SaaSの「責任共有モデル」を基に考える、データ保護における責任の所在

　SaaS（Software as a Service）で生成され、クラウドに保存されたデータは安全であると確信している組織は多いが、これはSaaSベンダーがバックアップからデータ保護まで担ってくれるという誤解に起因している。実際、SaaSベンダーはインフラやアプリに関する責任は負うものの、データ保護の責任はユーザーが負うことが明示されている。

　これは“SaaSの責任共有モデル”と呼ばれるものだ。これによると、SaaSを利用していてもユーザーにはオンプレミスでデータを保管していたときと同様にデータ保護の責任がある。SaaSベンダー各社も、ビジネスクリティカルなデータについては、サードパーティー製のサービスやアプリを使ったバックアップを推奨している。

　本資料では、SaaSの責任共有モデルについて改めて解説し、ベンダーとユーザーの責任区分を明確にする。併せて「Microsoft 365（旧：Office 365）」を例に、「標準機能でのデータ保護の制約」「サードパーティー製のサービスを活用する必要性」「サービス選定の際に重視すべきポイント」なども解説しているので、参考にしてほしい。