クラウドサービスを利用する前には、自社が利用するサービスに預ける(アップロードする)データが、どこの国のサーバに保管されるのか、「データの所在地」を知ることが重要だと言われています。
クラウドセキュリティに関する管理策を定めた国際規格である「ISO/IEC 27017」にも、「クラウドサービスの提供者は、クラウドサービスの利用者に、利用者のデータを保管する可能性のある国を通知することが望ましい」という記述があります。(*1)
また、有名なIaaS型のクラウドサービスであるAWSやMS Azureでは、利用者が、自社のデータを保管する国を選択することが出来ます。
なぜ、データを保管する国は、利用者にとってそこまで重要なのでしょうか。
答えは、各国によって、保管するデータやサーバにまつわる法規制が違うからです。各国の法規制を知らずにデータを適当な国に保管してしまうと、法令違反となる可能性があります。具体的にどのような規制があるのか、見ていきたいと思います。
また、ISO27017を取得するためにはまずISMS/ISO27001を取得する必要があります。ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。
(*1) 「ISO/IEC 27017」6.1.3 関係当局との連絡
アメリカ「愛国者法(Patriot Act)」
これは、アメリカで起こった同時多発テロを受けて制定された法律です。
当局に対して強い操作権限を定めた法律で、政府やFBIは、アメリカ国内に存在するコンピュータやサーバ内のデータを、裁判所の命令なしで調査することが可能です。
実際、2009年には、FBIが調査のために、アメリカ国内に存在するとあるデータセンターを差し押さえ、サーバを強制的に停止した事例が存在します。その結果、このデータセンターを利用していた顧客約50社が、データベースへのアクセスを失う事態に陥りました。
FBIにデータを押収されたからといって、即座に情報が外部に流出する可能性は低いと考えられます。そのため、情報セキュリティの用語で言う「機密性」に関するリスクは低いものの「可用性」が長期にわたって失われるリスクがあります。
アメリカにデータを保管する場合は、アメリカ以外の地域にバックアップデータを保管すると、上記のリスクを低減することができ、更に顧客に安心感を与えることが可能です。
ちなみに、愛国者法そのものは2015年6月末に失効しており、新たに「米国自由法」という法律が定められました。愛国者法時代にあった、あまりに強力な当局の操作権限は制限されることになりましたが、それでも、今述べたリスクは残留していると言われています。
EU「EUデータ保護指令」
これは、EU加盟国の国民の個人情報に関して定めた法律です。この法律では、EU内の国民の個人情報を、許可無くEU域外に転送してはならないことが定められています。
考えられるリスクとしては、EU域内の事業所で取得したデータを、その国のサーバで保管せず、日本国内のサーバに転送して保管した場合、その時点で違反となってしまいます。
実は、アメリカとヨーロッパの間では、一部の企業に関しては個人情報のデータ移転を許可する「セーフハーバー協定」を結んでいましたが、2015年秋に、欧州司法裁判所は、「セーフハーバー協定は無効である」との判断を出し、大きな波紋を呼んでいます。
また、この「EUデータ保護指令」は、2018年に、より強制力の強い「一般データ保護規則」が発行される予定です。
このように、海外には、保管するデータにまつわる様々な法律や規則があり、不用意にデータを転送したり、保管したりしてしまうと、その時点で法律違反になってしまう可能性があります。
おすすめは、国内向けのサービスならば、そのデータは国内のサーバに保管することです。
もちろん、国内の個人情報保護法を始めとした、データの保護に関する法律は順守する必要がありますが、実態が分からない海外法を調査して運営するよりかは、安全性が高いサービスが運用できると考えられます。もし、利用しているサービスの事情などで、海外にデータを保管せざるを得ない場合は、その国のデータ保護にまつわる法律を理解し、適切なリスクマネジメントを行うことが大切です。
LRM株式会社では、ISMS認証取得をはじめとするセキュリティ認証取得コンサルティングを行っています。審査員も在籍、経験豊富なコンサルタントに自社開発のクラウドサービスも活用し、貴社のISMS認証取得を確実にサポートします。お気軽にお問い合わせください。
