クラウドやスマートフォンをビジネスで活用するにあたって新しい情報セキュリティのあり方を考える際、法制度面で注意すべきポイントとは何だろうか。
ITやWebに関し提言を行っている牧野二郎弁護士に聞いた。
─クラウドに関して、法制度面で検討すべきセキュリティリスクとは何でしょうか。
今、各社が提供しているクラウドサービスは、大変高いセキュリティが確保されていると考えてよいのではないか。問題は、企業の情報資産が必要とする機密性に合ったセキュリティレベルかということだ。一方で、すべての情報資産が同レベルのセキュリティを必要とするわけではない。コスト面も含め合理的に情報管理を行うためには、漠然とセキュリティを捉えるのではなく、守るべき情報の価値と、その価値に必要なセキュリティレベルを検討する必要がある。そのため、クラウドサービスを選択するためには、そのサービスのセキュリティレベルが常に検証できる状態になっていなくてはならない。セキュリティに関する監査を実施しているというだけでなく、いつ、どの監査法人が監査を担当したのか、監査内容や証明書など� ��企業に開示できるような、「セキュリティの可視性」が必要だ。
また、万が一問題が起きた場合、調査が可能かどうかも重要だ。多くの場合、クラウドは複数のサーバで構成されており、コンピュータが自動的にデータの格納場所を変えているため、問題が起きた場所が確定できないということもありえる。
非同盟運動の理由は何ですか
しかし、クラウドに高度なセキュリティ管理を求めることは、クラウドの持つ柔軟性と矛盾するかもしれない。厳格に管理すべきデータをクラウドに移行するかについては検討が必要だが、一方で、情報システム部門が脆弱な企業であれば、自社でデータを管理するよりもクラウドに置いた方が安全だという場合もある。つまり、企業は自社のセキュリティレベルとクラウドのセキュリティレベルを客観的に評価し、比較検討できなくてはならない。現時点では、実際に契約をしてからでないとセキュリティレベルがわからないようなクラウドサービスもあると聞くが、そうしたサービスの利用には慎重になるべきだろう。
─海外のデータセンターを利用したクラウドについてはいかがですか。
法制度の観点からいうと、特に法制度がまったく異なる国に機密性の高いデータを置くことについては、慎重に検討しなくてはならない。米国では「ホームランドセキュリティ」の観点から、愛国者法(PATRIOT Act)などが制定され、米国内のサーバ上にあるデータを捜査当局が調査の対象とすることが認められている。つまり、データが国外に移った場合、その国の法制度にコントロールされるということだ。データ開示に不服を申し立てたくても、日本人は訴訟も起こせないという問題も出てくる。
海外のデータセンターを使用する際には、このような危険性もあるということを認識しておく必要がある。米国政府やカナダ政府は、政府機関が海外のクラウドを使うことを禁止している。他国の法律によって国家の情報が侵害される危険性は徹底的に排除しなければいけないという理由からだ。クラウドの利用にあたっては、国内・国外それぞれのセキュリティリスクを検討する必要がある。これは決して、すべてのデータを日本国内に置くべきという意味ではなく、法制度に関するリスクの可能性と情報の機密性のバランスを検討する必要があるということだ。
ラウは何を意味する
─クラウドについて、具体的な問題は表面化してきているのでしょうか。
実例としてはまだ出てきてはいない。クラウドに関するセキュリティの議論は、SaaSやHaaS、ハウジング(*)に関して起こった問題をベースにして考えている。日本におけるクラウドの利用方法は、現状ではSaaS+αという形に近いものも多いためだ。しかし、データの管理・保護方法などはクラウドとSaaSでは異なるため、より注意すべき問題となるだろう。
─スマートフォンのセキュリティに関してはいかがですか。
個人情報漏えいのリスクに関して携帯電話は無視できない。しかし、企業活動において、実際の現場では携帯端末の保有台数が把握できていなかったり、紛失しても申告がなかったりというようなケースも多く、しかも4桁のパスワードロックだけの簡単なセキュリティ対策しか行われていないということも考えられる。スマートフォンのようにより高機能で大容量のデータを扱える端末になれば、個人情報以外のデータが入っていることも多いだろう。メールや書類を携帯端末に転送して仕事を行う社員がいれば、リスクは倍に増える。今後は企業が戦略的に、携帯端末の情報セキュリティ対策を行わなくてはならないだろう。
企業がスマートフォンを所有し社員に配布する場合などは、シンクライアント方式を採用する方法も考えられる。情報は各人のクライアントPCやサーバから外には出さず、取引先などで必要となる情報については、セキュアなネットワークでサーバにアクセスするなどのセキュリティ対策が行われていくべきだろう。
のために使用された最初のロボット何だったの
加えて、スマートフォンでは位置測定が連続的に行われており、どこでどのような通信を行ったかなどのライフログを記録し、行動パターンの解析やトレースを行うことも技術的には可能になってきている。これに対する合理的なルールは確立していない。位置情報やライフログが記録されるということを認識し、対策を考えていく必要があるだろう。
─合併した企業や海外支社を展開する企業がセキュリティを統一しようとする時、法制度面で注意しておくべき点は何でしょうか。
海外で合弁会社を作るということは、その国の法制度のもとでビジネスを行うという意味だ。たとえ国際的な条約があっても、立法化され国内法として制定されていなければ適用されない。たとえば、日米欧など主要国30ヵ国が署名した「サイバー犯罪に関する条約(サイバー犯罪条約)」についても、国内法化されていない限りは実効性を伴わない。相手国が国内法として制定しているかどうか確認する必要がある。
また、日本本社と海外支社とで2つの基準が存在することにもなりかねない。こうしたダブルスタンダードの状態は国内の合弁事業や企業合併でも起こりえる。たとえば、病院とゴルフクラブが合弁で介護施設を設立するような事例では、一般的なセキュリティ対策しか行っていないゴルフクラブと、厳格なセキュリティ体制を敷いている病院のどちらの基準に合わせるかという問題が生じる。2つの異なる文化が1つになる時は、コアとなるセキュリティポリシーを整えることが不可欠だ。また、ポリシーの浸透には、教育・研修と共に、互いにディスカッションすることで合意形成を進め、理解を深めていくことも重要であろう。
─企業は、利便性の追求とセキュリティとのバランスに関しどのように考えるべきでしょうか。
セキュリティ対策を単一基盤として捉えるため硬直したものになってしまうのではないか。セキュリティをゾーンとレベルに分けて管理することで、柔軟な対応ができるはずだ。そのためには、経営者は情報の価値と多様性を理解し、いつまで厳密に管理すべきかという時間軸も考えたうえで、経営戦略としてどの情報をどのレベルで守るのか決める必要がある。マーケットを作るためにオープンにしたほうがよい情報もあれば、厳密に守るべき特許などの機密情報もある。それぞれの情報資産をどのセキュリティレベルで管理するかを明確にし、合理的な情報セキュリティ戦略を立てることが、今後のITシステム導入や経営にあたって必要なことだろう。
- *SaaS……ユーザーが必要な時に必要とする機能のみを利用できる、サービスとしてのソフトウェア。
- *HaaS……メモリやストレージなどのハードウェアをサービスとして利用する利用形態。
- *ハウジング……自社のサーバなどをサービス事業者に預け、サーバ設置場所や回線のみを提供してもらうデータセンターの利用形態。
牧野二郎 氏
牧野総合法律事務所弁護士法人 所長・弁護士
1983年、弁護士開業(東京弁護士会)。96年よりインターネット上で法律相談を開始、現在に至る。
日本弁護士連合会情報問題対策委員会幹事、内閣官房情報セキュリティセンター企業・個人評価指標専門委員会委員を歴任。龍谷大学客員教授、日本内部統制研究学会監事。
著書に『Google問題の核心─開かれた検索システムのために』(岩波書店)など
These are our most popular posts:
みずほ情報総研:Opinion: 新セキュリティ戦略に関する法制度面のポイント
人も会社も、その違いを理解したうえで、仕事を進めないと失敗してしまうこともあります 。マンガの新人君のように自分の考えにこだわりすぎず、さまざまな考え方を受け入れる 姿勢が大切なんですね。特に先輩や上司の意見はね! 社会人基礎力では、「柔軟性」 ... read moreそっとプロジェクト@Wiki - 読書/グーグル時代の情報整理術 - @ウィキモバイル
国の場合は、法律事項がなければ法律案を受け付けないという内閣法制局の発想、 一種の能率によるスタイルがある。 ... 規律密度を下げるために自治体は何をすべきか という観点が、条例制定を考える大前提として重要。 ... 要綱であれば、内部基準という ことで柔軟に対応できるし、変更も容易である。 ... あり、それをどう展開していくかという 一連の過程の中で成り立っていて、その中の政策展開の手段として条例や法律解釈が ある。 read more転職成功体験記事|総合求人サイト「e-ARPA(イー・アルパ)」
... 的になっています。これら、多くの基準や制度では包括的なセキュリティ対策を実施 する手段、その枠組みを作る手段が示されており、有効活用することができます。 ... つまり、具体的であるほど何をすべきかが分かりやすい反面、柔軟性に欠ける部分が あります。また、U.S.発祥の基準で ... 同じリスクが存在するのであれば、同じ セキュリティ対策が必要になるかもしれませんが、必ずしもそうとは言えないはずです。 このような場合の ... read more第1回研究会:条例制定権の範囲
第12回 今回の能力 シンキング 情況把握力 採用担当者重視度 4.9%: 自分の力を把握 し、何をすべきか考える ... ただ、会社の中には周囲の情況が分からないのではなく、 分からないフリをしているだけの人もいますけどね。このような人は、チームで働く力が ... read more
0 件のコメント:
コメントを投稿