GDPR

GDPRは、EU圏の個人データの収集、保存、利用、移転に関するルールを定めた規則。EU顧客を持つSaaSやグローバル事業では無視できない要件になる。

データ削除依頼、利用目的の明示、越境移転、同意取得、委託先管理など、プロダクトと運用の両面に影響する。セキュリティページやDPAで対応状況が示されることが多い。

SaaS導入では、GDPR対応の有無だけでなく、機能と契約のどちらで担保されるかも確認したい。

セキュリティ領域では、用語の意味を知るだけでなく、自社の情報管理ルールや取引先要件に照らして必要性を判断することが大切。法人利用では、SSO、権限管理、監査ログ、データ保管地域、認証規格、退職者アカウントの扱いまで確認したい。

注意点は、セキュリティ機能が上位プラン限定になっているSaaSが多いこと。導入後に必要と気づくと予算や契約変更が重くなるため、最初から管理者・情シス・法務が見る項目を洗い出しておくと安心。