クラウドサービス利用時のカントリーリスクとSaaS選定時の確認ポイントとは?

公開日:
2021.04.21
 / 
最終更新日:
2021.04.22

LINEやZoom事例から考えるクラウドサービスのカントリーリスクとは?

新型コロナウィルスの感染状況の共有や予防のための情報配信など、政府や自治体による公共性の高い用途としての利用も増えていたLINEにおいて、2018年8月から2021年2月までの間、同社での個人情報管理に不備があり、ユーザーの個人情報やトーク内容、画像データに海外から不適切なかたちでのアクセスが可能であったことが判明した。これについて、先月末にLINEの社長や親会社のZホールディングスによる謝罪会見が開かれたことはまだ記憶にあたらしい。

具体的に問題となったのは、日本国内のサーバに保管されている、LINEユーザーの氏名や電話番号を含む個人情報とトークの内容や保存した画像データに中国の外部委託先企業のスタッフがアクセス権を持ち、閲覧できる状況であったこと、そして、規約上には“ユーザーの居住国・地域と同等の個人データ保護法制を持たない第三国にパーソナルデータを移転することがある“とあるものの、データ保存先の国名を明示せずにトーク上の画像や動画、傘下の会社が保持する医療データが韓国内のサーバに保管されていた点である。LINEは管理の不足があったことに加え、ユーザーへに説明が十分ではなかったとして謝罪の上、第三者委員会による調査、改善策の実施を行うこととなった。

グローバル化が進むクラウドサービスは、日本にいながら海外の優れたサービスを利用できるメリットがある反面、いわば「クラウドサービス利用におけるカントリーリスク」が顕在化した事例も後を絶たない。これはBtoCや無償サービスだけにとどまらず、BtoBの有償サービスでも同じことが言える。

新型コロナウィルスの感染拡大に合わせてビジネスシーンでの利用率が急激に伸びた米国のオンラインミーティングサービスZoomでもカントリーリスクが問題となった。同社はシリコンバレーに本社を置く米国企業だが、中国の拠点にデータを経由するサーバが置かれていたことが判明し、暗号化の方法が公開されていた方法とは異なっていたり暗号化とその解読に必要な「暗号鍵」が中国国内で管理されている等の批判もあった。同社では、すでにデータが中国を経由しないように設定を変更したと報じられているが、アーカイブの管理方法や中国以外の国を含めて、ユーザーが意図しない第三国へのデータ保管が一切ないかというと不安が残る。実際に各国の政府や企業ではこうしたリスクを重く受け止め、Zoomの利用を禁止しているケースも多い。

Zoomのケースのように、データが中国を経由する場合には、情報に関する中国リスクとも呼ばれる「国家情報法」の問題がある。この法律は中国の諜報活動を取り決めたもので、企業は事業の中で知りえた情報について、中国政府の開示要請に対して基本的に断ることができない。そのため、企業内、企業間を問わずビジネス上の機密事項についての安全性担保に大きなリスクがあると考えられている。また、他国においても当局からの諜報活用を含めた情報閲覧や差し押さえリスク、個人情報保護法や守秘義務契約といった、現地法下で交わされた契約の実効範囲の問題など、情報保護に関するリスクは想定しておきたい。

ちなみに、日本国内にデータセンターがある外資系クラウドサービスの利用ではどうか。米国の場合には、米国外に保存されているデータについても令状なしでデータの開示を要求することは可能だが、外資系クラウドサービスベンダーの見解として、そのような開示要求についても、他国の現地法に優先するものではなく、不適切な開示要求に対しては異議申し立てが可能というのが主流のようである。

企業のSaaS選定において、国産サービスかどうかのチェックでは足りない

このようにビッグユーザーを擁するクラウドサービスの大手企業による不祥事や謝罪が続いたことによる企業の危機管理意識の高まりを受けて、SaaS利用に関してもデータ保管先や外部委託先の有無についての確認を行う企業が増えている。

オンプレミスとは異なり、サーバ設置からアプリケーション開発、運用までをサービスとして提供するSaaSの場合、企業にとって有益な様々な機能を非常に手軽に便利に使える反面、データの保管先や開発の拠点や暗号鍵を含めた重要情報の管理、外部委託先の管理についてはブラックボックスになりがちだ。実際に日本法人として営業をしている企業やサービスであっても開発拠点や一部運用の委託先が海外にあるというケースはあり、その場合には個人情報を含むデータへのアクセス権を海外企業・拠点が持つことも少なくない。SaaS利用におけるカントリーリスクを回避するためにも、サービス選定においては提供ベンダーが日本法人や国内企業であるかの確認では足りない。

法人向けのサービスを提供しているSaaSベンダーの多くは、企業からの求めに応じて必要な情報を開示していることも多いので、利用規約に含まれる内容以外に次の章にあるような確認をしておくことをお勧めする。ちなみに、外資系サービスがすべて法人にとって適さないということではない。カントリーリスクをテーマに考えた場合には、日本企業が国内で運営するサービスのほうが日本国外にデータが出ない確率は多いと考えるが、正しくリスクを把握した上でそれに対するリスクヘッジやリスクが顕在化した際の対応について事前に検討をしておけばもちろん海外企業の提供するサービスを使用することも問題はないだろう。

SaaS選定で確認すべき、具体的なポイント例

以下は、当社が提供するクラウドストレージの導入を想定した確認ポイントではあるが、企業のSaaS選定時にセキュリティ関連の質問表に追加すると良いと思われるものを記載する。

  • ◆資本関係(日本企業の場合も外資系企業の資本算入有無とその割合)
  • ◆外資系サービスの場合、契約先は海外本社か日本法人か
  • ◆データ保管先拠点が経路を含めて日本国内に限定されているかどうか
  • ◆開発拠点が日本国内に限定されているか(オフショア開発の場合、国と開発範囲、個人情報やデータの取り扱い有無)
  • ◆サービスの運用拠点が日本国内に限定されているか(サポートデスク等含む)
  • ◆外部委託の有無(有りの場合は再委託先の有無を含め、国と個人情報の取り扱い有無等の委託範囲の確認、委託先管理基準などの開示が可能かの確認)
  • ◆暗号化の有無と方式(ファイルデータのみならず通信や管理データを含め)
  • ◆暗号鍵の管理方法やベンダーの社内体制における開発・運用メンバーの権限管理のルールや責任者によるガバナンスの状況について
  • ◆必要に応じて、訪問監査の受け入れ体制の有無

まとめ

企業がクラウドサービスを選定する際に、どの国のサービスであるかは把握していても、中継地点を含めたデータの保管先が日本国外の拠点に出ていないこと、そして開発・運用の拠点やそれに関わる外部委託先の有無と拠点国までは確認ができていないことが多い。

企業にとってメリットの多いSaaS利用に関しての注意ポイントは前述のとおりだが、国産サービス、日本企業だから良いということではない。また、日本企業であっても、経営層を含めグローバルから優秀な人材を集めて多国籍メンバーで企業運営をするケースも増えている。提供SaaSベンダーを構成する、グローバリズムを反映した人材の多様化を問題にするのではなく、あくまでもサービスを利用する中で蓄積・共有される自社の業務データやコミュニケーションツールについてはその内容について、日本国外にデータが移管されるケースがあるか、または開発から運用までの全ての過程において、海外から業務データや個人情報にアクセスできる機会があるかについて、明確に回答ができるベンダーの透明性の高いサービスを選定することがクラウドサービス利用時のカントリーリスク回避にとって重要と言えるだろう。