金融、医療系企業に認められるクラウドサービスの条件は：教えて、マイクロソフトさん

医療系や金融系の企業は、取引先や社内コンプライアンスの観点から他の業界に比べて特に「クラウド化が難しい」といわれています。それはどのような理由によるもので、どの課題が解決すればクラウド化に踏み切れるのでしょうか。　

[PR／ITmedia]

PR

　特に医療系や金融系の企業には、取引先や社内のコンプライアンスの観点から「データは国外に出すなんてもってのほか」というルールがあるでしょう。しかし、ここでクラウド化を断念することはありません。マイクロソフトは、こうした事情から“クラウド化に踏み切れない”という企業の皆さんの不安を払拭するために、さまざまな取り組みを行っています。

多くの業種をカバーする「第三者機関の認証」

　マイクロソフトのクラウドサービスが、さまざまな認証をクリアしているのをご存じでしょうか。こちらの記事で、パブリッククラウドにおける個人情報の保護に特化した国際基準「ISO 27018」に準拠していることをご紹介しましたが、それ以外にも、さまざまな国際基準に対応しているのです。

■マイクロソフトのクラウドサービスが準拠している国際基準

国際基準	概要
ISO 27001	情報セキュリティマネジメントシステムの国際基準
EU Model Clauses	EU内の企業がEU以外の国に情報を移転する際の標準契約条項モデル
HIPAA BAA	米国における医療保険の相互運用性と説明責任に関する法令の提携事業者契約
FISMA	連邦情報セキュリティマネジメント法

　常に変化し続ける世界の中で、ビジネスに必要なさまざまな基準に素早く対応するのは至難の業ですが、マイクロソフトでは継続して規格や規制をトラッキングし、必要な機能をサービスに組み込む体制があるので、任せて安心です。

運用を手助けするさまざまな機能

　もちろん、コンプライアンスへの準拠はサーバ側だけでなく、運用もセットで考える必要があります。例えば、組織の中で故意に機密情報を持ち出そうとする人がいた場合、それを阻止することができなければいくらサーバ側の対応が万全でも安全とはいえません。

　企業の情報漏えい事故の多くはうっかりミスや誤操作といった人的ミスに起因するものです。Office 365には、データ損失防止機能（DLP）があるので、もし、社員が“クレジットカード番号などの機密情報がリストアップされたファイル”をメールで送信しようとしても、「止める」ことができます。もちろんこれは、「うっかりミス」の誤送信も防げるということです。

　また、Information Rights Management（IRM）による情報保護で、権限のない人は情報を開けないため、万が一情報が流出しても漏えいを防ぐことができます。故意でもうっかりでも、情報漏えいをくい止める仕組みが用意されているのは社員にとっても安心ですね。

日本ネットワークセキュリティ協会の2013年資料より

　そして法的措置や捜査による情報開示に対応するための機能として訴訟ホールド、電子情報開示も備わっていますので、クラウドでも自分のデータは全てコントロールできる状況にあります。

「国内データ保管」で日本企業のクラウド利用を後押し

　「クラウドの利便性は魅力でも、海外のデータセンターにデータを預けるのは、漠然としたセキュリティリスク、不安を感じる」という企業も少なからず存在することも事実です。マイクロソフトはデータセンターの地域化戦略のもと、日本にもデータセンターを用意し、“データの日本国内保管”をお約束しています。データ国内保管のコンプライアンス要件があるという日本企業の要件にも完璧に対応できるのです。

---

　企業が必要とするコンプライアンスに確実に対応しするために、マイクロソフトは継続的にクラウドへの投資を続けています。自社で全て対応するために多大なリソースをかけるよりも、「任せた方が確実で安心」と思えませんか？