クラウドサービス利用時のカントリーリスクとSaaS選定時の確認ポイントとは?

公開日:
2021.04.21
 / 
最終更新日:
2022.03.15

あらゆる法人企業、行政機関等において活用の範囲が広がる「クラウドサービス」は、組織活動をより柔軟に戦略的に行うプラットフォームとして、利用時のリスクを網羅的に把握した上での活用が望ましいことは言うまでもありません。 本記事は、クラウドサービスの中でもユーザーが直接利用するアプリケーションとして「SaaS」導入におけるリスクと、それが顕在化した事例、およびサービス選定時において確認を推奨するポイントを紹介しています。

国家機密の保存先として日本政府の採用方針は「日本企業のクラウドサービス」

2022年2月7日の読売新聞オンラインにて、行政データのオンライン共有のために日本政府が整備を進める「政府クラウド」において、国家機密に当たるデータに限り日本企業のサービスを採用する方針について報道されました。

【独自】国家機密の管理は国産クラウドで…技術開発を後押し、23年度の運用目指す

政府は、行政データをオンラインで共有するため整備を進めている「政府クラウド」で、国家機密にあたるデータに限り日本企業のサービスを採用する方針を固めた。機密情報の海外流出を防ぐとともに、米巨大IT企業に先行された日本企業の技術開発を後押しする。2022年度に企業を選定し、23年度の運用開始を目指す。

(中略)

※政府クラウド= 原則として全ての中央省庁と自治体が共同で行政データを利用できるようにするシステム。税金や児童手当の手続きなどで活用することを想定し、25年度までの整備完了を目指している。

引用:読売新聞オンライン(2022年2月7日)

 

これにより、機密性の高い情報の管理において経済安全保障の観点で政府が選ぶのは、「日本企業のプライベートクラウド」という方針が明らかにされただけでなく、行政機関ならびに民間企業も、保管するデータの管理方針とそのプラットフォーム選定基準を「情報の機密度・重要度」に応じて改めて問い直すことが求められるのではないでしょうか。

政府クラウド(ガバメント・クラウド)に関連する記事は以下の記事でも詳しく解説しています。

クラウドサービスのカントリーリスクとは?

「カントリーリスク」とは特定の国の政治情勢や経済情勢の変化によりもたらされるネガティブな影響や、法令や当局による情報開示や差し押さえなどの恐れのことを指します。

以下でクラウドサービス/SaaSのカントリーリスクとして、個人にとっても企業にとっても非常に身近な事例を解説します。

LINEの事例

2021年3月末、LINEの社長や親会社のZホールディングスによる「個人情報管理の不備」に関する謝罪会見が開かれたことは、同アプリケーションを日常的に利用する機会の多い一般ユーザーはもちろんのこと、情報システム担当者を始め、LINEに限らずクラウドサービスを利用している企業からも高い関心を集めました。

会見の主旨としては、新型コロナウィルスの感染状況の共有や予防のための情報配信など、政府や自治体による公共性の高い用途としての利用も増えていたLINEにおいて、2018年8月から2021年2月までの間、同社での個人情報管理に不備があり、ユーザーの個人情報やトーク内容、画像データに海外から不適切なかたちでのアクセスが可能であったことが判明したというものでした。

具体的には、日本国内のサーバに保管されているLINEユーザーの氏名や電話番号を含む個人情報と、トークの内容や保存した画像データに中国の外部委託先企業のスタッフがアクセス権を持ち、閲覧できる状況であったこと、そして、規約上には“ユーザーの居住国・地域と同等の個人データ保護法制を持たない第三国にパーソナルデータを移転することがある“とあるものの、データ保存先の国名を明示せずにトーク上の画像や動画、傘下の会社が保持する医療データが韓国内のサーバに保管されていた点が大きく問題となりました。

LINEは個人情報管理の不足があったことに加え、ユーザーへに説明が十分ではなかったとして謝罪の上、第三者委員会による調査、改善策の実施を行うこととなり、コミュニケーション関連機能の開発及び保守運用について、中国での業務を終了すると共にそれまで韓国のデータセンターに保存していた画像や動画などのデータを日本移転する発表に至りました。

グローバル化が進むクラウドサービスは、日本にいながら海外の優れたサービスを利用できるメリットがある反面、このLINEの件のようにいわば「クラウドサービス利用におけるカントリーリスク」が顕在化した事例も後を絶ちません。

これはBtoCや無償サービスだけにとどまらず、BtoBの有償サービスでも同じことが言え、仮に企業活動に差し障る甚大な情報漏洩があった際の社会的、経済的損失は計り知れないことは容易に想像がつくでしょう。

Zoomの事例

新型コロナウィルスの感染拡大に合わせてビジネスシーンでの利用率が急激に伸びた米国のオンラインミーティングサービスZoomでもカントリーリスクはLINEと同様に問題視されました。

同社はシリコンバレーに本社を置く米国企業ですが、中国の拠点にデータを経由するサーバが置かれていたことが判明し、暗号化の方法が公開されていた方法とは異なり、さらには暗号化とその解読に必要な「暗号鍵」が中国国内で管理されている等としての批判されました。 同社では、すでにデータが中国を経由しないように設定を変更したと報じられているものの、アーカイブの管理方法や中国以外の国を含めて、ユーザーが意図しない第三国へのデータ保管が一切ないかというと不安は拭いきれず、実際に各国の政府や企業ではこうしたリスクを重く受け止め、Zoomの利用を禁止するといった事態に発展しました。

Zoomのケースのように、データが中国を経由する場合には、情報に関する中国リスクとも呼ばれる「国家情報法」の問題があります。この法律は中国の諜報活動を取り決めたもので、企業は事業の中で知りえた情報について、中国政府の開示要請に対して基本的に断ることができず、そのため、企業内、企業間を問わずビジネス上の機密事項についての安全性担保に大きなリスクがあると考えられています。 また、他国においても当局からの諜報活用を含めた情報閲覧や差し押さえリスク、個人情報保護法や守秘義務契約といった、現地法下で交わされた契約の実効範囲の問題など、情報保護に関するリスクは想定しておく必要があります。

クラウドサービスが日本国内データセンター上で提供されていれば良いか?

ちなみに、日本国内にデータセンターがある外資系クラウドサービスの利用ではどうでしょうか。

米国の場合には、米国外に保存されているデータについても令状なしでデータの開示を要求することは可能ですが、外資系クラウドサービスベンダーの見解として、そのような開示要求についても、他国の現地法に優先するものではなく、不適切な開示要求に対しては異議申し立てが可能というのが主流のようです。

LINEやZoomといったビッグユーザーを擁するクラウドサービスの大手企業の不祥事や謝罪が続いたことによる企業の危機管理意識の高まりを受けて、SaaS利用に関してもデータ保管先や外部委託先の有無についての確認を行う企業が増えています。

オンプレミスとは異なり、サーバ設置からアプリケーション開発、運用までをサービスとして提供するSaaSの場合、企業にとって有益な様々な機能を非常に手軽に便利に使える反面、データの保管先や開発拠点、暗号鍵を含めた重要情報の管理、外部委託先の管理についてはブラックボックスになりがちです。 実際に日本法人として営業をしている企業やサービスであっても開発拠点や一部運用の委託先が海外にあるというケースはあり、その場合には個人情報を含むデータへのアクセス権を海外企業・拠点が持つことも珍しくはありません。

このことから、クラウドサービス選定においては、SaaS利用におけるカントリーリスクを回避する手段として、提供ベンダーが日本法人や国内企業であるかの確認だけでは不十分と言えます。 法人向けのサービスを提供しているSaaSベンダーの多くは、企業からの求めに応じて必要な情報を開示していることも多く、利用規約に含まれる内容以外に次の章にあるような確認をしておくことをお勧めします。ちなみに、外資系サービスがすべて法人にとって適さないということではありません。

カントリーリスクをテーマに考えた場合には、日本企業が国内で運営するサービスのほうが日本国外にデータが出ない確率は高いと考えられ、正しくリスクを把握した上でそれに対するヘッジや、万が一のトラブル時対応について事前に検討をしておくことで、海外企業の提供するサービスを使用することのカントリーリスクは回避できるといえるでしょう。

クラウドサービス/SaaS選定で確認すべき具体的なポイント例

ここでは、当社が提供するクラウドストレージの導入を想定した確認ポイントではありますが、企業がSaaS選定をする際の比較項目として、ベンダーに対しセキュリティの観点で確認をおすすめするポイントを以下に記載しています。すでに導入済みのサービスに関してもチェック項目として参考にしてみてください。

  • 資本関係(日本企業の場合も外資系企業の資本算入有無とその割合)
  • 外資系サービスの場合、契約先は海外本社か日本法人か
  • データ保管先拠点が経路を含めて日本国内に限定されているかどうか
  • 開発拠点が日本国内に限定されているか(オフショア開発の場合、国と開発範囲、個人情報やデータの取り扱い有無)
  • サービスの運用拠点が日本国内に限定されているか(サポートデスク等含む)
  • 外部委託の有無(有りの場合は再委託先の有無を含め、国と個人情報の取り扱い有無等の委託範囲の確認、委託先管理基準などの開示が可能かの確認)
  • 暗号化の有無と方式(ファイルデータのみならず通信や管理データを含め)
  • 暗号鍵の管理方法やベンダーの社内体制における開発・運用メンバーの権限管理のルールや責任者によるガバナンスの状況について
  • 必要に応じて、訪問監査の受け入れ体制の有無

まとめ

企業がクラウドサービスを選定する際に、どの国のサービスであるかは把握していても、データの保管先が日本国外の拠点に出ていないこと、そして開発・運用の拠点やそれに関わる外部委託先の有無と拠点国までは確認ができていないことは少なくありません。

企業にとってメリットの多いSaaS利用に関しての注意ポイントは前述のとおりですが、国産サービス・日本企業だから良いということではなく、また、日本企業であっても、経営層を含めグローバルから優秀な人材を集めて多国籍メンバーで企業運営をするケースも増えていることも事実であり、もちろんそれ自体を否定するという事ではありません。

提供SaaSベンダーを構成するグローバリズムを反映した人材の多様化を問題にするのではなく、あくまでもサービスを利用する中で蓄積・共有される自社の業務データやコミュニケーションツールについてはその内容について、日本国外にデータが移管されるケースがあるか、または開発から運用までの全ての過程において、海外から業務データや個人情報にアクセスできる機会があるかについて、明確に回答ができるベンダーの透明性の高いサービスを選定することがクラウドサービス利用時のカントリーリスク回避のためには重要と言えるでしょう。

SaaSのカントリーリスクの観点を含め、クラウドストレージのサービス選定はどのようなポイントで行う事が望ましいか、以下のの記事でも紹介しています。是非検討にお役立ていただければ幸いです。

また当社の関連プレスリリースもご一読いただけましたら幸いです。



Fileforceのさらに詳しい資料は資料ダウンロードページからお求めいただけます。 ITインフラで企業を強くするクラウドストレージ
30日間無償トライアルで操作性を体感しませんか?

建設業向けクラウドストレージ