機密文書のクラウド保管と利用上の懸念事項
- 2020/6/18
- 法令コラム
民間事業者9,056事業者に対して情報処理の実態把握をするために経済産業省が実施した「平成29年情報処理実態調査」によると、平成28年度の「クラウド・コンピューティング利用率」は前年度差+8.4 ポイントの59.3%となり、平成18年度の調査開始以来、最大の数値を示したようです。
また、同調査で報告された平成28年度の「クラウド・コンピューティングの導入・利用上の課題」では、「トータルコストが高い」ことを挙げた企業の割合が 36.2%と最も高く、次いで「重要データを社外に出せない」が 29.1%、「システムの信頼性・安全性が不十分」が 28.5%となっています。
前年度比較においては、「トータルコストが高い」「重要データを社外に出せない」「システムの信頼性・安全性が不十分」など全項目にわたって数値が下がりました。そして、17.8%が「特に課題を感じることがない」と回答しました。したがって、企業においてもクラウドサービスの利用における課題が徐々に解消されつつあると言えるのではないでしょうか。
機密文書をクラウドに保管する上での懸念事項
しかし、クラウドサービス利用上の課題である「重要データを社外に出せない」「システムの信頼性・安全性が不十分」を合わせると57.6%となり、過半数の企業が機密文書をクラウドに保管する上で情報セキュリティ面での不安を感じていることがわかります。
これまで自社保管していた機密情報などのデータを社外に保管するわけですから、「大事な機密情報を社外に預けても大丈夫なの?」と心配になるのは当然のことです。そこで、機密情報を含む重要なデータをクラウドに保管してもいいのか判断するためのポイントを3つご紹介したいと思います。
1.クラウドサービス事業者の信頼性
クラウドサービスを提供する事業者の経営が安定して信頼できるか、サービス提供が長期間安定して行われるか。経営の評価は難しいですが、IPA(独立行政法人情報処理推進機構)が作成した「中小企業のためのクラウドサービス安全利用の手引き」では、以下を目安として事業者を評価することを推奨しています。
- 株式公開企業であるか
- 何年業務を続けているか
- 利用者数は多いか
- 事故の情報がたびたび聞かれないか
- 事後実績のあるシステムインテグレーターや販売店が代理販売しているか
上記の他にも、データの物理的な保管場所は確認しておいたほうが良いでしょう。日本国内のサーバに保存することを確約する事業者を選択することをおすすめします。なぜなら、海外の大規模クラウド事業者が提供するサービスの場合、自分のデータがどの国に設置されたサーバに保存されているかを特定できない場合があるからです。
さらに、法規制上の制約や、司法の実効性は各国において異なるため予期せぬ事態が発生する可能性もあります。例えば、米国にあるサーバにデータを保存する場合には、2001年に発生した同時多発テロ事件を受けて成立した米国愛国者法(USA Patriot Act)の対象となります。この法律により、捜査機関は裁判所の関与を求めることなくサーバの調査を行うことができるようになりました。そのため、他のユーザとサーバを共有しているような場合には、他ユーザが捜査を受けることで、システム停止の影響を受けるといったことが発生するかもしれません。
2.クラウドサービスの信頼性
クラウドサービスは、メンテナンスや障害のために、停止する場合があります。その対策方針等は、SLA(サービスレベル契約書)、セキュリティポリシー、利用規約といった文書で示されています。そういった文書に書かれている、メンテテンス時の事前予告方法やサーバでの障害発生時の対応方法を確認できます。
また、クラウド事業者が公開している情報セキュリティ対策の具体的内容も確認するポイントの一つです。多くの場合、クラウド事業者は情報セキュリティ対策に関する説明をウェブサイトで公開しています。例えば、以下の項目について確認すると良いでしょう。
- サーバやストレージやネットワークの多重化・冗長化について
- データの暗号化保存について
- クラウド事業者側でのバックアップについて
- ウィルス・マルウェア感染や不正アクセスへの対策について
- データセンターの防犯設備、入退室管理や監視体制について
- データセンターの作業者のモニタリングやアクセスログの管理について
3.サービス利用終了後のデータの取扱い条件
多くのクラウドサービスの契約条項には、事業者の都合でサービスを中止する可能性があることが示されており、それに合意することが利用の条件となっています。その際には、クラウドに保存したデータを他の事業者に移行しなければいけません。
スムーズにデータを移行するためには、事前にデータが必要なタイミングで返却されるか、どのようなフォーマットで返却されるか確認しておく必要があります。
また、サービスの利用が終了して、データが返却された後に、クラウドサーバに保管されていたデータが確実に消去されるかも重要なポイントです。機密文書などの重要なデータがクラウド事業者側に残ったままでは、第三者に悪用される可能性があるからです。
機密文書のクラウド保管と利用上の懸念事項:まとめ
機密文書などのデータを保管するためのオンラインストレージやクラウド型の営業支援ソフト、会計ソフトなどのクラウドサービスの利用企業が増加しています。企業においてクラウドサービスの利用コストや信頼性に関する懸念が少しずつ解消されてきているようです。
しかし、すべてのクラウドサービスが安全で信頼できるわけではありません。サービス利用前には、クラウド事業者やサービスの信頼性の評価は当然のことながら、サービス利用終了後のデータの取扱いについても確認することをおすすめします。