セキュリティ

IPAのIT製品調達セキュリティ要件リストをAI・SaaS選定に読み替える方法

2026年6月5日11分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

COLUMN

この記事は、AI・SaaS・クラウドサービスを調達する際に「どんなセキュリティ要件をベンダーに聞けばよいか分からない」と感じる調達担当者・法務担当者・情報システム担当者向けです。工場・現場向けのエッジAI端末に特化したRFP要件は、姉妹記事のエッジAI端末の調達RFPに入れるセキュリティ要件が扱っています（対象資産で差別化しています）。

IPAのIT製品調達セキュリティ要件リストとは

IPAは「IT製品の調達におけるセキュリティ要件リスト」を公開しており、2026年2月にv2.1へ更新されました（https://www.ipa.go.jp/security/it-product/index.html）。11の製品分野（デジタル複合機・ファイアウォール・スマートフォン等）について、想定される脅威とセキュリティ要件を整理したものです。

このリストは製品カテゴリーが従来型のハードウェア製品を中心に構成されているため、クラウドSaaSやAIサービスへそのまま適用できません。しかし、要件の考え方（認証・暗号化・ログ・脆弱性管理・データ削除など）は共通しているため、各軸をSaaS・AIサービスの文脈に読み替えることで標準的な評価基準として使えます。

FREE CONSULTATION

この記事の内容について、専門家に相談できます

AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。

無料で相談する

なぜAI・SaaS選定で調達要件の標準化が必要か

IPA「情報セキュリティ10大脅威 2026」では3位に「AIの利用をめぐるサイバーリスク」が初登場しました。AI利用リスクは「AIを使うユーザー側のリスク」「AIシステム自体への攻撃」「AIを悪用した攻撃の高度化」の3つに分類されますが、調達・選定の場面で管理できるのはおもにベンダー側の対策（1つ目と2つ目）です。

さらに、経産省・総務省「AI事業者ガイドライン第1.2版」（2026年3月31日）では、AIエージェント対応・学習データトレーサビリティの義務化・リスク分類拡充が主要改訂として追加されました。調達側企業も「そのAIサービスは学習データの出処を説明できるか」「学習に自社データを使わないか」を選定基準に組み込む必要があります。

AI・SaaS向け調達セキュリティ要件の読み替え表

IPAリストの軸をクラウドSaaS・AIサービスに読み替えた評価項目を示します。

IPAリストの軸	AI・SaaS版の読み替え	ベンダーへの確認項目
識別と認証	SSO・SAML対応、MFA必須設定、APIキー管理	MFA強制設定が可能か、IDPとのSAML/OIDC連携があるか
アクセス制御	役割ベースのアクセス制御（RBAC）、最小権限	部署・役職・外部委託先ごとに権限を分けられるか
暗号化	通信暗号化（TLS 1.2以上）、保存データ暗号化、鍵管理	保存データは何で暗号化されているか、顧客固有の鍵管理（BYOK）に対応するか
監査ログ	操作ログ・API呼び出しログの保存・エクスポート	何のログがどのくらい保存されるか、SIEMへのエクスポートに対応するか
脆弱性管理	CVE対応・パッチ適用のSLA	セキュリティパッチのリリース頻度とCritical脆弱性への対応期間は何日か
データ削除	解約時のデータ削除・証明・バックアップからの削除	解約後のデータ削除完了を証明する書類は発行されるか
AI固有：学習データ	入力データをモデルの学習に使用するか、学習使用を停止できるか	自社データがモデルの改善・学習に使われるか、オプトアウト設定があるか
AI固有：トレーサビリティ	学習データの出処説明、ライセンス確認	学習に使ったデータの権利・ライセンスを説明できるか（AI事業者ガイドライン1.2版準拠）

FREE DOWNLOAD

AI導入チェックリスト（PoC 失敗要因 10項目）

情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。

30分で相談するチェックリストをDL

AI・SaaS選定前に自社で決める5項目

ベンダー評価に入る前に、自社側で以下を決めておきます。これがない状態でRFPを書くと、評価基準が揺れます。

1. 扱うデータの分類と入力禁止データの定義

「このSaaSに入れてよいデータ」と「入れてはいけないデータ」を先に文書化します。個人情報・顧客情報・機密契約書・財務情報・研究開発データのうち、どれが対象業務に関わるかを確認します。

2. 認証方式の要件

SSOを既に使っている場合、SAML/OIDC連携を必須要件にします。MFA未実施の場合は、SaaS側でMFA強制設定できるかを確認します。

3. ログの保存要件

監査・コンプライアンス要件（個人情報保護法・業界規制）から、最低限保存が必要なログの種類と保存期間を先に決めます。これをベンダーが提供するログの仕様と照合します。

4. データの国内保存または国外移転への対応

国内のみでの保存が必要か、EU・米国などへのデータ移転に関する制約（GDPR・個人情報保護法の外国第三者提供）を確認します。

5. 解約時のデータ取り扱い

契約終了時の自社データの返却形式（CSVエクスポート等）、バックアップからの削除手順、削除完了の証明方法をベンダーに確認します。これは選定段階で決めておかないと、契約終了時に揉める原因になります。

AI・SaaS選定チェックシート

以下を選定フローの「スクリーニング」段階で使います。不合格項目があれば追加確認または選定対象外とします。

チェック項目	確認方法	不合格の場合の対処
MFA強制設定が可能	管理コンソールのデモで確認	要件に含め、代替手段を確認
SAML/OIDC連携対応	技術仕様書または問い合わせ	IDP設定で補完できるか確認
操作ログのエクスポート	APIドキュメントで確認	対応SIEMとの直接連携を確認
入力データを学習に使わない設定	利用規約・DPAで確認	条項の記載がなければ書面での確認を要求
学習データの出処説明（AIサービス）	AI事業者ガイドライン対応状況を確認	記載のないベンダーはリスクとして記録
解約時のデータ削除証明	契約書・DPAで確認	標準外なら契約交渉で追加
Critical脆弱性の対応期間	SLAまたは公開情報	対応期間が90日超は要注意
ISO 27001またはSOC 2認証の有無	認証書・報告書の提出を求める	認証がなければ独自の情報提供を要求

契約書・データ処理契約（DPA）で確認する6点

選定後、契約フェーズで以下を確認し、必要に応じて修正を求めます。

データ処理の目的制限：入力データをサービス改善・モデル学習に使用する条項がないか、またはオプトアウトが明記されているか
再委託先の開示：データが第三者に渡る場合、再委託先のリスト開示と通知義務があるか
セキュリティ侵害の通知義務：侵害発生時に何時間以内に通知するかがSLAとして明記されているか
データの物理的な所在地：データが保存されるリージョン・国が契約で確定しているか
解約後のデータ保持期間と削除：解約後にデータを何日間保持するか、削除完了の証明がどの形式で提供されるか
監査権：顧客がセキュリティ対策の実施状況を監査（または第三者監査報告書の提出を要求）できるか

GXOはどう支援するか

GXOでは、AI・SaaSの選定段階から調達セキュリティ要件の設計を支援します。IPA要件リストとAI事業者ガイドラインをベースに、自社の業務内容・データ分類・コンプライアンス要件に合わせたRFP要件を整理し、ベンダー回答の評価まで対応します。契約書・DPAのセキュリティ条項の確認も含め、発注から本番稼働まで一貫して対応します。ベンダー選定の実務チェックも合わせて活用いただけます。

よくある質問

Q1. AIサービスで「ISO 27001認証取得済み」とあれば、それで十分ですか

ISO 27001は情報セキュリティ管理体制の認証ですが、学習データの扱い・AIの信頼性・データ処理契約の内容はスコープ外の場合があります。AI固有のリスク（学習利用の有無、モデルの偏り等）は別途確認が必要です。

Q2. 中小企業がすべての項目を確認するのは現実的ですか

全項目を同列に扱う必要はありません。扱うデータの機密性に応じて、個人情報・契約情報を扱うサービスは「ログ保存」「学習利用の禁止」「データ削除証明」を必須とし、それ以外のサービスはMFAとSSO対応のみを必須とする段階分けが現実的です。

Q3. AI事業者ガイドラインへの準拠は義務ですか

現時点（2026年6月）では法的義務ではなく任意対応です。ただし、2026年3月の第1.2版では「学習データトレーサビリティ」の記述が強化されており、発注側企業がベンダーに対応状況の確認を求めることは調達リスク管理として合理的です。

参考情報

IPA「IT製品の調達におけるセキュリティ要件リスト（v2.1、2026年2月）」：https://www.ipa.go.jp/security/it-product/index.html
総務省・経済産業省「AI事業者ガイドライン（第1.2版）」（2026年3月31日）：https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20260331_report.html
IPA「情報セキュリティ10大脅威 2026」：https://www.ipa.go.jp/security/10threats/10threats2026.html
IPA「AIを用いたサービスの情報セキュリティ（AIセキュリティ短信）」：https://www.ipa.go.jp/digital/ai/security/ai-security-bulletin.html

AI・SaaSのRFPセキュリティ要件を標準化しませんか

GXOでは、IPA要件リストとAI事業者ガイドラインを組み合わせた調達セキュリティ要件の設計・ベンダー評価・DPA確認まで支援します。

AI・SaaS調達のセキュリティ要件を相談する

RELATED SERVICES

この記事に関連するサービス

脆弱性診断

システムの弱点を専門家が診断

ゼロトラスト

次世代のセキュリティ基盤

セキュリティコンサルティング

戦略から実装まで

FREE DOWNLOAD

この記事と関連する実践資料

費用相場、選定チェックリスト、補助金活用など、続きをより深く掘り下げた資料を無料でダウンロードできます（営業電話なし / 即DL / 社内共有OK）。

AI導入

AI導入アセスメントチェックリスト

AI導入前に確認すべき業務範囲、データ、セキュリティ、PoC判断、運用体制を整理するチェックリストです。

無料でダウンロード

RFP/ベンダー選定

中堅企業向け RFPテンプレート 2026

AI・DX・業務システム開発を外部発注する前に、要件、評価観点、契約条件、セキュリティ要求を整理するRFPテンプレートです。

無料でダウンロード

すべての資料を見る

CONTACT

まずは無料相談から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

無料相談する資料ダウンロード