SaaS 2026年3月7日

SaaS導入時のセキュリティ評価チェックポイント ― 契約前に確認すべき10項目

「便利そうだから契約しよう」でSaaSを導入すると、後から「SSOに対応していなかった」「データが海外サーバーに保存されていた」「退会してもデータが削除されない」といった問題に気づくことになります。

契約前に確認すべき10項目

1. SSO連携（Entra ID / Google）： SAML / OIDC でのSSO連携に対応しているか。SSOに対応していないSaaSは、退職者のアカウント停止がSaaSの管理画面からしか行えず、管理漏れの温床になる。

2. MFA対応： SaaS独自のMFA、またはSSO経由のMFAに対応しているか。

3. データの保存先（リージョン）： データが日本国内に保存されるか。個人情報保護法やISMS、取引先の要件で国内保存が求められる場合がある。

4. 通信の暗号化： HTTPS（TLS 1.2以上）で通信が暗号化されているか。

5. 保管時の暗号化： 保存データがAES-256等で暗号化されているか。

6. 監査ログ： 管理者操作ログ、ユーザー操作ログ（誰がいつ何にアクセスしたか）が取得可能か。ログの保持期間は何日/何ヶ月か。

7. データエクスポート機能： 将来の乗り換えに備え、データをCSV/JSON等でエクスポートできるか。ベンダーロックインのリスクを評価。

8. セキュリティ認証： ISO 27001、SOC 2 Type II、ISMAP等のセキュリティ認証を取得しているか。

9. SLA（稼働率保証）： 稼働率のSLAが明記されているか（99.9%以上が目安）。障害時の補償条件。

10. 退会時のデータ削除： 解約後にデータが完全に削除されるまでの期間と手順が明確か。

→ SaaS導入・乗り換え比較テンプレート（Excel）を使えば、上記10項目を含む29項目で候補3社を横並び比較できます。

SaaSの導入判断は「機能」と「コスト」だけでなく「セキュリティ」の3軸で行ってください。特にSSO対応とデータエクスポートの2点は、後から取り返しがつかない項目です。

情シス365では、SaaSのセキュリティ評価と選定を支援しています。お気軽にご相談ください。