2σ Guide

クラウドセキュリティの
責任共有モデルを実務へ落とす

クラウド提供者と利用企業の責任範囲を、技術、契約、法令、証跡の四層で整理し、契約レビューとインシデント対応へつなげます。

4層 技術・契約・法令・証跡
42問 共同確認項目
5段階 導入ロードマップ
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

クラウドセキュリティの 責任共有モデルを実務へ落とす

クラウド提供者と利用企業の責任範囲を、技術、契約、法令、証跡の四層で整理し、契約レビューとインシデント対応へつなげます。

動画を読み込み中…
2σ GUIDE ・ VIDEO
クラウドセキュリティの 責任共有モデルを実務へ落とす
クラウド提供者と利用企業の責任範囲を、技術、契約、法令、証跡の四層で整理し、契約レビューとインシデント対応へつなげます。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • クラウドセキュリティの 責任共有モデルを実務へ落とす
  • クラウド提供者と利用企業の責任範囲を、技術、契約、法令、証跡の四層で整理し、契約レビューとインシデント対応へつなげます。

POINT 1

  • クラウドセキュリティの責任共有モデルの全体像
  • クラウド提供者と利用企業の分担を、技術、契約、法令、証跡の四層で整理します。
  • 誰が何をするか
  • 何で証明するか
  • 法令と実装は合うか

POINT 2

  • サービス別に見る責任分担
  • オンプレミス、IaaS、PaaS、SaaS、マネージド、生成AIで責任範囲が変わります。
  • 何を格納するか
  • どこまで公開するか
  • 何を残すか

POINT 3

  • 責任共有モデルをクラウド契約へ落とし込む
  • 契約文書群、責任分界点、インシデント通知、監査、再委託、責任制限を確認します。
  • クラウド契約では、価格、契約期間、SLA、準拠法だけを見ると、責任共有モデルの核心を見落とします。
  • セキュリティ部門の言葉を法務上の論点へ翻訳すると、契約と運用のずれを発見しやすくなります。
  • 責任分担を契約書本文だけで表すと、実務部門が使いにくくなります。

POINT 4

  • 個人情報保護法とクラウド利用の整理
  • 1. 個人データが含まれるかを確認します:顧客情報、従業員情報、要配慮情報、ログ、メタデータを分類します。
  • 2. 提供者が個人データを取り扱う構成かを確認します:契約条項、サポートアクセス、平文閲覧可能性、処理内容を見ます。
  • 3. 委託・第三者提供・国外移転を検討します:委託先選定、契約、監督、再委託、国外法制度を確認します。
  • 4. 安全管理措置を自社責任で確認します:設定、アクセス権限、暗号化、ログ、バックアップ、教育を整えます。
  • 5. 漏えい等対応の証跡を準備します:速報、確報、本人通知、顧客通知、ログ保全、再発防止を事前に決めます。

POINT 5

  • 統制領域別に見る責任共有
  • ID、暗号化、設定管理、脆弱性、ログ、バックアップを証跡化します。
  • クラウドでは、IDが新しい境界線になります。
  • 提供者が機能を持っていても、MFA強制、最小権限、退職者ID削除、権限棚卸しを実行するのは利用企業側である点を読み取ります。
  • クラウド上のデータは、公開情報、社内情報、機密情報、個人情報、高機密情報、法令規制情報に分けて扱います。

POINT 6

  • クラウドインシデント類型別の責任共有
  • 1. 事実とログを保全します:管理操作、データアクセス、認証、API、ネットワーク、アプリケーションログを保存します。
  • 2. 影響データを分類します:個人情報、要配慮情報、営業秘密、顧客データ、規制対象データの有無を確認します。
  • 3. 契約・法令上の通知義務を確認します:本人、顧客、監督官庁、取引先、上場会社の開示、保険会社への連絡を確認します。
  • 4. 再発防止を設定と運用へ戻します:MFA、権限、公開禁止、CSPM、バックアップ、訓練、監査項目を更新します。

POINT 7

  • 共同確認と導入ロードマップ
  • 1. クラウド利用を棚卸しします:公式導入だけでなく、事業部門SaaS、無料ツール、生成AI、外部API、会計・人事クラウドを含めます。
  • 2. データ分類とリスク評価を行います:個人情報、営業秘密、顧客データ、規制対象データ、重要業務への影響を分類します。
  • 3. サービス別の責任分担表を作ります:提供者、利用企業、契約根拠、社内統制、証跡を一つの表で確認します。
  • 4. 契約・規程・運用を一致させます:クラウド利用規程、情報セキュリティ規程、個人情報規程、インシデント手順、監査計画へ反映します。
  • 5. 訓練・監査・改善を続けます:権限棚卸し、設定監査、ログ確認、サブプロセッサ確認、復旧テスト、経営報告を定期実施します。

POINT 8

  • 企業内の役割分担と経営説明
  • 法務、個人情報、CISO、内部監査、経営層、専門家が同じ責任表を見ます。
  • クラウドは信頼基盤です
  • 自社が守る領域があります
  • 事故は経営課題になります

まとめ

  • クラウドセキュリティの 責任共有モデルを実務へ落とす
  • クラウドセキュリティの責任共有モデルの全体像:クラウド提供者と利用企業の分担を、技術、契約、法令、証跡の四層で整理します。
  • サービス別に見る責任分担:オンプレミス、IaaS、PaaS、SaaS、マネージド、生成AIで責任範囲が変わります。
  • 責任共有モデルをクラウド契約へ落とし込む:契約文書群、責任分界点、インシデント通知、監査、再委託、責任制限を確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

クラウドセキュリティの責任共有モデルの全体像

クラウド提供者と利用企業の分担を、技術、契約、法令、証跡の四層で整理します。

クラウドセキュリティの責任共有モデルとは、クラウドサービスに関するセキュリティ責任を、クラウドサービス提供者と利用企業との間で、技術的、運用的、契約的に分担する考え方です。これは技術部門向けの説明にとどまらず、企業法務、個人情報保護、内部統制、監査、取締役会によるリスク監督、委託先管理、インシデント対応、訴訟・証拠保全に直接関わります。

この整理が重要なのは、クラウドを使っても、利用企業がデータ、ID、アクセス権限、設定、利用目的、法令遵守、説明責任から解放されるわけではないためです。下の一覧では、責任共有モデルを法務・統制の観点から見る四つの問いをまとめています。各項目は、事故時に誰が何を説明するかを判断する材料になります。

初動

誰が何をするか

情報漏えい、ランサムウェア、アカウント乗っ取り、設定ミス、クラウド停止が起きたときの役割を明確にします。

証跡

何で証明するか

契約書、利用規約、SLA、監査報告書、認証、ログ、運用記録で分担を説明できるようにします。

整合

法令と実装は合うか

個人情報保護法、業法、委託先管理、内部統制、顧客契約とクラウド設定を一致させます。

説明

最終的に誰が説明するか

提供者の責任範囲と、利用企業が顧客・本人・当局・監査人へ負う説明責任を混同しないようにします。

責任共有モデルを半分ずつ責任を負う考え方として読むと、実務を誤ります。次の表は、四つの責任層を分けたものです。左列から順に、技術、契約、法令、説明の各層があり、同じ事故でも層ごとに見るポイントが変わることを読み取ります。

内容企業法務上の意味
技術的管理責任誰が設定、運用、監視、パッチ適用、ログ取得を行うかセキュリティ設計、RACI、運用手順の問題です。
契約上の責任利用規約、個別契約、SLA、補償、責任制限で何が定められているか契約交渉、リスク配分、損害回復可能性の問題です。
法令上の責任個人情報保護法、業法、会社法、金商法、労働法、国外法令に照らして誰が義務を負うか監督官庁対応、本人通知、行政処分、取締役責任の問題です。
説明・証明責任後日、誰がどの証拠で適切な管理を説明できるか監査、訴訟、第三者調査、顧客説明、再発防止の問題です。
要点クラウドでは、作業の一部を外部化できます。しかし、どのデータを置き、誰にアクセスさせ、どの設定を有効にし、事故時に誰へ何を説明するかを決める責任は、利用企業に残ります。
Section 01

サービス別に見る責任分担

オンプレミス、IaaS、PaaS、SaaS、マネージド、生成AIで責任範囲が変わります。

従来型のオンプレミスでは、企業がデータセンター、サーバー、ネットワーク、OS、ミドルウェア、アプリケーション、データ、権限、監視、バックアップを広く管理していました。クラウドでは一部を提供者が担いますが、データ、ID、設定、利用目的、法令遵守は利用企業側に残りやすい領域です。

次の比較一覧は、オンプレミス、IaaS、PaaS、SaaSで典型的に誰が担うかを示しています。列が右へ進むほど提供者管理が増えますが、データ、ID、設定、法令遵守は右端でも利用企業側に残る点を読み取ります。

領域オンプレミスIaaSPaaSSaaS
物理施設利用企業提供者提供者提供者
物理サーバー利用企業提供者提供者提供者
仮想化基盤利用企業または委託先提供者提供者提供者
OS利用企業多くは利用企業多くは提供者提供者
ミドルウェア利用企業利用企業多くは提供者提供者
アプリケーション利用企業利用企業利用企業または提供者提供者
データ利用企業利用企業利用企業利用企業
ID・アクセス権限利用企業利用企業利用企業利用企業
設定・利用目的・法令遵守利用企業利用企業利用企業利用企業

マネージドサービスでも、利用企業の責任はなくなりません。次の一覧は、マネージドサービスで確認すべき事項です。左から順に、データ、設定、証跡、国外・委託の観点で読みます。サービス名にマネージドとあるだけで安全性を推定しないことが重要です。

データ

何を格納するか

個人情報、営業秘密、要配慮情報、医療情報、金融情報、ソースコードの有無を分類します。

設定

どこまで公開するか

パブリックアクセス、暗号化、暗号鍵、管理者権限、API連携、検証環境への複製を確認します。

証跡

何を残すか

バックアップ期間、監査ログ、設定変更履歴、サポートアクセス、障害時の調査記録を確認します。

国外

どこから扱われるか

海外リージョン、国外サポート拠点、サブプロセッサ、国外法制度、暗号鍵管理を確認します。

生成AI機能をSaaS内で有効化する場合、提供者が基盤を保護していても、利用企業がどのデータを入力し、どの外部アプリに連携を許可し、どの出力を業務で使うかを管理します。次の比較一覧は、生成AIやAPI連携で法務が確認する論点をまとめたものです。

確認対象問い法務上の意味
入力データモデル学習、品質改善、ログ保存、レビューに使われますか秘密保持、個人情報、営業秘密、顧客契約に関わります。
出力物正確性、知財、第三者権利、差別・不当表示を誰が評価しますか業務利用時の責任とレビュー手順に関わります。
管理機能機能の無効化、制限、利用ログ取得は可能ですか規程違反の防止、監査、教育に関わります。
外部連携サブプロセッサ、外部モデル提供者、国外処理はありますか委託、国外移転、再委託管理に関わります。
Section 02

責任共有モデルをクラウド契約へ落とし込む

契約文書群、責任分界点、インシデント通知、監査、再委託、責任制限を確認します。

クラウド契約では、価格、契約期間、SLA、準拠法だけを見ると、責任共有モデルの核心を見落とします。データの帰属、セキュリティ基準、責任分界点、インシデント協力、監査証跡、再委託、データ所在、終了時対応、責任制限、変更管理を一体で確認します。

次の一覧は、契約レビューで確認する主要条項を整理したものです。左列は条項、右列は具体的な確認事項です。契約書本文だけでなく、利用規約、サービス仕様、セキュリティ文書、サブプロセッサ一覧、SLA、監査報告書も合わせて読むことが重要です。

条項確認すべき事項
定義顧客データ、個人データ、機密情報、ログ、メタデータ、派生データ、サブプロセッサ
利用目的提供者が顧客データをどの目的で利用できるか
セキュリティ暗号化、アクセス制御、脆弱性管理、ログ、監視、物理セキュリティ
責任分担サービス別RACI、共有統制、利用企業の設定義務
個人情報委託、第三者提供、国外移転、再委託、本人対応、データ処理契約
サブプロセッサ事前通知、異議申立て、一覧、所在地、再委託契約
データ所在リージョン、バックアップ、サポートアクセス、国外アクセス
インシデント通知通知期限、通知内容、調査協力、ログ提供、原因分析、再発防止
監査SOC、ISO、ISMAP、CAIQ、監査権、ペネトレーションテスト条件
終了時対応データ返還、削除証明、バックアップ削除時期、移行支援
責任制限情報漏えい、個人情報、秘密保持、知財侵害、第三者請求の例外

セキュリティ部門の言葉を法務上の論点へ翻訳すると、契約と運用のずれを発見しやすくなります。次の表は、代表的な翻訳例です。左列の技術設定を見たとき、右列のような義務、責任、証拠の問題につながることを読み取ります。

セキュリティ上の論点法務上の翻訳
MFAが無効アカウント乗っ取り時に自社の安全管理措置が争われます。
ストレージが公開設定個人情報漏えい、秘密情報漏えい、顧客契約違反につながります。
ログ保存期間が短い原因調査、証拠保全、本人通知、訴訟対応が困難になります。
暗号鍵を提供者が管理国外アクセス、秘匿性、委託先管理、顧客説明が論点になります。
バックアップ未設定ランサムウェア、業務停止、契約不履行、BCP不備につながります。
管理者権限が過大内部不正、退職者アクセス、監査不備、内部統制欠陥につながります。
サブプロセッサ未把握再委託管理、国外移転、監督義務、顧客契約違反が問題になります。

責任分担を契約書本文だけで表すと、実務部門が使いにくくなります。RACI表を付属書にすると、提供者、利用企業IT、情報セキュリティ、法務・プライバシー、内部監査、経営の役割を一覧化できます。次の表では、Rは実行責任、Aは説明責任、Cは協議先、Iは情報共有先を意味します。

統制項目提供者利用企業ITセキュリティ法務・個人情報内部監査経営
物理データセンター保護R/AIIICI
ゲストOSパッチIRCICI
SaaS管理者権限CRCCCI
個人データ分類ICCR/ACI
当局報告判断ICCR/AII
重大事故の経営報告ICRCCA
Section 03

個人情報保護法とクラウド利用の整理

第三者提供、委託、国外移転、漏えい等対応、外的環境の把握を分けて確認します。

クラウド利用では、クラウド事業者に個人データを預けることが常に第三者提供または委託になるわけではありません。契約条項等により、提供者がサーバに保存された個人データを取り扱わない旨が定められ、適切なアクセス制御等が行われている場合には、個人データの提供に該当しない場合があります。ただし、この整理は利用企業の安全管理義務が消えるという意味ではありません。

次の判断の流れは、クラウド利用時の個人データの扱いを整理するためのものです。上から順に、個人データの有無、提供者の取扱い、委託・第三者提供・国外移転、事故時対応へ進みます。分岐では、契約文書と技術的アクセス可能性の両方を見ることが重要です。

個人データを扱うクラウド利用の確認順序

個人データが含まれるかを確認します

顧客情報、従業員情報、要配慮情報、ログ、メタデータを分類します。

提供者が個人データを取り扱う構成かを確認します

契約条項、サポートアクセス、平文閲覧可能性、処理内容を見ます。

取り扱う
委託・第三者提供・国外移転を検討します

委託先選定、契約、監督、再委託、国外法制度を確認します。

取り扱わない
安全管理措置を自社責任で確認します

設定、アクセス権限、暗号化、ログ、バックアップ、教育を整えます。

漏えい等対応の証跡を準備します

速報、確報、本人通知、顧客通知、ログ保全、再発防止を事前に決めます。

委託に該当する場合、委託元は委託先において安全管理措置と同等の措置が講じられるよう、必要かつ適切な監督を行う必要があります。次の比較一覧は、クラウド委託先監督で使う評価材料をまとめています。大規模クラウドでは個別現地監査が難しいため、複数の資料を組み合わせて確認します。

評価材料確認する内容
SOC報告書対象期間、対象サービス、補完的利用者統制、例外事項を確認します。
ISO認証ISO/IEC 27001、27017、27018などの対象範囲を確認します。
CSA CAIQ・CCMクラウド統制領域と自社統制との対応を確認します。
ISMAP登録政府調達で求められるセキュリティ要求との関係を確認します。
セキュリティ文書暗号化、ログ、脆弱性対応、障害対応、サポートアクセスを確認します。
サブプロセッサ一覧再委託先、所在地、変更通知、異議申立ての可否を確認します。

国外移転や外的環境の把握では、データの論理的保存場所だけでは足りません。次の表は、外国に関係する確認項目を示しています。リージョン、サポート、再委託、暗号鍵、外国政府アクセス、顧客契約上の保存制限を分けて読むことが重要です。

確認項目見るべき内容
リージョン保存先、バックアップ先、災害復旧先を確認します。
サポートアクセス国外担当者がアクセス可能な国・地域を確認します。
サブプロセッサ所在国、処理内容、契約上の監督方法を確認します。
暗号鍵管理主体、保管場所、復号可能者を確認します。
外国法制度政府アクセス、法執行機関要請、透明性レポートを確認します。
顧客契約国内保存、国内処理、国外移転禁止を約束していないか確認します。
Section 04

統制領域別に見る責任共有

ID、暗号化、設定管理、脆弱性、ログ、バックアップを証跡化します。

クラウドでは、IDが新しい境界線になります。利用者ID、管理者ID、サービスアカウント、APIキー、OAuth連携、SSO、MFA、特権アクセス管理が不適切であれば、強固なクラウド基盤も無力化されます。

次の表は、ID・アクセス管理における提供者と利用企業の典型的役割を示しています。提供者が機能を持っていても、MFA強制、最小権限、退職者ID削除、権限棚卸しを実行するのは利用企業側である点を読み取ります。

論点提供者の典型的役割利用企業の典型的役割
認証基盤IAM、MFA、SSO連携機能の提供MFA強制、SSO設計、退職者ID削除
権限管理ロール、ポリシー、監査ログ機能の提供最小権限、職務分掌、権限棚卸し
APIキーキー発行・ローテーション機能の提供キーの保管、漏えい防止、定期更新
管理者権限管理機能の提供付与基準、承認、緊急時利用、証跡管理
外部連携アプリ連携機能の提供連携アプリ審査、不要連携の解除

クラウド上のデータは、公開情報、社内情報、機密情報、個人情報、高機密情報、法令規制情報に分けて扱います。次の一覧は、データ分類ごとの統制を整理したものです。左から右へ、情報の重要度が高くなるほど、アクセス制御、暗号化、監査、法令対応が強くなることを読み取ります。

分類必要な統制
公開情報公開済み広報資料改ざん防止、公開承認
社内情報一般社内文書アクセス制御、ログ
機密情報契約書、価格表、事業計画MFA、暗号化、共有制限
個人情報顧客情報、従業員情報安全管理措置、本人対応、委託先管理
高機密情報M&A、訴訟、研究開発、医療、金融強固な暗号化、特権管理、監査、DLP
法令規制情報マイナンバー、医療情報、金融取引情報個別法令・業法対応、厳格なアクセス管理

クラウド事故の多くは、設定ミス、権限過大、公開範囲の誤り、ログ無効、暗号化無効、不要なポート公開、APIキー漏えいなどから生じます。次の一覧は、主要統制領域と利用企業側の実装をまとめたものです。各項目では、機能の有無ではなく、有効化、保存期間、例外承認、復旧テストなどの運用証跡を読むことが重要です。

設定

構成管理

標準構成、Infrastructure as Code、手動変更制限、公開禁止、設定変更ログ、CSPM、例外期限管理を導入します。

予防
脆弱

脆弱性・パッチ

提供者範囲、重大脆弱性通知、利用企業側の適用期限、例外承認、OSS、SBOM、診断条件を確認します。

継続
ログ

ログ・監視・証拠保全

管理操作、API、データアクセス、認証、ネットワーク、改ざん防止、保存期間、SIEM連携、法務ホールドを設計します。

証跡
復旧

バックアップ・事業継続

SLA、RTO、RPO、取得主体、暗号化、イミュータブル化、復旧テスト、顧客通知義務を確認します。

復元
注意SaaSのバックアップは、システム全体の復旧用であり、個別顧客の任意時点復元を保証しない場合があります。可用性のSLAとデータ復旧の責任を分けて確認する必要があります。
Section 05

クラウドインシデント類型別の責任共有

設定ミス、SaaS乗っ取り、ランサムウェア、提供者障害を分けて初動を整理します。

インシデント対応では、提供者が悪いのか利用企業が悪いのかを急いで決めるより、原因、影響、ログ、通知義務、再発防止を分けて確認することが重要です。クラウドでは、提供者が基盤を保護していても、利用企業の設定、ID、データ、バックアップ、顧客契約が問題になります。

次の比較一覧は、代表的なクラウドインシデントと責任共有上の確認事項をまとめたものです。各行では、技術原因と法務対応を分けて読みます。自社に直接の技術的過失がなくても、顧客への説明責任が残る場合があります。

類型主な確認事項法務・統制上のポイント
ストレージ公開設定ミス設定変更者、初期設定、公開警告、ガードレール、アクセスログ、データ内容個人情報、秘密情報、顧客契約、通知義務、再発防止を確認します。
SaaSアカウント乗っ取りMFA、SSO、管理者権限、教育、不審ログイン、ログ提供提供者の認証機能と、利用企業の有効化・権限管理を分けます。
ランサムウェア感染経路、バックアップ暗号化、復旧手順、RTO/RPO、漏えい・滅失・毀損クラウドだから復旧できるとは限らず、復旧テストと証跡が重要です。
提供者側の大規模障害SLA、障害情報、顧客通知、代替リージョン、BCP、不可抗力提供者障害でも、自社サービス提供者として顧客へ説明する立場にあります。

SaaSアカウント乗っ取りでは、提供者、利用企業、双方が異なる役割を持ちます。次の表は、典型的な担当範囲を示しています。どの行も、機能提供と運用実行を分けて読むことが重要です。

領域典型的な担当
SaaS基盤の稼働提供者
認証機能の提供提供者
MFAの有効化利用企業
利用者教育利用企業
管理者権限の付与利用企業
不審ログイン検知双方
ログ提供提供者
影響調査・本人通知利用企業中心、提供者協力
再発防止双方

クラウド事故の初動は、証跡がなければ前に進みません。次の判断順序では、事故検知から対外説明までの流れを示しています。上から下へ進むほど、技術確認から法務判断、顧客説明、再発防止へ移ります。

クラウド事故の初動順序

事実とログを保全します

管理操作、データアクセス、認証、API、ネットワーク、アプリケーションログを保存します。

影響データを分類します

個人情報、要配慮情報、営業秘密、顧客データ、規制対象データの有無を確認します。

契約・法令上の通知義務を確認します

本人、顧客、監督官庁、取引先、上場会社の開示、保険会社への連絡を確認します。

再発防止を設定と運用へ戻します

MFA、権限、公開禁止、CSPM、バックアップ、訓練、監査項目を更新します。

Section 06

共同確認と導入ロードマップ

サービス、データ、セキュリティ、契約、運用を確認し、棚卸しから監査まで進めます。

クラウド導入時は、法務とセキュリティが同じ質問表を使うと、契約と実装のずれを見つけやすくなります。次の一覧は、サービスとデータ、セキュリティ、契約、運用の四群に分けた確認項目です。番号は質問の連番で、上から順に、何を使い、何を守り、どの契約で支え、どう運用するかを読む構成です。

確認質問
1から8 サービスとデータ扱うデータの種類、個人情報・営業秘密・決済情報等の有無、保存国・リージョン、バックアップやログの所在、サポートアクセス、AI学習・統計利用、メタデータ、契約終了時の返還・削除を確認します。
9から20 セキュリティ管理策提供者の責任範囲、利用企業の設定項目、MFA、SSO、最小権限、暗号化、鍵管理、ログ種類と保存期間、改ざん防止、診断許可、重大脆弱性通知、バックアップ、設定ミス検知、承認手順を確認します。
21から33 契約・法務契約文書、規約変更、SLA、責任制限、通知期限、通知内容、再委託先、サブプロセッサ変更、監査報告書、個人情報保護法上の整理、顧客契約、準拠法、終了時移行支援を確認します。
34から42 運用・ガバナンスクラウド利用申請、シャドーIT、権限棚卸し、重大設定変更、インシデント訓練、経営報告基準、内部監査、サイバー保険、退出戦略を確認します。

責任共有モデルは、契約締結時に一度確認すれば終わるものではありません。次の時系列は、実務導入の五段階を示しています。上から順に、クラウド利用の把握、データ分類、責任表、契約・規程・運用の整合、訓練・監査へ進みます。どの段階でも、証跡を残すことが重要です。

第1段階

クラウド利用を棚卸しします

公式導入だけでなく、事業部門SaaS、無料ツール、生成AI、外部API、会計・人事クラウドを含めます。

第2段階

データ分類とリスク評価を行います

個人情報、営業秘密、顧客データ、規制対象データ、重要業務への影響を分類します。

第3段階

サービス別の責任分担表を作ります

提供者、利用企業、契約根拠、社内統制、証跡を一つの表で確認します。

第4段階

契約・規程・運用を一致させます

クラウド利用規程、情報セキュリティ規程、個人情報規程、インシデント手順、監査計画へ反映します。

第5段階

訓練・監査・改善を続けます

権限棚卸し、設定監査、ログ確認、サブプロセッサ確認、復旧テスト、経営報告を定期実施します。

中小企業やスタートアップでは、専任のCISO、法務部、内部監査部がないこともあります。次の一覧は、限られた体制でも優先したい項目です。番号は着手順の目安で、管理者MFA、退職者削除、公開設定、バックアップ、インシデント連絡先を早めに固めることが中心です。

01

重要データを扱うクラウドを一覧化します

会計、人事、CRM、ファイル共有、チャット、生成AI、決済サービスを含めます。

棚卸し
02

管理者アカウントにMFAを設定します

退職者・異動者の削除手順と権限棚卸しを合わせて整えます。

重点
03

公開設定とバックアップを確認します

ファイル共有、クラウドストレージ、復旧方法、ログ保存期間を確認します。

確認
04

連絡先と利用ルールを決めます

事故時連絡先、生成AI、外部連携アプリ、最低限のクラウド利用規程を整えます。

運用
Section 07

企業内の役割分担と経営説明

法務、個人情報、CISO、内部監査、経営層、専門家が同じ責任表を見ます。

責任共有モデルは、法務とITだけの問題ではありません。企業内弁護士、外部専門家、個人情報担当、CISO、内部監査、取締役会、会計・税務・知財・労務の専門家が、同じ責任表を見て契約、証跡、運用を一致させる必要があります。

次の一覧は、企業内の主な役割と担当事項を整理したものです。各行では、契約・法令判断と技術運用が分断されないよう、どの部門が何を確認するかを読み取ります。

主体主な役割
法務担当・企業内専門家クラウド契約、利用規約、DPA、SLA、秘密保持、責任制限、準拠法、顧客契約との整合を確認します。
外部専門家規制業種、国外クラウド、重大事故、当局対応、訴訟、M&A、第三者調査で助言します。
個人情報担当個人データ分類、委託、第三者提供、国外移転、安全管理措置、本人通知、漏えい報告を担当します。
CISO・情報セキュリティIAM、暗号化、ログ、CSPM、脆弱性管理、インシデント対応、バックアップ、教育を設計します。
内部監査補完的利用者統制、権限棚卸し、ログ保存、設定変更管理、委託先評価、訓練を監査します。
経営層・取締役会重要クラウド利用、重大事故、監査結果、改善計画をリスク監督の対象にします。
会計・税務・知財・労務の専門家会計クラウド、税務データ、知財情報、人事労務クラウドなど専門領域のデータ管理を確認します。

経営層に説明する際は、専門用語だけでは足りません。クラウドはコスト削減策ではなく、事業継続、顧客信頼、法令遵守、サイバーリスク、サプライチェーンリスク、レピュテーションリスクとして監督する対象です。次の一覧は、取締役会やリスク委員会へ伝えるべき観点です。

前提

クラウドは信頼基盤です

事業継続と顧客信頼の基盤であり、単なるITコスト削減策ではありません。

責任

自社が守る領域があります

ID、設定、データ、ログ、契約、委託先管理、インシデント対応は自社責任として残ります。

影響

事故は経営課題になります

個人情報、顧客契約、適時開示、監督官庁、訴訟、信用低下に発展します。

補完

標準契約を統制で補います

補償が限定される場合、自社統制、保険、BCP、代替手段でリスクを調整します。

Section 08

クラウド責任共有モデルのFAQ

よくある誤解を、一般的な注意点として整理します。

Q1. 大手クラウドなら何もしなくてよいですか。

一般的には、大手クラウド提供者は高度な基盤セキュリティを備えることが多いとされています。ただし、利用企業側の設定ミス、ID管理不備、データ分類不備、ログ未取得、バックアップ未設定、委託先評価不足は、提供者の規模だけでは解決できません。具体的な統制は、利用サービス、設定、データの内容、契約条件によって確認する必要があります。

Q2. SaaSなら責任はすべて提供者にありますか。

一般的には、SaaSでも利用者ID、管理者権限、外部共有、データ投入、API連携、退職者アカウント、ログ確認、契約上の利用目的、個人情報の取扱いは利用企業側に残ることがあります。どこまで提供者が担うかは、サービス仕様と契約文書を確認する必要があります。

Q3. 認証があれば安全と考えてよいですか。

一般的には、ISO、SOC、ISMAP等は重要な評価材料です。ただし、認証対象範囲、対象サービス、対象リージョン、対象期間、補完的利用者統制、例外事項を確認しなければなりません。認証があっても、自社側のMFA、ログ、権限棚卸しなどが未実施なら、責任共有モデル上の穴が残ります。

Q4. 暗号化していれば個人情報リスクはありませんか。

一般的には、暗号化は重要な安全管理措置です。ただし、鍵管理、復号権限、画面表示、API出力、ログ、バックアップ、管理者権限、設定ミス、本人識別可能性まで含めて評価する必要があります。暗号化の有無だけで結論を出すことは適切ではありません。

Q5. SLAがあれば損害は補償されますか。

一般的には、多くのSLAは可用性に関するサービスクレジットを定めるにとどまる場合があります。情報漏えい、事業停止、顧客損害、行政対応費用、信用毀損が十分に補償されるとは限りません。責任制限、例外、第三者請求、保険、自社顧客契約とのずれを確認する必要があります。

Q6. 提供者の障害なら自社に責任はありませんか。

一般的には、提供者側の障害であっても、自社が顧客に提供するサービスが停止すれば、自社の契約責任、説明責任、BCP責任が問題となる可能性があります。代替手段、顧客通知、障害時手順は自社で準備する必要があります。

Q7. M&AやIPOでも確認が必要ですか。

一般的には、M&Aでは対象会社のクラウド利用状況、契約名義、譲渡制限、支配権変更条項、データ所在、インシデント履歴、シャドーIT、未解決脆弱性を確認する必要があります。IPO準備でも、SaaSの部門導入、権限管理、ログ、承認、証跡保存が内部統制上の課題になることがあります。

クラウド責任共有モデルは、クラウド契約の別紙ではなく、企業統治の一部です。法務、個人情報、セキュリティ、内部監査、経営層、外部専門家が同じ表を見て、責任、証跡、契約、運用を一致させることが重要です。

Reference

クラウド責任共有モデルの参考資料

クラウド・セキュリティ標準

  • Amazon Web Services「Shared Responsibility Model」
  • Microsoft Learn「Shared responsibility in the cloud」
  • Google Cloud「Shared responsibilities and shared fate on Google Cloud」
  • National Institute of Standards and Technology SP 800-145「The NIST Definition of Cloud Computing」
  • National Institute of Standards and Technology SP 800-144「Guidelines on Security and Privacy in Public Cloud Computing」
  • National Institute of Standards and Technology SP 800-53 Rev.5「Security and Privacy Controls for Information Systems and Organizations」
  • National Institute of Standards and Technology「The NIST Cybersecurity Framework 2.0」
  • Cloud Security Alliance「Cloud Controls Matrix」
  • ISO/IEC 27017 Information security controls for cloud services

国内制度・分野別資料

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドラインに関するQ&A」
  • ISMAPポータル「ISMAPとは」
  • 金融庁「サイバーセキュリティ」
  • 厚生労働省「医療情報システムの安全管理に関するガイドライン」
  • 情報処理推進機構「情報セキュリティ10大脅威 2026」