企業がクラウドストレージを利用する際、データの保管場所がどこなのか、データ保護規制に準拠しているのかどうかといった問題が浮上する。適切に対処するために知っておくべき5つのポイントを取り上げる。
テレワークの普及と同時に、企業の間ではクラウドストレージをはじめとしたクラウドサービスの利用が加速した。クラウドサービスを利用するとクラウドベンダーがインフラを運用してくれることから、企業はデータ保護の課題を棚上げにしがちだ。だがクラウドサービスが企業におけるコンプライアンス(法令順守)の不備を全て解消してくれるわけではない。
企業は今後、従来あるデータ保護規制に加えて、新たに登場する規制にも対処しなければならない。クラウドストレージの利用が広がる中で、企業はデータセキュリティやプライバシー保護の対策を確実に実施するために、何をどうすればいいのか。念頭に置いた方がよい5つの要点を紹介しよう。
EUの一般データ保護規則「GDPR」(General Data Protection Regulation)は、第三者がデータを扱う場合も含め、データ処理のルールを定めている。プライバシーコンサルティング会社VigiTrustのCEOマシュー・ゴージ氏によれば、クラウドサービスの利用は、第三者にデータを預けることを意味する。クラウドベンダーが「データの処理者」となり、ユーザー企業は「データの管理者」となる。「データ管理者は、データ処理者が自社と同レベルの適切なセキュリティを提供していることを確認しなければならない」とゴージ氏は話す。
クレジットカード業界のセキュリティ基準「Payment Card Industry Data Security Standard」(PCI DSS)は法的要件ではないが、データプライバシーの専門家は、PCI DSSを法的要件として扱うことを推奨している。PCI DSSを策定する業界団体Payment Card Industry Security Standards Council(PCI SSC)は、2022年3月に最新版の「PCI DSS v.4.0」を公開した。PCI SSCは、PCI DSSの要件を将来的に再度更新する可能性がある。その時期はまだ不明だが、PCI DSS v.4.0の公開から2年半から3年後になると考えられる。CIO(最高情報責任者)やCISO(情報セキュリティ最高責任者)、データ管理者は、自組織のデータセキュリティがPCI DSSに準拠しているかどうかを継続的に見直す必要がある。
クレジットカードの詳細情報には、クレジットカード所有者の自宅住所や氏名といった個人情報が含まれることがよくある。「こうした情報の侵害は、PCI DSSやGDPRに抵触し、いずれも罰則を科せられる可能性がある」。ITコンサルティング会社HeleCloudのシニアクラウドコンサルタントであるクレイグ・タンストール氏は、そう注意を促す。
EUの規制の一つに、「NIS指令」(ネットワークおよび情報システム指令)がある。NIS指令はGDPRに比べて知られていないが、その要件は厳格であり、企業にとっては重要だ。クラウドベンダーなどの事業者は、データの漏えいや侵害を防ぐためのセキュリティ対策を講じる必要がある。
NIS指令が対象とする組織は、エネルギーや運輸、水道、銀行、デジタルインフラ分野の主要サービス事業者と、それに関連するデジタルサービス提供者だ。対象の組織は、国のインフラに対する提供サービスの重要性によって決定する。
サイバーセキュリティコンサルティング会社Prism Infosecの創設者で主任コンサルタントのフィル・ロビンソン氏によると、データがクラウドサービスにある場合、主要サービス事業者またはデジタルサービス提供者は、セキュリティインシデントを規制当局に報告する義務がある。
クラウドサービスを利用する企業は、データ保護やプライバシー保護、セキュリティに関する責任を、クラウドベンダーと共有することを理解しなければならない。これはGDPRやNIS指令だけではなく、各種のデータ保護規則に通底する基本的な考え方だ。
簡単に言えば、データがクラウドベンダーのインフラに保存されている場合でも、企業はそのデータの保護に責任を持つことになる。この考え方はクラウドサービス群の「Amazon Web Services」やサブスクリプション型のオフィススイート「Microsoft 365」、クラウドストレージ「Dropbox」といったさまざまなクラウドサービスに適用できる。
企業が利用するクラウドサービスは多様化している。企業は改めて、使用しているインフラやシステムについて、各種規制要件に順守しているかどうかを確認する必要がある。利用中のクラウドサービスがPCI DSSに準拠しているからといって、そこで運用する自社のデータやシステムがPCI DSSに準拠しているとは限らない。「重要なのはクラウドベンダーが担う責任と、自社がどのようなサービスを利用しているのかを理解することだ」(タンストール氏)
企業は、データがどこにあるのかを常に把握しておく必要がある。オンプレミスのインフラでシステムを運用するのが通例だった時代は、データの保管場所が変わることはまれだった。データがあるのは自社保有のデータセンターかサーバルーム、あるいはコロケーションサービスのデータセンターで、データがそこから移動するのは災害復旧時のようなまれな場合だけだった。
“グローバルなクラウドサービス”とは、データが世界中のデータセンターに存在できることを意味する。1つのファイルのデータを分割し、それぞれを複数のデータセンターに保管することも可能だ。
主要クラウドベンダーは、基本的には世界各地にデータセンターを配置し、データを特定の地域内のみで保管するサービスを提供している。だがそうしたサービスを提供していないクラウドサービスもあり、その場合はデータがどこに保管されるのかが明確ではない。
こうしたクラウドサービスの事情と、データ保護規制の要件を踏まえると、データレジデンシー(データの所在地)に関する問題は複雑になる。クラウドサービス利用に着手する初期の段階で、専門家のアドバイスを受けるのが望ましい。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
データ生成デバイスの進化・多様化により、保存すべきデータ容量は急増した。その管理においては、コストとパフォーマンスのバランスが課題となっている。解決策の1つとして注目される「HPSS」の効果について、導入事例を紹介したい。
業務のデジタル化が進み、データ量やワークロードが増大していた大阪府農協電算センター。それによりインフラの負荷が高まり、性能を向上させることが喫緊の課題になっていた。本資料では同社がどのようにインフラを移行したのか解説する。
「データを共有しておいてください」といった言葉はもはや日常となり、共有ストレージの活用は欠かせないものとなっている。一方で、「容量が不足している」「外出先で社内ファイルを閲覧できない」などの課題を抱える企業も多い。
ビジネスにおけるデータの重要性が増す中、それを保存するためのストレージへの注目度が高まっている。それでは、自社に最適なストレージを導入するためには、どのように選定すればよいのか。重要なポイントを分かりやすく解説する。
次世代サーバはどこまで到達した? 集約率・電力消費・耐量子暗号の現在地 (2025/7/9)
製造や医療で注目の「エッジAI」、産業用コンピュータにいま必要な技術とは (2025/5/23)
クラウド全盛期になぜ「テープ」が再注目? データ管理の最前線を探る (2025/4/24)
データの多様化と肥大化が加速 ファイルサーバ運用は限界? 見直しのポイント (2025/4/8)
Hyper-Vは「次の仮想化基盤」になり得るのか 有識者の本音を聞く (2025/3/14)
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...