クラウド上の大事なデータ、見知らぬ誰かがアクセスしたらどうするの？：教えて、マイクロソフトさん

クラウドの向こうにいる、見知らぬ誰かが勝手に大事なデータにアクセスしたら――。クラウドの不安はまさにそこにあります。このプライバシー問題について、マイクロソフトはどのように取り組んでいるのでしょうか。

[PR／ITmedia]

　クラウドを使うということは、外部にデータを預けるということ。クラウドの不安はまさにそこにあります。クラウドの向こうにいる、見知らぬ誰かが勝手に大事なデータにアクセスしたら――。マイクロソフトのクラウドは、そんな不安とは無縁です！

　「お客さまの情報はお客さまのもの」という大前提のもとで「プライバシー」をクラウドサービス提供における最優先事項の一つとしています。これが何を意味するのか、具体的に解説していきましょう。

「物理面」「制度面」の両方から安全策を施しています

　Office 365をはじめ、マイクロソフトのクラウドサービスが稼働するデータセンターには、物理面と制度面の両面から防御策を施しています。データセンターのエンジニアもお客さまのデータへのアクセス権はありませんし、各提供サービスに対しても広範なアドミニストレーター権限を持つ人は1人もいません。Office 365はサービスの運用に際し、人の介在を極力なくして自動化するよう設計されています。これにより、データセキュリティとプライバシーが最大限保たれています。

　しかし、非常にまれですが、お客さまが直面している問題を解決するためにマイクロソフトのエンジニアがお客さまのデータにアクセスする必要がある場合があります。その場合でも、マイクロソフト社内の複数の承認を経た上で、お客さま自身がマイクロソフトエンジニアのデータへのアクセスを承認／拒否できる「Customer Lockbox for Office 365」という仕組みを用意しています。

　「お客さまの情報はお客さまのもの」という方針のもと、お客さまの承認なしにアクセスもしませんし、データマイニングもしないことをお約束します。

バックドアは存在しません

　もちろん、プライバシーも重要です。よく外資系のクラウドというと「米国司法当局からのデータ開示要求に応じてしまうのでは……」と不安になる人も多いでしょう。

　でも大丈夫です。政府からお客さまのデータ開示を求められた場合も、原則はお客さまへの確認を促し、勝手に開示しません。マイクロソフトは一貫して、「いかなる国や行政機関であっても、保管されているデータは一切渡さないことを宣言する。必要であれば提訴も辞さない。政府や関連団体に対して暗号キーを渡すこともない」――と、表明しているのです。

　マイクロソフトではオペレーションの透明性も重要な要素の一つです。一例ですが、全てのサービスについて、法的機関から情報開示の要請がどれくらいあり、どのような対応を行ったかについても、年2回レポートで公表しています。

ISO/IEC 27018 プライバシー標準に準拠した世界初のクラウドサービス

　よくクラウドに対しては「メール文面を勝手に読んでいるのではないか」「顧客リストを使われたりしないだろうか」という不安を聞きます。

　その不安は不要です！　なぜなら、Office 365 は国際規格に基づいて個人情報保護のルールが整備され、現場で徹底されているからです。独立した第三者監査機関によるテストと評価により、Office 365 は情報セキュリティに関する国際標準である ISO 27001 とパブリッククラウドにおける個人情報の保護に特化した国際標準である ISO 27018 に準拠していると評価されています。マイクロソフト クラウドは、ISO/IEC 27018 プライバシー標準に準拠した世界初のクラウドサービスなのです。

　この宣言からも分かるように、マイクロソフトのクラウドサービスの根幹には、自らを律し、国際基準をクリアしているという安全性があります。それも全て「お客さまのデータはお客さまのもの」ということを見つめた結果なのです。

　マイクロソフトのクラウドサービスでは、セキュリティはもはや懸念ではありません。