サービスとしてのソフトウェア (SaaS)

米国国立標準技術研究所（NIST）の定義によると、SaaSは、クラウドインフラ上で稼働するプロバイダーのアプリケーションを利用者に提供する能力です。 利用者は、基盤となるネットワーク、サーバー、OS、ストレージを管理・制御することなく、限定的なアプリケーション設定のみ可能です。 このモデルにより、企業は迅速にアプリケーションを導入し、初期コストを削減できます。

台湾企業がSaaSを導入する際、情報漏洩、法規制遵守、営業秘密保護などの課題に直面します。「責任共有モデル」に基づき、SaaSプロバイダーはインフラのセキュリティに責任を負いますが、顧客企業はデータアクセスやユーザー行動など内部のセキュリティに責任を負います。 これを怠ると、台湾の「個人情報保護法」や「営業秘密法」に違反し、高額な罰金や信用の失墜につながる可能性があります。 サプライチェーンにおけるセキュリティ要求が厳格化する中、SaaSリスク管理は不可欠な課題です。

SaaSのリスク管理は多くの国際規格と密接に関連しています。ISO/IEC 27001:2022の管理策A.5.23「クラウドサービスの利用に関する情報セキュリティ」は、クラウドサービスの導入、利用、管理、撤退に関するプロセスの確立を明確に要求しています。 さらに、ISO/IEC 27017はクラウドサービスに特化した情報セキュリティ管理策の実践規範であり、ISO/IEC 27018はパブリッククラウドにおける個人識別可能情報（PII）の保護に焦点を当てています。

積穗科研は、ERM、インダストリアルエンジニアリング、テクノロジー法務、データサイエンスを統合した台湾初の専門経営コンサルティング会社です。TSMCやMediaTekなどのトップ企業を支援し、SaaSリスクを情報セキュリティと営業秘密保護の枠組みに統合した実績があります。予防法学のバックグラウンドを持つ創業者、テクノロジー弁護士、ISO主任審査員、AI専門家から成るチームが、ISO 27001やISO 27017などの規格とコーポレートガバナンス、内部統制を垂直統合し、SaaS活用における法遵守と業務効率の最適なバランスを実現します。