上の確認事項をまとめたものです。各行では、技術原因と法務対応を分けて読みます。自社に直接の技術的過失がなくても、顧客への説明責任が残る場合があります。
| 類型 | 主な確認事項 | 法務・統制上のポイント |
|---|---|---|
| ストレージ公開設定ミス | 設定変更者、初期設定、公開警告、ガードレール、アクセスログ、データ内容 | 個人情報、秘密情報、顧客契約、通知義務、再発防止を確認します。 |
| SaaSアカウント乗っ取り | MFA、SSO、管理者権限、教育、不審ログイン、ログ提供 | 提供者の認証機能と、利用企業の有効化・権限管理を分けます。 |
| ランサムウェア | 感染経路、バックアップ暗号化、復旧手順、RTO/RPO、漏えい・滅失・毀損 | クラウドだから復旧できるとは限らず、復旧テストと証跡が重要です。 |
| 提供者側の大規模障害 | SLA、障害情報、顧客通知、代替リージョン、BCP、不可抗力 | 提供者障害でも、自社サービス提供者として顧客へ説明する立場にあります。 |
SaaSアカウント乗っ取りでは、提供者、利用企業、双方が異なる役割を持ちます。次の表は、典型的な担当範囲を示しています。どの行も、機能提供と運用実行を分けて読むことが重要です。
| 領域 | 典型的な担当 |
|---|---|
| SaaS基盤の稼働 | 提供者 |
| 認証機能の提供 | 提供者 |
| MFAの有効化 | 利用企業 |
| 利用者教育 | 利用企業 |
| 管理者権限の付与 | 利用企業 |
| 不審ログイン検知 | 双方 |
| ログ提供 | 提供者 |
| 影響調査・本人通知 | 利用企業中心、提供者協力 |
| 再発防止 | 双方 |
クラウド事故の初動は、証跡がなければ前に進みません。次の判断順序では、事故検知から対外説明までの流れを示しています。上から下へ進むほど、技術確認から法務判断、顧客説明、再発防止へ移ります。
管理操作、データアクセス、認証、API、ネットワーク、アプリケーションログを保存します。
個人情報、要配慮情報、営業秘密、顧客データ、規制対象データの有無を確認します。
本人、顧客、監督官庁、取引先、上場会社の開示、保険会社への連絡を確認します。
MFA、権限、公開禁止、CSPM、バックアップ、訓練、監査項目を更新します。
サービス、データ、セキュリティ、契約、運用を確認し、棚卸しから監査まで進めます。
クラウド導入時は、法務とセキュリティが同じ質問表を使うと、契約と実装のずれを見つけやすくなります。次の一覧は、サービスとデータ、セキュリティ、契約、運用の四群に分けた確認項目です。番号は質問の連番で、上から順に、何を使い、何を守り、どの契約で支え、どう運用するかを読む構成です。
| 群 | 確認質問 |
|---|---|
| 1から8 サービスとデータ | 扱うデータの種類、個人情報・営業秘密・決済情報等の有無、保存国・リージョン、バックアップやログの所在、サポートアクセス、AI学習・統計利用、メタデータ、契約終了時の返還・削除を確認します。 |
| 9から20 セキュリティ管理策 | 提供者の責任範囲、利用企業の設定項目、MFA、SSO、最小権限、暗号化、鍵管理、ログ種類と保存期間、改ざん防止、診断許可、重大脆弱性通知、バックアップ、設定ミス検知、承認手順を確認します。 |
| 21から33 契約・法務 | 契約文書、規約変更、SLA、責任制限、通知期限、通知内容、再委託先、サブプロセッサ変更、監査報告書、個人情報保護法上の整理、顧客契約、準拠法、終了時移行支援を確認します。 |
| 34から42 運用・ガバナンス | クラウド利用申請、シャドーIT、権限棚卸し、重大設定変更、インシデント訓練、経営報告基準、内部監査、サイバー保険、退出戦略を確認します。 |
責任共有モデルは、契約締結時に一度確認すれば終わるものではありません。次の時系列は、実務導入の五段階を示しています。上から順に、クラウド利用の把握、データ分類、責任表、契約・規程・運用の整合、訓練・監査へ進みます。どの段階でも、証跡を残すことが重要です。
公式導入だけでなく、事業部門SaaS、無料ツール、生成AI、外部API、会計・人事クラウドを含めます。
個人情報、営業秘密、顧客データ、規制対象データ、重要業務への影響を分類します。
提供者、利用企業、契約根拠、社内統制、証跡を一つの表で確認します。
クラウド利用規程、情報セキュリティ規程、個人情報規程、インシデント手順、監査計画へ反映します。
権限棚卸し、設定監査、ログ確認、サブプロセッサ確認、復旧テスト、経営報告を定期実施します。
中小企業やスタートアップでは、専任のCISO、法務部、内部監査部がないこともあります。次の一覧は、限られた体制でも優先したい項目です。番号は着手順の目安で、管理者MFA、退職者削除、公開設定、バックアップ、インシデント連絡先を早めに固めることが中心です。
会計、人事、CRM、ファイル共有、チャット、生成AI、決済サービスを含めます。
棚卸し退職者・異動者の削除手順と権限棚卸しを合わせて整えます。
重点ファイル共有、クラウドストレージ、復旧方法、ログ保存期間を確認します。
確認事故時連絡先、生成AI、外部連携アプリ、最低限のクラウド利用規程を整えます。
運用法務、個人情報、CISO、内部監査、経営層、専門家が同じ責任表を見ます。
責任共有モデルは、法務とITだけの問題ではありません。企業内弁護士、外部専門家、個人情報担当、CISO、内部監査、取締役会、会計・税務・知財・労務の専門家が、同じ責任表を見て契約、証跡、運用を一致させる必要があります。
次の一覧は、企業内の主な役割と担当事項を整理したものです。各行では、契約・法令判断と技術運用が分断されないよう、どの部門が何を確認するかを読み取ります。
| 主体 | 主な役割 |
|---|---|
| 法務担当・企業内専門家 | クラウド契約、利用規約、DPA、SLA、秘密保持、責任制限、準拠法、顧客契約との整合を確認します。 |
| 外部専門家 | 規制業種、国外クラウド、重大事故、当局対応、訴訟、M&A、第三者調査で助言します。 |
| 個人情報担当 | 個人データ分類、委託、第三者提供、国外移転、安全管理措置、本人通知、漏えい報告を担当します。 |
| CISO・情報セキュリティ | IAM、暗号化、ログ、CSPM、脆弱性管理、インシデント対応、バックアップ、教育を設計します。 |
| 内部監査 | 補完的利用者統制、権限棚卸し、ログ保存、設定変更管理、委託先評価、訓練を監査します。 |
| 経営層・取締役会 | 重要クラウド利用、重大事故、監査結果、改善計画をリスク監督の対象にします。 |
| 会計・税務・知財・労務の専門家 | 会計クラウド、税務データ、知財情報、人事労務クラウドなど専門領域のデータ管理を確認します。 |
経営層に説明する際は、専門用語だけでは足りません。クラウドはコスト削減策ではなく、事業継続、顧客信頼、法令遵守、サイバーリスク、サプライチェーンリスク、レピュテーションリスクとして監督する対象です。次の一覧は、取締役会やリスク委員会へ伝えるべき観点です。
事業継続と顧客信頼の基盤であり、単なるITコスト削減策ではありません。
ID、設定、データ、ログ、契約、委託先管理、インシデント対応は自社責任として残ります。
個人情報、顧客契約、適時開示、監督官庁、訴訟、信用低下に発展します。
補償が限定される場合、自社統制、保険、BCP、代替手段でリスクを調整します。
よくある誤解を、一般的な注意点として整理します。
一般的には、大手クラウド提供者は高度な基盤セキュリティを備えることが多いとされています。ただし、利用企業側の設定ミス、ID管理不備、データ分類不備、ログ未取得、バックアップ未設定、委託先評価不足は、提供者の規模だけでは解決できません。具体的な統制は、利用サービス、設定、データの内容、契約条件によって確認する必要があります。
一般的には、SaaSでも利用者ID、管理者権限、外部共有、データ投入、API連携、退職者アカウント、ログ確認、契約上の利用目的、個人情報の取扱いは利用企業側に残ることがあります。どこまで提供者が担うかは、サービス仕様と契約文書を確認する必要があります。
一般的には、ISO、SOC、ISMAP等は重要な評価材料です。ただし、認証対象範囲、対象サービス、対象リージョン、対象期間、補完的利用者統制、例外事項を確認しなければなりません。認証があっても、自社側のMFA、ログ、権限棚卸しなどが未実施なら、責任共有モデル上の穴が残ります。
一般的には、暗号化は重要な安全管理措置です。ただし、鍵管理、復号権限、画面表示、API出力、ログ、バックアップ、管理者権限、設定ミス、本人識別可能性まで含めて評価する必要があります。暗号化の有無だけで結論を出すことは適切ではありません。
一般的には、多くのSLAは可用性に関するサービスクレジットを定めるにとどまる場合があります。情報漏えい、事業停止、顧客損害、行政対応費用、信用毀損が十分に補償されるとは限りません。責任制限、例外、第三者請求、保険、自社顧客契約とのずれを確認する必要があります。
一般的には、提供者側の障害であっても、自社が顧客に提供するサービスが停止すれば、自社の契約責任、説明責任、BCP責任が問題となる可能性があります。代替手段、顧客通知、障害時手順は自社で準備する必要があります。
一般的には、M&Aでは対象会社のクラウド利用状況、契約名義、譲渡制限、支配権変更条項、データ所在、インシデント履歴、シャドーIT、未解決脆弱性を確認する必要があります。IPO準備でも、SaaSの部門導入、権限管理、ログ、承認、証跡保存が内部統制上の課題になることがあります。
クラウド責任共有モデルは、クラウド契約の別紙ではなく、企業統治の一部です。法務、個人情報、セキュリティ、内部監査、経営層、外部専門家が同じ表を見て、責任、証跡、契約、運用を一致させることが重要です。