Slackから
「FedRAMP対応が必要な場合がある」と
いうメールが届いた

by

日本国内で、米国政府とのやり取りが一切ない個人や小規模チームが通常の業務連絡にSlackを使っているなら、FedRAMPとは無関係です。

関連記事

1. 「対応が必要な場合がある」?

Slackから「ご対応が必要な場合があります」という件名のメールが届いたので確認しました。

[ご対応が必要な場合があります] お客様の Slack サポートデータと FedRAMP
ご対応をお願いします :お客様のオーガナイゼーションで Slack のカスタマーサポートデータを FedRAMP 認可システムに保存および管理する必要がある場合は、2026 年 8 月 16 日までに Slack に通知する必要があります。…

1. 「対応が必要な場合がある」?

調べてみると、自分のような小規模のチームで利用している場合には、とくに対応は必要ないことがわかりました。

今回の通知は、Slackワークスペース内の投稿やファイルとは無関係です。
対象になるのは、Slackのサポートチームに問い合わせたときの「サポートケース、ケース関連のデータや連絡内容」です。
SlackヘルプセンターからチケットをEU・サポートとやり取りした記録がこれにあたります。

「もし、FedRAMPが必要な組織には、2026年8月16日までに申告するように」というのが、今回の通知の趣旨です1が、この準拠が必要になるのは、連邦政府機関そのものと、政府から委託を受けて連邦情報を扱う組織です。

確認することは一つだけです。

自分たちのSlack利用において、米国政府・政府委託・FedRAMP指定の契約があるか?

なければ、2026年8月16日までに何かする必要はありません。

2. FedRAMPとは何か

「FedRAMP」とは、Federal Risk and Authorization Management Programの略で、米国政府がクラウドサービスのセキュリティを評価・認可するための枠組みです。

FedRAMP | FedRAMP.gov
FedRAMP | FedRAMP.gov

米国連邦政府機関がクラウドサービスを導入する場合、そのサービスが「FedRAMP認可」を取得していることが求められます。
FedRAMP公式サイトによると、対象は「連邦情報を作成・収集・処理・保存・維持するクラウドサービスの利用」とされています2
ただ、Slackはサポートデータを現在Salesforceのシステムで管理していますが、そのシステムは「FedRAMPの認可境界の外」にあるということです3

2.1. 対応が必要になるのは主に連邦政府の委託先

以下のような状況が該当します。

  • 米国連邦政府機関そのものがSlackを使っている
  • 米国政府の委託先として、連邦情報や政府データを扱っている
  • 調達・契約の条件に「FedRAMP認可環境での管理」が明記されている
  • GovSlackを利用している、または利用を前提にしたコンプライアンス要求がある

「GovSlack」は、政府・高規制環境向けの専用Slackです4
SlackにはFedRAMP Moderate認可の環境と、FedRAMP JAB High認可のGovSlackという2種類の政府向け対応があり、前者はEnterprise/Enterprise+プランで特定の構成をとった場合に公共部門の要件に対応します5
通常のFreeプランやProプランで日本国内の業務に使っている場合とは、まったく別の話です。

3. 通常は、何もしなくていい

何もしなければ、Slackへの問い合わせ履歴などのサポートデータはFedRAMP境界外のSalesforceシステムで管理されます6
現状と変わらない扱いで、通常の利用では実害はありません。

  1. Slackのコンプライアンスページでは、FedRAMP Moderate認可およびGovSlackのFedRAMP JAB High認可について説明されています。申告手順の詳細はSlackヘルプセンターのFAQを参照してください。 – Resources for compliance | Slack
  2. FedRAMP公式のスコープページには、対象外となるケースの例示も詳しく記載されています。非政府組織が政府ユーザーの便宜のために提供する一般的なコラボレーションプラットフォーム(SlackやGoogle Docsなど)は、範囲外とされる例として挙げられています。 – Scope of FedRAMP
  3. SlackはSalesforceの傘下にあり、2021年7月に約277億ドルで買収が完了しています。サポートデータの管理にSalesforceのシステムが使われている背景には、この企業統合があります。 – Salesforce Completes Acquisition of Slack
  4. GovSlackはAWS GovCloudのデータセンターで稼働し、米国人スタッフが運用します。FedRAMP High認可に加え、DoD SRG IL4認可も取得しています。 – GovSlack | Slack
  5. FedRAMP MarketplaceにはSlack(Moderate)とGovSlack(High)がそれぞれ掲載されています。GovSlackのFedRAMP Certified認定は2024年1月25日付です。 – GovSlack | FedRAMP Marketplace
  6. Slackのメール本文では、このシステムについて「FedRAMPの境界内にはありませんが、お客様のサポートデータの継続的な保護と整合性を実現するように設計された包括的なセキュリティ管理によって、引き続きSlackの最高水準の信頼性要件を維持します」と説明されています。Salesforceのセキュリティ基準については公式トラストページを参照してください。 – Slack Trust | Slack