クラウドサービス利用規程

第1条 (目的)

1. 本規程は、〔会社名〕（以下「会社」という）が業務に利用するクラウドサービスの選定、申請、運用、廃止について必要な事項を定めることにより、情報資産の機密性、完全性および可用性を確保するとともに、シャドー IT による情報漏えい、コスト管理上の問題および契約上のリスクを抑止することを目的とする。

第2条 (定義)

1. 本規程において、各用語の意味は次のとおりとする。
   1. クラウドサービス：インターネット等のネットワークを介して第三者から提供されるソフトウェア、プラットフォームまたはインフラストラクチャ（SaaS、PaaS、IaaS）の総称
   2. 業務利用：会社の業務に関するデータの保管、加工、送受信その他の処理のために、社員または役員がクラウドサービスを利用すること
   3. シャドー IT：所管部門の承認を得ずに業務利用されるクラウドサービス
   4. 所管部門：本規程に基づき、クラウドサービスの審査、承認および運用管理を担う部門（情報システム部）
   5. 業務データ：会社が保有する情報資産であって、業務上クラウドサービスに保管・処理されるデータ全般

第3条 (適用範囲)

1. 本規程は、会社の役員および社員（雇用形態を問わない）、派遣社員ならびに会社の指揮命令下で業務を行う業務委託先のスタッフに適用する。
2. 業務利用するクラウドサービス全般を対象とする。無償サービス、トライアル利用、個人アカウントの一時利用も含む。

第4条 (基本方針)

1. クラウドサービスは、本規程および情報セキュリティ規程の定めに従い、所管部門が承認したもののみ業務利用できる。
2. 業務データを個人アカウントまたは個人保有の端末に保存することは禁止する（情報セキュリティ規程の定める例外を除く）。
3. 生成 AI を含むクラウドサービスへ業務データを入力する場合は、AI 利用規程および本規程の双方を遵守する。

第5条 (利用申請)

1. クラウドサービスを業務利用しようとする社員は、所定の申請書（電子フォームを含む）により所管部門に申請し、承認を得るものとする。
2. 申請に際しては、次の事項を明らかにする。
   1. サービス名、ベンダー、提供形態（SaaS / PaaS / IaaS）
   2. 利用目的、利用部門、利用人数（見込み）
   3. 取り扱う業務データの種別（個人情報、要配慮個人情報、特定個人情報、機密情報、社外秘等）
   4. データの保管国（リージョン）
   5. 想定コストおよび契約期間
   6. 既存類似サービスの有無
3. 所管部門は、申請内容について第 7 条の評価基準に従い審査し、承認、条件付承認または不承認を決定する。

第6条 (リスク区分)

1. 取り扱う業務データの機密性に応じ、クラウドサービスを次の 3 区分に分類する。
   1. 高リスク：要配慮個人情報、特定個人情報（マイナンバー）、財務上重大な機密情報、未公表の M&A 情報等を取り扱うもの
   2. 中リスク：個人情報、社外秘の事業情報、顧客との取引情報を取り扱うもの
   3. 低リスク：公開情報のみを取り扱うもの、または会社の業務データを一切保存しないもの
2. 区分に応じた審査・運用要件は別表 1 のとおりとする。

第7条 (評価基準)

1. 所管部門は、次の評価項目に基づきクラウドサービスを審査する。
   1. ベンダーの信頼性（実績、財務、第三者認証 ISO/IEC 27001、SOC 2、ISMAP 等）
   2. データの保管国および移転先
   3. アクセス制御機能（SAML / SSO、多要素認証、IP 制限）
   4. ログ・監査証跡の取得可否、保存期間
   5. データの暗号化（保存時・通信時）
   6. データのバックアップ、可用性 SLA
   7. データ削除・返却の手順（契約終了時の取扱い）
   8. ベンダーの再委託、サブプロセッサー
   9. 個人情報保護法・外国法令との整合性
   10. 契約条項（責任制限、損害賠償、準拠法、裁判管轄）

第8条 (契約)

1. 中リスク以上のクラウドサービスについては、書面または電磁的記録による契約（利用規約への合意を含む）を締結する。
2. 契約締結にあたり、機密保持、個人情報の取扱い（個人情報保護委員会告示「個人情報の取扱いに係る安全管理措置」を含む）、データ漏えい時の通知義務、監査受入を契約上明確にするよう努める。
3. 個人情報を委託する場合は、個人情報保護法第 25 条に定める委託先監督義務を果たすため、定期的な確認を行う。

第9条 (アカウント管理)

1. クラウドサービスのアカウントは、原則として個人単位で発行する。ID の共用は禁止する。
2. 入社・異動・退社に伴うアカウントの新規発行、権限変更、削除は、所管部門が遅滞なく行う。退社時のアカウント削除は、原則として退社日当日中に実施する。
3. 管理者権限・特権アカウントは、業務上必要な最小限の者に付与し、別途記録を残す。
4. 可能な限り SAML / SSO に統合し、多要素認証を有効化する。

第10条 (定期棚卸し)

1. 所管部門は、利用中のクラウドサービスについて少なくとも年 1 回、次の事項を棚卸しする。
   1. 利用継続の必要性
   2. ライセンス数とアクティブユーザー数の差異
   3. 権限の最小化状況
   4. 利用申請時の前提（取り扱うデータ種別、リスク区分）に変更がないか
   5. 契約条件、コスト
2. 棚卸しの結果、不要なサービスは速やかに解約し、不要なアカウントは削除する。

第11条 (シャドー IT の禁止)

1. 所管部門の承認を得ずに業務データを取り扱うクラウドサービスの利用を禁止する。
2. 所管部門は、ネットワークログ・購買データ・利用申請等の情報をもとに、シャドー IT を継続的に検知し、是正措置を講じる。

第12条 (インシデント対応)

1. クラウドサービスに起因する情報セキュリティインシデント（不正アクセス、データ漏えい、サービス停止等）が発生または発生のおそれがある場合、社員は速やかに所管部門に報告する。
2. インシデント対応は、情報セキュリティインシデント対応マニュアルおよび個人情報漏えい等インシデント対応マニュアルの定めるところによる。

第13条 (禁止事項)

1. 社員は、クラウドサービスの利用にあたり次の各号の行為を行ってはならない。
   1. 業務利用と私的利用との混同
   2. 個人アカウントへの業務データの保存
   3. 業務データの私的なクラウドストレージへのアップロード
   4. 生成 AI に対する非公開情報の入力（AI 利用規程の定めるところによる）
   5. 利用規約に違反する利用、法令に反する利用

第14条 (違反時の措置)

1. 本規程に違反した社員に対し、会社は就業規則に基づき懲戒処分を行うことがある。
2. 故意または重大な過失により会社に損害を与えた場合、会社は当該社員に対し損害の賠償を求めることがある。

第15条 (改廃)

1. 本規程の改廃は、情報セキュリティ規程の改廃手続に準じる。

別表 1：リスク区分別の運用要件

附則

1. 本規程は、〔施行日〕から施行する。