Assured(アシュアード)は6月26日、2024年上半期におけるクラウドサービス(SaaS等)事業者のサプライチェーン(委託先)管理の実態について発表した。調査結果の概要は以下のとおり。
1.システム開発や保守・運用に関するサプライチェーンの管理状況
●約6割のクラウドサービスが開発や保守・運用業務を外部委託。そのうちの約2割は委託先と「セキュリティ対策」や「情報の削除」を合意せず
通常の企業と同様に、クラウドサービス事業者もクラウドサービスを提供するうえで、システムの開発や保守・運用を外部委託することは一般的であり、調査でも57.9%のクラウドサービスが外部委託先を利用していた。また39.4%が、利用者がクラウドサービスに預託するデータを外部委託先でも取り扱っていた。
その中で、外部委託先に対して「セキュリティ対策」や「情報の消去」を合意していないクラウドサービスが約15~20%存在していた。また、8.7%が事前の合意内容について外部委託先の履行状況を確認しておらず、10.8%で外部委託先の定期的な評価を実施していなかった。
2.日本国外のサプライチェーンの管理状況
●預託データが海外(委託先含む)からアクセスされるクラウドサービスは約2割。海外へ個人情報を提供する3サービスに1つは、再委託先の監督や各措置の実施を合意していない
約2割のクラウドサービスで「預託データが他国に保管される」または「預託データが他国からアクセスされる」状況にあった。その中でも「委託のために海外へ個人情報を提供しているクラウドサービス」に対象を絞り、クラウドサービス事業者が(海外)委託先との間で合意している内容を確認したところ、3割以上で、さらに他の第三者へ委託する場合の委託先(再委託先)の「監督」や「各措置の実施の確保」を合意しておらず、約1割で、そもそも(海外)委託先と何も「合意していない」ことが分かった。
関連リンク