IPAが、欧州ENISA(European Network and Information Security Agency:欧州 ネットワーク情報セキュリティ庁)のクラウドのセキュリティに関するガイドラインの翻訳を公表しています。
ENISA が2009年11月に発行したガイドラインは次の二つ
「クラウドコンピューティング:情報セキュリティ確保のためのフレームワーク」
「クラウドコンピューティング:情報セキュリティに関わる利点、リスクおよび推奨事項」
IPAの説明文によると「これらのガイドラインは、中小企業の利用に配慮したもの」となっているとのことです。
フレームワークの方は、企業がクラウドを利用する際に、情報セキュリティ確保のためクラウドプロバイダに対して質問すべき項目が列記されているものですが、それほど数も多くありません。
法的要求事項に関しては、以下のとおり
- クラウドプロバイダが所在する国は?
- クラウドプロバイダのインフラストラクチャは、同じ国に存在するのか、別の国か?
- クラウドプロバイダは、そのクラウドプロバイダのインフラストラクチャとは別のインフラストラクチャを所有する他の会社を使っているか?
- データが物理的に存在する場所は?
- 契約条件の司法管轄権と、データ自体の司法管轄権は、分割されるか?
- クラウドプロバイダのサービスのいずれかは、下請け契約されるか?
- クラウドプロバイダのサービスのいずれかは、外部委託されるか?
- クラウド利用者(および利用者の顧客)から提供されたデータは、どのように収集、処理および転送されるか?
- 契約が終了した場合、クラウドプロバイダに送信されたデータはどうなるか?
基本的な内容ですが、現実問題として、日本の中小企業がこのようなことを確認し、契約等に反映させることは難しいと感じますが、中小企業のクラウドの利用促進を図るのであればこのような事項に関してクラウドプロバイダの情報公開を促進(強制?)する仕組みが必要になるのでしょうね。なお、上記の「司法管轄権」という言葉ですが、日本語としては少し不自然かもしれません。裁判管轄と準拠法の両方が問題となり得るので、両方が含まれる概念として「司法管轄権」という言葉を利用しているのでしょうか。
「利点、リスクおよび推奨事項」のドキュメントについては、法的な観点からは、付録の付録 I ? クラウドコンピューティング ? 法律上の重要な問題点(90ページ)で、詳しく解説されています。
EUで問題になってくる法的な問題についても検討されていますが、基本的にクラウドの法的問題は、契約で処理されている(同ドキュメントもそのような認識)ので、日本でも参考になる部分は多いと思われます。
EUの個人データ保護指令の適用に関しての記述(93ページ以下)も参考になります。同記述によれば、データ管理者(クラウドの利用者・顧客)が、「EU 圏内に確立されていない場合」でも、データセンター等の設備・装置がEU圏内に位置すれば、同指令が適用されるということですので、日本の企業がEU圏内にデータセンター等があるクラウドプロバイダを利用する場合は要注意ということになるのでしょう。