SaaS グローバルコンプライアンスチェックリスト

[[427611]]

[51CTO.com クイック翻訳]周知のとおり、Software as a Service (SaaS) ビジネスの魅力は、地理的な制限を受けないことです。インターネットに接続できる人なら誰でもユーザーになれるので、どの国も SaaS 製品の潜在的な市場になる可能性があります。

しかし、機会と課題は共存するとよく言われます。実際、SaaS も大規模かつ複雑な市場環境に直面しています。コロナウイルスの影響で世界の生活のほとんどがオンラインに移行したため、132か国以上が独自のデータ関連の法律や規制を制定した。複雑な新しいデータポリシーに直面して、プライバシーコンプライアンスの取り組みを開始するための SaaS チェックリストのセットをまとめました。

グローバルコンプライアンスとは何ですか?

「コンプライアンス」とは、あなたのビジネスまたは製品が認証機関の一連の規制を満たしていることを意味します。このような組織は、多くの場合、あなたとユーザーの地理的な場所によって異なります。

従来のオンプレミス環境では、データプライバシーに準拠したビジネスになることは比較的簡単です。ただし、事業が地域の地理的範囲を超えて世界中に広がる場合、コンプライアンスの難易度は大幅に高まります。たとえば、さまざまな地域の複数の市場でトランザクションサービスを提供する場合、自分とユーザーの所在地に応じて、さまざまな法律、規制、ポリシーに準拠する必要がある場合があります。

SaaS 業界では、このような要件はさらに重要になります。さまざまな国のデータプライバシー規制では、サービスプロバイダーが既存および潜在的なユーザーとそのデータをどのように扱うか、機密情報をどのように扱うか、プライバシー権をどのように維持するかを規制します。

コンプライアンスの重要性

世界の情勢

毎日、何百万ものユーザーと世界中の企業が、アカウントサービス情報の登録や取得など、さまざまな SaaS アプリケーションを通じて個人情報を共有しています。

データの取得プロセスにおいて、サービスプロバイダーは、ユーザーの個人データが安全に保存および処理され、適切なレベルのプライバシーが維持されるようにする必要があります。そうしないと、そのような情報はセキュリティ侵害やハッカー攻撃に対して脆弱になります。その結果、サービスプロバイダーも法的責任を負い、ユーザーの信頼を失うことになります。

ユーザーの期待

シスコが2019年に発表した調査によると、ユーザーのデータセキュリティに対する意識は大幅に高まり、回答者の32%がプライバシーについて非常に懸念していることがわかりました。ユーザーは、サービスのセキュリティ状況に不満を感じると、「足で投票」してサービスプロバイダーを直接変更します。これにより、SaaS アプリケーションがさまざまな厳しい規制を満たすよう求めるプレッシャーが直接的に高まります。

不遵守のリスク

サービス側のプロセス中に特定の国または業界のプライバシーポリシーと規制が遵守されない場合、特定の地域や管轄区域で製品が禁止されたり、棚から撤去されたりすることが多く、また、事業主に多額の罰金、長期にわたる訴訟、さらには懲役刑をもたらすこともあります。

ビジネスコンプライアンスを達成するための 5 つのステップ

1. さまざまな規制を理解する

他の国、地域、または特定の業界に事業を拡大したい場合は、現地の規制に大きな違いがあることを考慮して、最新の現地のデータプライバシー法を理解し、遵守することが特に重要です。以下では、SaaS のデータプライバシー規制と標準の最も一般的な例をいくつか説明します。

→ サービス組織統制 2 (SOC 2)

SOC 2 は、米国公認会計士協会 (AICPA) の「信頼サービス標準」に基づいた監査プロセスです。企業はこれを活用して、自社の情報システムが SOC 2 原則に準拠しているかどうかを確認できます。

SOC 2 は、ユーザーデータをクラウドに保存する組織向けに特別に設計されているため、ほぼすべての SaaS アプリケーションに適用され、最も一般的なコンプライアンスフレームワークの 1 つです。 SOC 2 標準に準拠するには、企業は厳格なデータポリシーを確立し、それに従う必要があります。これらには、クラウドに保存されるデータのセキュリティ、可用性、処理中の整合性、機密性などが含まれます。

→ EU一般データ保護規則（GDPR）

GDPR は、欧州連合の包括的な法律であり、国内の個人にデータ権利を提供し、組織や企業のコンプライアンス責任を強化します。 GDPR は、企業が権限を逸脱することを防ぐだけでなく、国民のデータを正しく取り扱うという保証を企業に要求します。 GDPR の中心的な機能は、国民が自分のデータをより適切に管理できるようにすることです。また、この法律は、法律違反を扱う組織に対して罰金を科す権限を規制当局にさらに拡大する。

GDPR の下では、EU 市民は自分のデータにアクセスし、誤った記録を修正し、データを削除し、データの不正な処理に異議を申し立て、データをエクスポートすることができます。さらに、GDPRでは、データを保有する企業（EU内で事業を行っている限り、登録場所に関係なく）に対して、データの目的、性質、保管期間などの情報を提供することも義務付けています。

したがって、GDPR の枠組みに従う運営会社は、セキュリティ侵害が発生した後、直ちに関係するユーザーに通知し、そのような違反を防ぐための保護措置を講じる必要があります。さもなければ、会社は多額の罰金を科せられる可能性がある。

→ ペイメントカード業界データセキュリティ基準 (PCI-DSS)

2006 年に導入された PCI-DSS は、一連の要件です。これは、クレジットカード情報を処理、保存、または送信するすべての企業が安全な環境を維持できるように設計されています。これは、取引プロセス全体を通じてカード所有者データの管理を強化し、アカウントのセキュリティを向上させ、それによってクレジットカード詐欺を減らすことができる厳格なセキュリティ標準です。

PCI DSS は、PCI セキュリティ標準協議会 (SSC) によって管理されています。この委員会は、Visa、Mastercard、American Express、Discover、JCB で構成される独立機関です。 PCI DSS は、組織の規模や処理する取引量に関係なく、カード所有者の情報を受け入れ、保存、または送信するすべての組織に適用されます。

現在、業界には 4 つの異なる PCI コンプライアンスレベルがあり、それぞれが企業が日常的に処理する異なるトランザクションを対象としています。その中で、PCI DSS には 12 の明確な条件が含まれており、それぞれの条件には多くの具体的なサブ要件が伴います。このコンプライアンスには、特定の情報セキュリティポリシーの採用と遵守が求められるため、企業はポリシーを満たすプロセスにおいて一定の技術的実装能力を備えている必要があります。

→ カリフォルニア州消費者プライバシー法（CCPA）

2018 年から、CCPA はカリフォルニア州の消費者に強化されたプライバシー権と消費者保護を提供し始めました。この規制は、プライバシー権の執行に関する指針を提供するだけでなく、企業が消費者情報を収集、使用、保管する方法をより厳密に管理できるようにします。

同時に、CCPA は消費者に対して、収集された個人情報を削除する権利、個人情報を販売しないことを選択する権利、そのような権利を行使する際に差別されない権利、関連するプライバシーポリシーを説明する通知を受け取る権利も提供しています。

→ 国際標準化機構（ISO）

ISO 委員会は、国際電気標準会議 (IEC) と協力してさまざまな電気技術標準化問題に取り組んでおり、情報セキュリティ管理システム (ISMS) の標準を提供しています。これらの標準は、さまざまな種類の情報リスクと、企業がリスクを特定して管理するのを支援する方法に重点を置いています。

ISO/IEC はそれ自体が規制ではなく、セキュリティリスクの管理に使用できる一連のコンプライアンス標準であることに注意することが重要です。この一連の標準を正式な評価の出発点として使用し、情報セキュリティポリシー、リスク評価プロセス、セキュリティ監視の証拠を提出して、認定監査人から正式な承認を得ることができます。一般的に、ISO/IEC 規格は SaaS 企業に適しているだけでなく、あらゆる業界、規模、市場に適用できます。

→ 米国の業界特有の規制

上記の一般的な規制や標準に加えて、事業を展開する場所に適用される SaaS アプリケーションのさまざまな特定のルールについても理解しておく必要があります。米国を例にとると、以下の点を考慮する必要があります。

医療保険の携行性と責任に関する法律 (HIPAA)
ニューヨークのサイバーセキュリティ規制
連邦金融機関検査評議会

2. 法律およびデータ処理

前述したように、SaaS 企業は訴訟リスクを回避するために、ユーザーデータを取り扱う際に関連法を遵守する必要があります。そのため、サービスプロバイダーは、ユーザー情報を処理する理由とデータの使用目的を明確に理解する必要があります。以下でこれを詳しく見てみましょう。

→ データ保護影響評価（DPIA）

DPIA では、データの種類、処理の目的、組織内外で情報にアクセスできるユーザー、ユーザー情報がどのように保護されているか、情報がいつ削除されるかを評価する必要があります。規制当局として、情報コミッショナーオフィス (ICO) は、さまざまなサンプルテンプレートの形式で DIPA の作成に必要なさまざまな情報を提供します。

→ プライバシーポリシーの法的根拠と内容

プライバシーポリシーは、SaaS サービスプロバイダーがユーザーデータを収集する前にユーザーとコミュニケーションをとるための重要な方法であり、ユーザーの同意を得るために必要な方法でもあります。したがって、企業はプライバシーポリシーに、データが処理される理由、処理方法、情報にアクセスできるユーザーとその権利、データがどのように保護されるかを簡潔かつ明確に記載する必要があります。

3. データセキュリティ

→ データ保護ポリシー

SaaS サービスプロバイダーは、データセキュリティとコンプライアンスを反映するために、データ保護戦略において常に次の 2 つの側面を明確に示す必要があります。

設計によるデータ保護

これは、新しいシステム、サービス、プロセス、製品の設計段階でプライバシーとデータセキュリティを考慮していることを意味します。つまり、サービス製品は設計ソースからライフサイクル全体を通じてデータセキュリティを確保しています。

デフォルトでのデータ保護

つまり、特定の目的のために収集されたデータのみを処理し、処理プロセス全体が開始する前にユーザーに通知し、その後の処理プロセスでさまざまなデータセキュリティ保護対策を実施することになります。

→ 社内セキュリティポリシー

内部紛争を避けるために、SaaS サービスプロバイダーは、チームメンバー全員がデータのプライバシーとセキュリティに関する会社のプロセスと優先順位を理解できるように、必要な内部セキュリティポリシーを作成する必要もあります。

→ データ侵害

さらに、問題が発生する前に防止するために、さまざまな種類のデータ漏洩（または潜在的な漏洩）に対処する方法を規定する一連のプロセスを開発する必要もあります。このプロセスには、現地の規制当局とデータ主体に書面で通知する方法も含まれる必要があります。

4. 説明責任とガバナンス

SaaS グローバルコンプライアンスチェックリストでは、次の点も考慮する必要があります。

→ 最高コンプライアンス責任者

すべての SaaS サービスプロバイダーは、社内に最高コンプライアンス責任者を任命する必要があります。この役割は、ポリシーの開発を通じてユーザーデータを保護するために必要な評価プロセスと権利および責任を熟知しています。同時に、常に更新され変化するさまざまな法律や規制に遅れずに対応する責任も負っています。

→ データ処理契約

次に、SaaS サービスプロバイダーは、ユーザーの個人データの処理を支援する第三者を特定する必要があります。例: 電子メールサービスプラットフォーム、クラウドサーバー、各種分析ソフトウェア。データ管理者として、SaaS サービスプロバイダーは関連するデータ処理契約を締結する必要があります。したがって、SaaS サービスプロバイダーは、標準化されたテキスト契約を採用するだけでなく、業界および地域の標準に厳密に準拠する信頼できるサードパーティサービスを選択する必要があります。

→ データ保護責任者

GDPR の関連規定によれば、SaaS サービスプロバイダーは、個人データ保護に関連するすべての問題を具体的に処理するデータ保護責任者を任命する必要があります。この役割の範囲は企業によって異なる場合がありますが、他の部門や企業内の人々からの干渉を受けず、必要に応じて経営陣に報告できる必要があります。したがって、この役割には、プライバシーポリシーと評価を理解して実装するための法的専門知識と技術的専門知識の両方が必要です。

5. プライバシー

ユーザーのプライバシーを適切に処理することも、SaaS グローバルコンプライアンスチェックリストの重要な部分です。

→ ユーザーのプライバシーを保護するプロセス

プロセスがユーザー中心であることを確認します。これにより、個人情報の安全な保管に対するユーザーの満足度が確保されるだけでなく、透明性を通じてさまざまな懸念や疑念が軽減されます。

→ ユーザーが自分の個人データに関する情報にアクセスできるようにする

多くの場合、ユーザーは、不正確なデータを修正したり、不適切なデータの削除を要求したりするために、SaaS サービスプロバイダーや連携する第三者がどのような個人情報を保持しているかを知る必要があります。

同時に、ユーザーは自分の情報が SaaS サービスプロバイダーにどれくらいの期間保存されるのか、またなぜそれほど長期間保存されるのかを知る必要があります。このような情報は、無料で提供される必要があるだけでなく（少なくとも最初に要求されたときは）、ユーザーの要求から 1 か月以内に提供される必要があります。

SaaS コンプライアンスのヒント

コンプライアンスチームとITチーム間の連携を確保する

部門間の緊密な連携は、SaaS コンプライアンスにとって理想的な状態です。たとえば、人事部門はコンプライアンス部門を支援して、新入社員の日常業務におけるコンプライアンス意識を高めるためのトレーニングを手配することができます。

行動規範を策定する

特定のコンプライアンスプログラムの行動規範を作成することで、各アクションの目的を明確に定義できるだけでなく、サービスチームのアクションが関連するプライバシーポリシーに準拠していることも保証できます。

CISベンチマークに準拠

データインフラストラクチャがインターネットセキュリティセンター (CIS) ベンチマークに準拠していることを確認します。これは、さまざまなサイバー脅威を防ぐためのガイドラインのセットです。

規制のダイナミックな変化に対応する

今日では、世界中の政府が国民のデータプライバシーの保護にますます注意を払い始めています。データ処理に対する管理を強化するために、各国は関連する法律を頻繁に導入しています。したがって、SaaS サービスプロバイダーは、不意を突かれることがないように、自社の事業所がある管轄区域で新しく制定または改正された法律や規制を常に把握しておく必要があります。

SaaS グローバルコンプライアンス概要

今日、SaaS プラットフォームは地理的制限を打ち破り、世界規模でサービスとコラボレーションを提供しています。しかし、現地の規制に従わなかったために悪い結果がもたらされたり、罰金が科せられたりしたというニュース報道をよく目にします。ビジネス開発とコンプライアンスに畏敬の念を持ち、同等の重要性を持たせることでのみ、当社の SaaS ソリューションを健全かつ安定した形で真にグローバル化できることがわかります。

原題: グローバル SaaS コンプライアンス: 完全な監査チェックリスト、著者: Hanna Barabakh

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。

<<: ついに誰かがDevOpsをわかりやすく説明してくれた

>>: クラウドストレージのメリットとデメリット