「クラウド時代のデータ保護」の責任者は誰か：Weekly Memo（2/2 ページ）

[松岡功，ITmedia]

データ保護の最終責任は経営者にあり

パブリッククラウドにおけるデータ保護の責任者は誰か（出典：EMCジャパン）

　ただ、パブリッククラウドの割合がこれから着実に増えていくのは必然だ。そこで同調査で「パブリッククラウドにおけるデータ保護の責任者は誰か」と聞いたところ、「自社IT部門」（70％）、「クラウドサービスベンダー」（43％）、「社内の各部門」（15％）という結果が得られたという。

　合計すると100％を超えるが、これはデータの内容によって責任の所在が異なるとの見解から、複数回答があったためだろう。とはいえ、この結果は責任の所在があいまいになっていることを浮き彫りにしたものといえそうだ。

　EMCジャパンもこの点については、「調査結果から見ると、実際にデータ消失などが起きた際に、責任の所在がはっきりしないグレーゾーンが存在していると考えられる」（EMCジャパンDPA事業本部 本部長の今井浩氏）と指摘している。

EMCジャパンDPA事業本部 本部長の今井浩氏

　では、どうすればよいのか。今井氏は、「パブリッククラウドにおけるデータ保護については、ユーザー企業の依頼を受けてベンダーが日常の運用管理を行う形になるが、まずはユーザー企業が自社のデータ保護におけるポリシーを明確に示して、取引先や従業員、顧客などステークホルダーとの間で共通認識を持った上で、ベンダーとサービスレベル契約を結ぶようにするのが望ましいのではないか」と語った。

　筆者の個人的な意見としては、同調査でデータ保護の責任の所在をベンダーとする回答が43％に上ったことに驚いた。「責任」の意味を、例えば「データを消失した場合のテクニカルなリカバリ」と解釈するならば、サービスレベル契約に基づいてベンダーが責任を全うすべきだが、企業においてデータ保護というのは、突き詰めれば「経営の存続」に関わる問題だ。そう考えるならば、最終責任は「自社」、それも「経営者」にあるのではないか。

　以前、データ保護をはじめとした事業継続をテーマに取材を行っていたとき、中堅企業の社長からこんな話を聞いた。

　「どんなことがあっても会社をつぶしてはならない。そのために必要なデータをITでどう管理するのか。保護するための対策をどう講じるのか。それを考えて実施し把握しておくのは、会社を存続させる責任がある私の仕事だ」

　もちろん、企業規模が大きくなれば、経営トップだけでは責任を負いきれず、IT部門の役割も求められるだろう。とはいえ、最も大事なのは中堅企業の社長が語った「経営者としての覚悟」ではないだろうか。経営者が覚悟を明確に示すことで、自社のIT部門やクラウドサービスベンダーに一層の緊張感を持たせるべきである。

　パブリッククラウドの普及とともに、この問題はますます顕在化するだろう。だが、本来、データ保護というのは「経営」の話だ。したがって、責任の所在は明らかである。