約款による外部サービスの利用

【趣旨】

105

民間事業者が約款に基づきインターネット上で無料で提供する情報処理サービス等を 利用する場合には、リスクを十分踏まえた上で利用を判断し、適切なセキュリティ対策 を講じる必要がある。

【例文】

（１）約款による外部サービスの利用に係る規定の整備

教育情報システム管理者は、以下を含む約款による外部サービスの利用に関する 規定を整備しなければならない。また、当該サービスの利用において、機密性2B以 上の情報が取扱われないように規定しなければならない。

（ア）約款によるサービスを利用してよい範囲

（イ）業務により利用する約款による外部サービス

（ウ）利用手続及び運用手順

（２）約款による外部サービスの利用における対策の実施

教職員等は、利用するサービスの約款、その他提供条件から、利用に当たってのリ スクが許容できることを確認した上で約款による外部サービスの利用を申請し、適 切な措置を講じた上で利用しなければならない。

(解説)

（１） 約款による外部サービスの利用に係る規定の整備

有料、無料に関わらず、約款への同意及び簡易なアカウントの登録により当該機能 を利用可能なサービスは約款による外部サービスとなる。この代表例としては、以下 のものがある。

・電子メール

・ファイルストレージ

・グループウェア等のクラウドサービス など

なお、電気通信サービスや郵便、運送サービス等は約款による外部サービスの適用 範囲外である。

また、約款による外部サービスを利用する場合は、約款の範囲内でのサービス利用 となり、特約等を個別に締結することが困難であることが多い。このため、リスクを 十分踏まえた上で利用を判断し、セキュリティ対策を適切に講ずる必要がある。

具体的には次の事項が考えられる。

①約款による外部サービスの利用手順を定める

・利用申請の許可権限者の決定

・利用申請時の申請内容

－利用する組織名

106

－利用するサービス

－利用目的（業務内容）

－利用期間

－利用責任者（利用アカウントの責任者） など

②サービス利用中の安全管理に係る運用手順を定める

・サービス機能の設定（例えば情報の公開範囲）に関する定期的な内容確認

・情報の滅失、破壊等に備えたバックアップの取得

・利用者への定期的な注意喚起

・情報セキュリティインシデント発生時の連絡体制

③当該サービスの利用において、機密性2Aの情報を取り扱う場合に当たっては、以下 の規定を確認することが望ましい。

（ア）利用者が登録した情報の目的外利用及びサービス事業者以外の者への提供の 禁止

（イ）サービス事業者が業務上知り得た情報の守秘義務

なお、「インターネットを介したASPサービスの利用における留意点」について は、平成29年度からの文部科学省実証事業「次世代学校支援モデル構築事業」の中で 整理を行い、その結果を、ガイドラインに反映する予定である。

（２）約款による外部サービスの利用における対策の実施

約款による外部サービスの利用を検討する際は、当該サービスの約款、利用規約、

その他の利用条件を確認し、利用の必要性を判断した上、セキュリティ対策も適切に 講ずる必要がある。具体的には次の事項が考えられる。

・サーバ装置の故障や運用手順誤りに等により、サーバ装置上の情報が滅失し復元不 可能となる場合に備えてバックアップを取得する

・サービスの突然の停止に備え、予め代替サービスを確認しておく

・約款や利用規約が予告なく一方的に変更され、セキュリティ設定が変更される場合 や一度記録された情報を確実に消去できない場合に備え、サービスで取り扱うこと のできる情報をあらかじめ定めておく 等

（注１）グループメールサービスの業務利用においても、その設定によってはメール の内容が外部から閲覧可能な状態となり、必要なセキュリティが確保できな い場合があるため利用を禁止する必要がある。やむを得ず利用する場合は、

利用の要否を十分に検討の上、必要な対策を講じた上で利用する。なお、グ ループメールサービス利用時の注意喚起については、「グループメールサー ビスの利用について（注意喚起）」（平成25 年7 月11 日 総務省 事務連 絡）を参照されたい。

107