総務省はこのほど、「ASP・SaaSの情報セキュリティ対策に関する研究会報告書」(PDF形式)と「ASP・SaaSにおける情報セキュリティ対策ガイドライン」(PDF形式)を策定した。
今回取りまとめられた報告書とガイドラインは、総務省が2007年6月に設置した 「ASP・SaaSの情報セキュリティ対策に関する研究会」で協議され、2007年12月に公表されたものに対して寄せられたパブリックコメントを反映し、改めて策定された。
報告書では、ASP/SaaSの定義をはじめ、サービス内容、市場動向などがまとめられたほか、情報セキュリティ対策の現状と課題として、ASP/SaaS事業者の大半は中小事業者であることから、大企業と比較して情報セキュリティ対策に人的・金銭的資源を割くことが困難であるとし、実施すべき情報セキュリティ対策を明確にし、重点的な資源配分の必要性などが示されている。
一方、報告書の内容を受けた形のガイドラインでは、組織・運用と、物理的・技術的側面から指針がまとめられ、組織内での情報管理責任者を定め、その利用範囲を明確にし、文書化することや、物理的な措置として、利用者の利用状況や例外処理、情報セキュリティ事象のログは最低3ヵ月間保存することが望ましいといった、ベストプラクティスの詳細が明示されている。