クラウドサービスを利用する前には、自社が利用するサービスに預ける(アップロードする)データが、どこの国のサーバに保管されるのか、「データの所在地」を知ることが重要だと言われています。

クラウドセキュリティに関する管理策を定めた国際規格である「ISO/IEC 27017」にも、「クラウドサービスの提供者は、クラウドサービスの利用者に、利用者のデータを保管する可能性のある国を通知することが望ましい」という記述があります。(*1)

また、有名なIaaS型のクラウドサービスであるAWSやMS Azureでは、利用者が、自社のデータを保管する国を選択することが出来ます。なぜ、データを保管する国は、利用者にとってそこまで重要なのでしょうか。

答えは、各国によって、保管するデータやサーバにまつわる法規制が違うからです。各国の法規制を知らずにデータを適当な国に保管してしまうと、法令違反となる可能性があります。具体的にどのような規制があるのか、見ていきたいと思います。

(1)アメリカ「愛国者法(Patriot Act)」

これは、アメリカで起こった同時多発テロを受けて制定された法律です。当局に対して強い操作権限を定めた法律で、政府やFBIは、アメリカ国内に存在するコンピュータやサーバ内のデータを、裁判所の命令なしで調査することが可能です。

実際、2009年には、FBIが調査のために、アメリカ国内に存在するとあるデータセンターを差し押さえ、サーバを強制的に停止した事例が存在します。その結果、このデータセンターを利用していた顧客約50社が、データベースへのアクセスを失う事態に陥りました。

FBIにデータを押収されたからといって、即座に情報が外部に流出する可能性は低いと考えられます。そのため、情報セキュリティの用語で言う「機密性」に関するリスクは低いものの「可用性」が長期にわたって失われるリスクがあります。

アメリカにデータを保管する場合は、アメリカ以外の地域にバックアップデータを保管すると、上記のリスクを低減することができ、更に顧客に安心感を与えることが可能です。

ちなみに、愛国者法そのものは2015年6月末に失効しており、新たに「米国自由法」という法律が定められました。愛国者法時代にあった、あまりに強力な当局の操作権限は制限されることになりましたが、それでも、今述べたリスクは残留していると言われています。

(2)EU「EUデータ保護指令」

これは、EU加盟国の国民の個人情報に関して定めた法律です。この法律では、EU内の国民の個人情報を、許可無くEU域外に転送してはならないことが定められています。

考えられるリスクとしては、EU域内の事業所で取得したデータを、その国のサーバで保管せず、日本国内のサーバに転送して保管した場合、その時点で違反となってしまいます。

実は、アメリカとヨーロッパの間では、一部の企業に関しては個人情報のデータ移転を許可する「セーフハーバー協定」を結んでいましたが、2015年秋に、欧州司法裁判所は、「セーフハーバー協定は無効である」との判断を出し、大きな波紋を呼んでいます。また、この「EUデータ保護指令」は、2018年に、より強制力の強い「一般データ保護規則」が発行される予定です。

このように、海外には、保管するデータにまつわる様々な法律や規則があり、不用意にデータを転送したり、保管したりしてしまうと、その時点で法律違反になってしまう可能性があります。

おすすめは、国内向けのサービスならば、そのデータは国内のサーバに保管することです。もちろん、国内の個人情報保護法を始めとした、データの保護に関する法律は順守する必要がありますが、実態が分からない海外法を調査して運営するよりかは、安全性が高いサービスが運用できると考えられます。もし、利用しているサービスの事情などで、海外にデータを保管せざるを得ない場合は、その国のデータ保護にまつわる法律を理解し、適切なリスクマネジメントを行うことが大切です。

ちなみに、LRMでは、クラウドの情報セキュリティに特化した認証、ISO27017の認証取得コンサルティングをおこなっていますので、ご興味ございましたらこちらもご覧ください。

(*1) 「ISO/IEC 27017」6.1.3 関係当局との連絡

なぜクラウドサービスを利用する際はデータ保管国を知る必要があるのか

カテゴリー: クラウド

クラウドサービスを利用する前には、自社が利用するサービスに預ける(アップロードする)データが、どこの国のサーバに保管されるのか、「データの所在地」を知ることが重要だと言われています。

クラウドセキュリティに関する管理策を定めた国際規格である「ISO/IEC 27017」にも、「クラウドサービスの提供者は、クラウドサービスの利用者に、利用者のデータを保管する可能性のある国を通知することが望ましい」という記述があります。(*1)

また、有名なIaaS型のクラウドサービスであるAWSやMS Azureでは、利用者が、自社のデータを保管する国を選択することが出来ます。なぜ、データを保管する国は、利用者にとってそこまで重要なのでしょうか。

答えは、各国によって、保管するデータやサーバにまつわる法規制が違うからです。各国の法規制を知らずにデータを適当な国に保管してしまうと、法令違反となる可能性があります。具体的にどのような規制があるのか、見ていきたいと思います。

(1)アメリカ「愛国者法(Patriot Act)」

これは、アメリカで起こった同時多発テロを受けて制定された法律です。当局に対して強い操作権限を定めた法律で、政府やFBIは、アメリカ国内に存在するコンピュータやサーバ内のデータを、裁判所の命令なしで調査することが可能です。

実際、2009年には、FBIが調査のために、アメリカ国内に存在するとあるデータセンターを差し押さえ、サーバを強制的に停止した事例が存在します。その結果、このデータセンターを利用していた顧客約50社が、データベースへのアクセスを失う事態に陥りました。

FBIにデータを押収されたからといって、即座に情報が外部に流出する可能性は低いと考えられます。そのため、情報セキュリティの用語で言う「機密性」に関するリスクは低いものの「可用性」が長期にわたって失われるリスクがあります。

アメリカにデータを保管する場合は、アメリカ以外の地域にバックアップデータを保管すると、上記のリスクを低減することができ、更に顧客に安心感を与えることが可能です。

ちなみに、愛国者法そのものは2015年6月末に失効しており、新たに「米国自由法」という法律が定められました。愛国者法時代にあった、あまりに強力な当局の操作権限は制限されることになりましたが、それでも、今述べたリスクは残留していると言われています。

(2)EU「EUデータ保護指令」

これは、EU加盟国の国民の個人情報に関して定めた法律です。この法律では、EU内の国民の個人情報を、許可無くEU域外に転送してはならないことが定められています。

考えられるリスクとしては、EU域内の事業所で取得したデータを、その国のサーバで保管せず、日本国内のサーバに転送して保管した場合、その時点で違反となってしまいます。

実は、アメリカとヨーロッパの間では、一部の企業に関しては個人情報のデータ移転を許可する「セーフハーバー協定」を結んでいましたが、2015年秋に、欧州司法裁判所は、「セーフハーバー協定は無効である」との判断を出し、大きな波紋を呼んでいます。また、この「EUデータ保護指令」は、2018年に、より強制力の強い「一般データ保護規則」が発行される予定です。

このように、海外には、保管するデータにまつわる様々な法律や規則があり、不用意にデータを転送したり、保管したりしてしまうと、その時点で法律違反になってしまう可能性があります。

おすすめは、国内向けのサービスならば、そのデータは国内のサーバに保管することです。もちろん、国内の個人情報保護法を始めとした、データの保護に関する法律は順守する必要がありますが、実態が分からない海外法を調査して運営するよりかは、安全性が高いサービスが運用できると考えられます。もし、利用しているサービスの事情などで、海外にデータを保管せざるを得ない場合は、その国のデータ保護にまつわる法律を理解し、適切なリスクマネジメントを行うことが大切です。

ちなみに、LRMでは、クラウドの情報セキュリティに特化した認証、ISO27017の認証取得コンサルティングをおこなっていますので、ご興味ございましたらこちらもご覧ください。

(*1) 「ISO/IEC 27017」6.1.3 関係当局との連絡

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする