Microsoft SSPAプログラム独立評価

Microsoft Supplier Security & Privacy Assessment（SSPA）プログラム^※1は、マイクロソフトのサプライヤーがプライバシーとセキュリティの原則に準拠していることを確保するためのサプライチェーンリスクマネジメントの一環としての取り組みです。マイクロソフトとの契約に基づき、個人データやマイクロソフトの機密データを処理するすべてのサプライヤーに適用されます。

登録されたすべてのサプライヤーは毎年、マイクロソフトのサプライヤーデータ保護要件（DPR：Data Protection Requirements）に対するコンプライアンスの自己証明書を提出する必要があります。リスクの高いデータを扱う場合、自己証明書に加えて、DPRで定められている各セクションについて第三者機関が実施する独立評価が必要となります。PwC Japan有限責任監査法人（以下、PwC）は、Microsoft SSPAプログラムに基づいた独立評価を日本におけるPreferred Assessorとして提供しています。

※1 Microsoft SSPA プログラム (https://www.microsoft.com/en-us/procurement/sspa)

クラウド事業者におけるサプライチェーンリスクマネジメントの重要性

現在、日本国内においてクラウドサービスの利用は年々増加しています。2018年6月に日本政府が発表した「政府情報システムにおけるクラウドサービスの利用に係る基本方針」では、情報システムを導入する際にクラウドサービスの活用を推進する方針が示されました。この方針では、コスト削減や柔軟なリソース利用の観点から、行政分野でも「クラウドサービスの利用を第一候補として検討する」というクラウド・バイ・デフォルトの考え方が定義されました。

しかし、クラウドサービスの利用拡大に伴い、サプライチェーンにおけるセキュリティリスクの増大が懸念されています。クラウド事業者は自社のサービスの開発のために、外部へ開発や保守・運用業務を委託することがあり、その結果、関係するサプライチェーンが複雑化しやすい状況にあります。このような中、クラウドサービスを利用する企業や組織において、情報漏洩に至るインシデントなどが増加しているため、安心・安全なクラウドサービスの利用のためにもサプライチェーンリスクマネジメントの重要性が高まっています。

2023年7月に独立行政法人情報処理推進機構（IPA）が公開した「クラウドサービス（SaaS）のサプライチェーンリスクマネジメント実態調査」では、クラウド事業者が情報を自主的に開示しているのか、または要求があった場合のみに開示するのかについての調査を実施しています。その結果、自主的に開示する情報として、「事業者の事故責任の範囲と補償範囲」「サービス変更・終了時等の事前告知」のほか、個人情報に関連する項目、契約条件や法令に関連するものが多いことが分かりました。一方で、通常は情報開示をしておらず、要求があった場合のみに開示する情報としては、「委託先情報、委託先に対する管理状況」「リスク管理に関する規定の有無」といった組織的対策に加えて、ウイルス対策、暗号化対策、監視や脆弱性診断など技術的対策に関連するものが多いとの結果が出ています。

Microsoft SSPAにおけるデータ保護要件（DPR）のカテゴリとモニタリングの仕組み

デジタルサプライチェーンマネジメントは、現代のビジネスにおいて極めて重要な分野です。その中でも、「要求があった場合にのみ開示される＝通常公開されていない」情報を適切に収集し、継続的にモニタリングし続ける仕組みを構築することが鍵となります。Microsoft SSPAでは、要求事項としてデータ保護要件（DPR）がマイクロソフトによって定義されており、前述の要求があった場合にのみ開示される情報を収集できます。

また、デジタルサプライチェーンマネジメントにおいては、単純に要求事項をSAQやアンケート形式で収集するだけでなく、リスクに応じた追加対応、非対応や要求事項非準拠時のペナルティ、継続的なモニタリングなどを通じて健全に機能するエコシステムを構築することが肝要です。Microsoft SSPAは、自社でデジタルサプライチェーンマネジメントの仕組みを構築する際に、仕組みそのものや要求事項を参考にすることで、デジタルサプライチェーンマネジメント体制の高度化に寄与すると考えられます。

PwCはMicrosoft SSPAプログラムを熟知しており、同プログラムに基づいた独立評価をPreferred Assessorとして多くのクライアントに対して実施しています。同時に、委託先や下請け企業に関する独立評価も実施しているため、サプライヤー側の統制についても多くのナレッジを有しています。