企業がクラウドストレージを利用する際、データの保管場所がどこなのか、データ保護規制に準拠しているのかどうかといった問題が浮上する。適切に対処するために知っておくべき5つのポイントを取り上げる。
テレワークの普及と同時に、企業の間ではクラウドストレージをはじめとしたクラウドサービスの利用が加速した。クラウドサービスを利用するとクラウドベンダーがインフラを運用してくれることから、企業はデータ保護の課題を棚上げにしがちだ。だがクラウドサービスが企業におけるコンプライアンス(法令順守)の不備を全て解消してくれるわけではない。
企業は今後、従来あるデータ保護規制に加えて、新たに登場する規制にも対処しなければならない。クラウドストレージの利用が広がる中で、企業はデータセキュリティやプライバシー保護の対策を確実に実施するために、何をどうすればいいのか。念頭に置いた方がよい5つの要点を紹介しよう。
EUの一般データ保護規則「GDPR」(General Data Protection Regulation)は、第三者がデータを扱う場合も含め、データ処理のルールを定めている。プライバシーコンサルティング会社VigiTrustのCEOマシュー・ゴージ氏によれば、クラウドサービスの利用は、第三者にデータを預けることを意味する。クラウドベンダーが「データの処理者」となり、ユーザー企業は「データの管理者」となる。「データ管理者は、データ処理者が自社と同レベルの適切なセキュリティを提供していることを確認しなければならない」とゴージ氏は話す。
クレジットカード業界のセキュリティ基準「Payment Card Industry Data Security Standard」(PCI DSS)は法的要件ではないが、データプライバシーの専門家は、PCI DSSを法的要件として扱うことを推奨している。PCI DSSを策定する業界団体Payment Card Industry Security Standards Council(PCI SSC)は、2022年3月に最新版の「PCI DSS v.4.0」を公開した。PCI SSCは、PCI DSSの要件を将来的に再度更新する可能性がある。その時期はまだ不明だが、PCI DSS v.4.0の公開から2年半から3年後になると考えられる。CIO(最高情報責任者)やCISO(情報セキュリティ最高責任者)、データ管理者は、自組織のデータセキュリティがPCI DSSに準拠しているかどうかを継続的に見直す必要がある。
クレジットカードの詳細情報には、クレジットカード所有者の自宅住所や氏名といった個人情報が含まれることがよくある。「こうした情報の侵害は、PCI DSSやGDPRに抵触し、いずれも罰則を科せられる可能性がある」。ITコンサルティング会社HeleCloudのシニアクラウドコンサルタントであるクレイグ・タンストール氏は、そう注意を促す。
EUの規制の一つに、「NIS指令」(ネットワークおよび情報システム指令)がある。NIS指令はGDPRに比べて知られていないが、その要件は厳格であり、企業にとっては重要だ。クラウドベンダーなどの事業者は、データの漏えいや侵害を防ぐためのセキュリティ対策を講じる必要がある。
NIS指令が対象とする組織は、エネルギーや運輸、水道、銀行、デジタルインフラ分野の主要サービス事業者と、それに関連するデジタルサービス提供者だ。対象の組織は、国のインフラに対する提供サービスの重要性によって決定する。
サイバーセキュリティコンサルティング会社Prism Infosecの創設者で主任コンサルタントのフィル・ロビンソン氏によると、データがクラウドサービスにある場合、主要サービス事業者またはデジタルサービス提供者は、セキュリティインシデントを規制当局に報告する義務がある。
クラウドサービスを利用する企業は、データ保護やプライバシー保護、セキュリティに関する責任を、クラウドベンダーと共有することを理解しなければならない。これはGDPRやNIS指令だけではなく、各種のデータ保護規則に通底する基本的な考え方だ。
簡単に言えば、データがクラウドベンダーのインフラに保存されている場合でも、企業はそのデータの保護に責任を持つことになる。この考え方はクラウドサービス群の「Amazon Web Services」やサブスクリプション型のオフィススイート「Microsoft 365」、クラウドストレージ「Dropbox」といったさまざまなクラウドサービスに適用できる。
企業が利用するクラウドサービスは多様化している。企業は改めて、使用しているインフラやシステムについて、各種規制要件に順守しているかどうかを確認する必要がある。利用中のクラウドサービスがPCI DSSに準拠しているからといって、そこで運用する自社のデータやシステムがPCI DSSに準拠しているとは限らない。「重要なのはクラウドベンダーが担う責任と、自社がどのようなサービスを利用しているのかを理解することだ」(タンストール氏)
企業は、データがどこにあるのかを常に把握しておく必要がある。オンプレミスのインフラでシステムを運用するのが通例だった時代は、データの保管場所が変わることはまれだった。データがあるのは自社保有のデータセンターかサーバルーム、あるいはコロケーションサービスのデータセンターで、データがそこから移動するのは災害復旧時のようなまれな場合だけだった。
“グローバルなクラウドサービス”とは、データが世界中のデータセンターに存在できることを意味する。1つのファイルのデータを分割し、それぞれを複数のデータセンターに保管することも可能だ。
主要クラウドベンダーは、基本的には世界各地にデータセンターを配置し、データを特定の地域内のみで保管するサービスを提供している。だがそうしたサービスを提供していないクラウドサービスもあり、その場合はデータがどこに保管されるのかが明確ではない。
こうしたクラウドサービスの事情と、データ保護規制の要件を踏まえると、データレジデンシー(データの所在地)に関する問題は複雑になる。クラウドサービス利用に着手する初期の段階で、専門家のアドバイスを受けるのが望ましい。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
メインフレームにおけるデータソート処理は、システム効率に大きく影響する。そこで、z/OSシステムおよびIBM Zメインフレーム上で稼働する、高パフォーマンスのソート/コピー/結合ソリューションを紹介する。
ECと通販システムを統合したパッケージの開発と導入を事業の柱とするエルテックスでは、事業の成長に伴いデータの容量を拡大する必要に迫られていた。そこでストレージを刷新してコスト削減や可用性の向上などさまざまな成果を得たという。
CPUやGPUの性能向上に伴い、データセンターでは今、発熱量の増加にどう対応するかが課題となっている。特に高密度なサーバ環境では、従来のファンやヒートシンクに頼るだけでは熱管理が難しい。こうした中、企業が採用すべき手段とは?
オンラインストレージは幅広い用途で利用されるだけに、市場に提供される製品も多数に上る。最適なサービスを選定するための基礎知識を解説するとともに、ユーザーレビューから分かったサービスの違いを明らかにする。
中堅・中小企業の中には、IT担当者が社内に1~3人しかいないという企業も少なくない。そのような状況でも幅広い業務に対応しなければならないIT担当者の負担を減らす上では、ファイルサーバをアウトソーシングすることも有効だ。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
