デジタル庁は、行政機関等がクラウドソフトウェアを選定しやすくする仕組みとしてデジタルマーケットプレイスを進めている。中小IT企業にとって公共調達への入口になる一方、登録や商談では「そのSaaSを安全に運用できるか」が問われる。
公共向け営業は、機能一覧だけでは弱い。コンプライアンス支援やベンダーマネジメントの観点で、証跡を先に整える必要がある。
先に整えるべき証跡
| 項目 | 準備する資料 |
|---|---|
| 情報管理 | データ保存場所、アクセス権限、管理者権限 |
| 障害対応 | 障害連絡体制、復旧手順、サポート時間 |
| 脆弱性管理 | 診断結果、修正フロー、依存ライブラリ管理 |
| ログ | 操作ログ、監査ログ、保存期間 |
| 契約 | SLA、再委託、データ削除、解約時対応 |
| 個人情報 | 取得範囲、委託先管理、削除手順 |
「聞かれたら答える」ではなく、営業資料と審査資料を分けて作ることが重要である。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
よくある不足
1. 管理者権限の説明が薄い
誰が何を見られるのか、管理者の操作はログに残るのかを説明できないと、公共案件では不安材料になる。
2. 障害時の連絡先が属人化している
代表メールだけでなく、一次受付、技術対応、復旧判断、報告書作成の流れを決める。
3. セキュリティ資料が営業資料と混ざっている
営業資料はわかりやすさ、審査資料は証跡と責任分界が必要である。セキュリティコンサルティングで第三者視点を入れると整えやすい。
よくある質問
Q1. 認証取得がないと公共案件は無理ですか
案件や制度により要件は異なる。認証の有無だけでなく、運用証跡とリスク説明を整えることが出発点になる。
Q2. 小規模SaaSでも監査ログは必要ですか
公共・医療・教育などの案件では、誰が何を操作したかを説明できることが重要になる。最初からログ設計を入れるべきである。
Q3. 何から着手すべきですか
データ、権限、ログ、障害対応、契約の5点を棚卸しする。技術資料と営業資料を分けて整える。
参考情報
-
デジタル庁「デジタルマーケットプレイス」:https://www.digital.go.jp/policies/dmp
公共調達向けのセキュリティ証跡を整えませんか
GXOでは、SaaS事業者の公共案件向けセキュリティ資料、運用証跡、審査対応を支援します。