世界規模でクラウドサービスを利用する企業は、契約内容を精査し、自社の利用形態にあったサービスを選ぶべきだ。利用契約において重要な検討事項の1つである「データ管理」を解説する。
国内企業が海外展開を図る際に、クラウドサービスの採用がいっそう進むとみられる。企業は、クラウドサービスを提供するプロバイダーが処理する自社情報を保護するために、法的要素を理解しておく必要がある。
クラウド上に蓄積したデータの取り扱いに関する権利義務は、クラウドサービスを利用する企業とプロバイダーが結ぶ利用契約の条項とその解釈で決まる。利用契約の検討で重要な項目は、(1)利用契約を交渉できるか否か、(2)紛争解決の方法、(3)期間満了、解除、事前解約におけるデータの返却、(4)データ管理――の4つである。
本稿では、クラウドサービスの利用契約で注意すべきポイントの後編として、(4)データ管理を解説する。
利用契約における検討項目(1)〜(3)の解説は、「利用契約の検討――グローバルクラウドで失敗しないために(前編)」をご参照下さい
非営利団体のCloud Security Allianceが2009年4月および12月に発表したガイダンス「Security Guidance for Critical Areas of Focus in Cloud Computing」(V1.0/2.0)では、プロバイダーのデータ保存地域について言及している。グローバル規模でクラウドサービスの活用を考える企業は、データが国境を越えて転送されるか、転送されるとすればそれはどこの国か(前提として、どこの国に転送されるかが分かるのか)、現地法に基づいたデータ保護で自国法のコンプライアンス(法令順守)が可能なのか、コンプライアンスに対してどのようなサポートがなされるか――といった項目を検討しておきたい。
クラウドサービス | データセンターの設置場所 | 備考 |
---|---|---|
Google Apps | 非公開 | セキュリティ確保のため、分離して構築。一部の従業員しかアクセスできない。データセンターでは、データのセキュリティ、拡張性、使用リソースの増減、冗長性に対応できるとしている(Google「セキュリティとプライバシー」) |
Amazon EC2 | 米国と欧州 | 「ゾーン」「リージョン」という切り分けでデータセンターを運用。担当者は、「新しく欧州にゾーンを設けることで、ヨーロッパの顧客らがEU(ヨーロッパ連合)のデータ保護法の要請を満たせるようになった」として、設置・運用場所と法適用性の密接な関係を述べている |
Force.com | 米国 | ― |
Windows Azure Platform | 米国シカゴ、サンアントニオ、アイルランド、オランダ、シンガポール、香港など | データの保存場所の地名は、利用契約には記載されていない |
クラウドサービスとデータの地理的要素 |
日本では、個人情報取扱事業者がクラウドサービスを利用して個人情報を管理する場合、適切な安全管理を行う必要がある(個人情報保護法 第20条)。企業が個人情報の取り扱いをプロバイダーに委託する際は、委託先であるプロバイダーを適切に監査することが求められる(同法第22条)。
日本では、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」や他分野のガイドラインに基づいて、適切な委託先の監督が求められている。具体的には、委託先を適切に選び、安全管理措置を順守させるための契約を結び、委託先が個人情報をどう扱っているかを把握することを指す。
プロバイダーがセキュリティポリシーを詳細に公開している場合、適切な委託先であるか、安全管理措置が順守されているかを判断しやすい。だがサービスを契約する段階で、情報セキュリティの監査までを契約内容に盛り込むのは難しい。代替手段を検討しておくべきだ。
プロバイダー側でも、個人情報の保護は必須である。例えばプロバイダー側の落ち度によって不正アクセスを受け、ユーザーの機密情報が破棄された場合、情報の復元はプロバイダーの役目だ。データのバックアップやサポート体制の整備を整え、どのレベルの事故が起こった場合であれば利用者に通知するかを決めておきたい。万が一のセキュリティ事故に備えて、企業への手当なども検討しておこう。
Copyright © ITmedia, Inc. All Rights Reserved.