このような事柄ばかり挙げると、「クラウドはやはり不安」と思われるだろうか。だが、こうした課題を解決するソリューションも登場している。心理的な「安心」が得られているかどうかはともかく、技術的には「安全」にクラウドを活用する方法は確立されはじめており、政府からも安全な利用のためのガイドラインが公開されている。
まず、通信経路の暗号化に加え、クラウド上のデータを暗号化することで、万一の流出に備えることができる。また、セキュリティソリューションの1つである次世代ファイアウォールでは、単なるポート単位ではなくアプリケーション単位で利用状況を可視化し、コントロールすることが可能だ。さらに、クラウド上のどのデータに誰がアクセスでき、どんな処理を行えるかといったアクセス制御を、オンプレミスのシステムと同じように行える「Cloud Access Security Broker(CASB)」といったソリューションも生まれている。こうした技術を適切に組み合わせることで、かなりの程度ガバナンスを効かせることができるだろう。
何より、クラウドサービスを提供する事業者自身も、ファシリティ面はもちろん、入退室管理も含めた情報管理体制の整備を進め、セキュリティの強化に意欲的に取り組んでいる。Amazon Web Services(AWS)やMicrosoftといった大手はもちろん、国内のクラウドサービス事業社の中にも、クラウドサービスの情報セキュリティに関する国際標準「ISO/IEC 27017」や、個人情報保護に関する規格「ISO/IEC 27018」の認証を取得するところが現れた。今後のサービス利用に当たっては、こうした認証の有無もポイントになるだろう。
もう1つ、クラウドサービス利用に当たって留意すべきことがある。クラウドサービスを利用したからといって、セキュリティは事業者に丸投げできるわけではない。例えばAWSが「責任共有モデル」で示しているとおり、クラウド利用時のセキュリティ確保には、利用者側の関与、コミットが欠かせない。基盤のセキュリティは事業者に任せつつ、その上で活用するデータやコンテンツ、アプリケーションをどのように守っていくか、ルールを決めて実施するのは利用企業自身だ。
こうしたルールさえ明確にしておけば、クラウドサービスを利用したいがセキュリティも心配だ……という漠然とした悩みにも答えを出しやすくなるだろう。やはり自社ですべてを管理したいとオンプレミスで継続するのも1つの手であるし、ファシリティをはじめインフラ面への投資を事業者側に委ね、クラウドがもたらすコスト削減効果やビジネス上のメリットを享受する道を選択した場合にも、どのようなリスクが解消でき、どんなリスクは許容するのかといった事柄を整理した上で利用できる。その際には、契約内容やサービスレベルを確認し、インシデントが発生したらどう対応したくれるかといった透明性を確保している事業者を選ぶことが重要だ。
新しい動きとしての個人情報保護法改正:これまでの5000件以下の縛りがなくなり、あらゆる企業が対象に
こうした事柄を踏まえた上で、2017年度にはもう一つ、企業のIT担当者が考慮すべき大きな動きがある。2015年9月に成立した改正個人情報保護法が、5月30日に施行される予定となっている。
これまでの個人情報保護法は、5000件を超える個人情報を扱う事業者のみが「個人情報取扱事業者」とされ、同法に従ってデータを扱う必要があった。だが、今回の改正にともなってこの上限が撤廃され、5000件以下であっても、何らかの個人情報を扱う企業が適用対象となる。つまり、中小企業にとっても無縁の話ではなくなるのだ。
他にも改正ではいくつか重要な変更が加わっている。まず、個人情報の定義を明確化しており、新たに「個人識別符号」という概念が導入された。これに伴い指紋などの整体識別情報についても適切に取り扱う必要が生じる。また、病歴などのセンシティブなデータは「要配慮個人情報」とされ、取得や第三者提供が禁止される。
一方、業界から要望の合ったビッグデータなどでの利活用を進めるため、「匿名加工情報」というものを設け、特定の個人を識別できないよう加工した(匿名化した)情報については、第三者提供が可能となる。
他に、個人データを第三者提供する際、あるいは提供を受ける際には確認・記録する義務が設けられており、トレーサビリティを確保する必要が生じる。同時に、第三者提供を行う際のオプトアウト手続きも厳格化されるため、個人情報を収集する際のプロセスや画面表示、プライバシーポリシーなどを見直し、修正する必要が生じる場合もあるだろう。
クラウドサービス利用という側面から関係してくるのが、「外国の第三者への提供の制限」だ。日本と同等の個人情報保護制度がない海外の事業者に個人データを提供することは、原則できなくなった。また、保護体制が整っている場合でも、データ「提供」はもちろん、データ処理を依頼したり、クラウド上で管理するといった「委託」する場合や「共同利用」の場合にも、原則として本人同意を得る必要がある。
個人データの利用を巡って、グローバル企業が留意しなければならない動きはもう一つある。ヨーロッパ連合(EU)が2018年5月に施行予定の「一般データ保護規則」(GDPR)では、EU域内で働く従業員の情報も含め、EU域内で取得した個人データを域外に持ち出し、処理を行う事業者にはさまざまな義務が課せられる予定だ。残念ながら、日本は今のところEUからの十分性認定を得ていないため、個別に対応を取る必要がある。
何より、クラウドサービスを提供する事業者自身も、ファシリティ面はもちろん、入退室管理も含めた情報管理体制の整備を進め、セキュリティの強化に意欲的に取り組んでいる。Amazon Web Services(AWS)やMicrosoftといった大手はもちろん、国内のクラウドサービス事業社の中にも、クラウドサービスの情報セキュリティに関する国際標準「ISO/IEC 27017」や、個人情報保護に関する規格「ISO/IEC 27018」の認証を取得するところが現れた。
ただ、こうした国際認証取得に関しては、やはり海外のサービスが一歩先を行っている。例えば、企業向けにクラウドベースのコンテンツ管理・共有サービスを提供している米Boxは、ISO/IEC 27018はもちろん、PCI DSSや医療業界向けの「HIPAA/HITECH」、証券業界の「FINRA/SEC 17a-4」といった業界ごとのセキュリティ規格にも準拠している。今後のサービス利用に当たっては、こうした認証の有無もポイントになるだろう。
このように2017年度以降しばらくは、個人データの取り扱いという視点からも、既存のシステムや業務プロセスのあり方を再確認する必要がありそうだ。全てオンプレミスで構築するにせよ、クラウドサービスを活用して、一部の運用を外部に委託するにせよ、これから明らかになってくるであろう具体的なルールやガイドラインに関する情報をチェックし、必要に応じていつでも動き出せる体制を整えておくことが重要だ。改正個人情報保護法への対応に、どのくらいの体力が必要になるかは不透明だが、信頼できるクラウドサービスの活用も含め、今のうちにさまざまな選択肢を検討しておくべきではなかろうか。
第3回に続く
生産性向上と情報ガバナンスの強化を両立する「クラウド」という選択肢~変化するビジネス環境にいかに対応するか?【第1回】
生産性向上と情報ガバナンスの強化を両立する「クラウド」という選択肢~変化するビジネス環境にいかに対応するか?【第2回】
生産性向上と情報ガバナンスの強化を両立する「クラウド」という選択肢~変化するビジネス環境にいかに対応するか?【第3回】
生産性向上と情報ガバナンスの強化を両立する「クラウド」という選択肢~変化するビジネス環境にいかに対応するか?【第4回】
ZD/net Japan 特集
生産性向上と情報ガバナンスの強化を両立する「クラウド」という選択肢 より
- トピックス:
- コラム
- 関連トピックス:
- ガバナンス