“コンプラ”を理由にクラウドを使わない時代は終わったのか:Azure漫遊記(1/2 ページ)
個人情報の扱いなど、企業コンプライアンス(法令順守)の重視から、オンプレミスサーバにこだわる企業も少なくない。だが、クラウド上の個人情報保護や特許にまつわる問題への対応は確実に進んでいる。パブリッククラウドの1つ「Microsoft Azure」では、これらの問題を未然に防ぐための施策を数多く用意している。
この連載は
基幹システムや業務システムをオンプレミスサーバで運用しながら、クラウド移行のタイミングを探っている企業のIT担当者向けに、Microsoftのパブリッククラウド「Microsoft Azure」を活用する際のポイントや事例を紹介する。
今や業種を問わず、パブリッククラウドを導入する企業が増えている。その一方で、企業コンプライアンスの要請は年々高まっており、2017年5月には改正個人情報保護法の全面施行も控えている。
クラウドの導入を検討する企業にとって、一番の関心事ともいえるのが、「クラウド上の個人情報の扱いはどうなるのか」という問題だ。
例えば個人情報を扱う企業が、そのデータをクラウド上に預ける場合、「“第三者となるクラウド事業者”に個人情報を提供した」ものとして改めて情報提供者の同意を得る必要があるのか、また、個人情報の取り扱いをクラウド事業者に“委託した”ことになるのか、といった点は気になるところだ。
個人情報保護委員会が作成したガイドラインQ&A(『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』)では、クラウド提供事業者が個人データを取り扱わない場合は、個人データの「委託」や「第三者提供」には該当しない(同Q&A A5-33)と説明している。
政府や警察の「データ開示要請」への対応は
クラウド上のデータ保護については、“クラウド事業者が、政府機関や法執行機関などの第三者からデータ開示要請を受ける場合の対応”も重要なポイントだ。
グローバルに目を向けると、政府機関からの開示要請がパブリッククラウド事業者に対して出された例が見受けられる。Microsoftも2013年に米国政府からアイルランドのデータセンターにあるメールの開示要求を拒否して訴訟を起こしており、2016年7月に控訴審にて勝訴した(現在も係争中)。
現在Microsoftは、全世界の顧客から預かっているデータに対して、政府機関や法執行機関が開示を要求しても「データは顧客のもの」との考えに立って、開示を原則禁止している。
日本マイクロソフト 政策渉外・法務本部/弁護士の中島麻里氏によれば、2016年上半期に、同社が開示要求を受けた件数は全世界で3万5572件だという。大半が個人ユーザー向けの無償サービスに関するものであり、法人向けサービスの開示要求は28件にとどまっている。
そのうち12件は開示せず、16件は強制力ある命令に基づいて最低限のデータのみ開示しているが、コンテンツ開示は5件のみ。このような数値を「Law Enforcement Requests Report(法執行機関からの要請に関するレポート)」上で開示している理由の1つが、「顧客のコンプライアンス対応に影響しないパブリッククラウドとしての信頼性が重要であるため」(中島氏)と説明する。
顧客ごとに異なるセキュリティ要請に対応
日本マイクロソフトは、顧客先を訪れる際に一般的な営業担当者だけではなく、必要に応じて、技術や法務部門の担当者も同席する。その理由として、顧客の業種や業務内容、パブリッククラウドの利用形態によって、セキュリティまわりの質問が異なるため、内容に応じた専門家が直接対応するのがベストと考えているからだ。
例えば顧客が旅⾏代理業者であれば、「顧客のデータを海外⽀店と共有する場合の質問に回答する」といったケースが考えられる。データを利用する支店が“北米にあるのか欧州にあるのか“でも、扱いや開示要求時の対応が異なるなど顧客の質問は多岐にわたるが、基礎的な部分は前述のガイドラインQ&Aで補い、企業固有のケースは専門の担当者が対応するという。
また、顧客となる企業が、⾃社でルールとして定めた個⼈情報保護のための覚書を締結するようパブリッククラウド事業者に求めることもある。この場合、⽇本マイクロソフトはMicrosoftの契約に同等の定めがあることや、覚書は必要ではないとするガイドラインQ&Aについて説明している。具体的には自社ルールと顧客の社内ルールを照らし合わせ、1つ1つの問題を法務部⾨担当者がマッチングさせるという。その結果、両社が納得できる覚書の締結に至るそうだ。
グローバル化に伴うセキュリティ要請にも対応
企業のグローバル化が進む中、個人情報の取り扱いが欧州連合(EU)を含む場合、企業は複雑な対応を求められる。例えばEU圏に支社がある場合、EUが1995年に採択したEU域外への個人データの持ち出しを原則禁止する「EUデータ保護指令」という大きな壁が存在する。
日本マイクロソフトは、「EUモデル条項」やEU・米国間の枠組みである「プライバシーシールド」に準拠し、この制限に対応している。昨今は、「EUデータ保護指令」に代わり、2018年5月に施行される「GDPR(一般データ保護規則)」への対応が欠かせないが、既にMicrosoftは2018年5月までのGDPRへの対応完了を確約するとともに、Webでの情報提供も開始している。
他にも日本マイクロソフトは、「パブリッククラウド事業者のための個人情報保護の規範(ISO/IEC 27018:2014)」に対応するなど、パブリッククラウドの信頼性・透明性を高める施策を用意している。なお、パブリッククラウド案件で法的理由が障壁となって獲得できなかった案件は皆無だという。
関連記事
5分で分かる「Microsoft Azure」
Microsoftのパブリッククラウドである「Microsoft Azure」は、2017年でサービス開始から7周年を迎える。本連載では自社の基幹システムや業務システムをオンプレミスサーバで運用しながら、クラウドへの移行タイミングを探りつつある担当者向けに、Azureの実装方法や事例を紹介する。
名称刷新、「Microsoft Inspire」でパートナー戦略はどう変わる?
ワールドワイドのパートナー向けカンファレンス「Microsoft Worldwide Partner Conference(WPC)」が「Microsoft Inspire」に変更された。パートナーとともに“刺激し合う(インスパイア)”イベントを通して、新しいソリューションの創出を目指すMicrosoftのパートナー戦略とは?
授業を爆速でオンライン動画化、静岡大学がマイクロソフトと手を組んだ理由
静岡大学と日本マイクロソフトが、大学教育におけるデジタルトランスフォーメーション推進において協力すると発表した。AI時代に通用する人材育成を目指すとともに、授業の動画化を推進するシステムを開発したという。両者にはどのような狙いがあるのだろうか。
第一生命保険、「健康増進サービス」のクラウド基盤にMicrosoft Azureを採用
第一生命保険は、生活習慣改善をサポートする「健康増進サービス」のシステム基盤として、「Microsoft Azure」を採用。ビッグデータ分析とAIを活用し、顧客の健康リスクを評価・分析し、個々人に最適なアドバイスを提供する。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。