特集
» 2013年04月18日 18時00分 UPDATE

暗号化とトークナイゼーション:データを置くなら知っておきたい、クラウドセキュリティの基本 (1/2)

SaaSをはじめ、クラウドコンピューティングの利用が拡大する中、企業は難しい課題に直面しています。自社でコントロールできない「クラウド」上にあるデータを、いかに保護するかという問題です。その解答の1つを紹介します。

[宮野豊(サンブリッジ クラウドソリューション事業部長),@IT]

はじめに

 近年、「クラウドコンピューティング」の利用拡大には目を見張るものがあります。特に最近では、当初のSaaSモデル(例:Salesforce.com(SFA/CRM)、Google Apps(Gmailなど))のみならず、PaaSモデル(Force.comなど)、IaaSモデル(Amazon Web Servicesなど)の成長が著しいと感じられます。

 このことは、SaaSモデルのみならず、業務システムのクラウド化が進んでいることも意味しています。ちなみに、Force.comプラットフォーム上では、すでに10万以上のビジネスアプリケーションが運用されています。

 こうしたアプリケーションはさまざまなデータを取り扱いますが、その中には、顧客情報や個人情報も含まれています。もちろん、各クラウドベンダは強固なセキュリティ対策を講じていますが、最終的にデータの管理について責任を負うのは、クラウドを利用する企業自身です。クラウド、特にパブリッククラウドで個人情報を取り扱う際にデータ管理者が気をつけなければならないこととは何でしょうか。

データレジデンシー

 まず留意すべきは「データレジデンシー」です。データレジデンシーとは、データそのものの保管場所のことを意味しています。

 大手クラウドベンダは世界中にあるデータセンターにまたがって、バックアップ、レプリケーション、ディザスタリカバリを行っています。このことはデータ保護の観点からとても重要です。

 しかしながら、世界中の多くの国々、州、地方自治体が、企業によって使用されるさまざまな形式の情報に法的な保護をするための規則を作っているという点に気をつけなければなりません。中でも一番重要な点は「個人情報の取り扱い」になります。

データ保護のための法令

 データ保護を目的とした法令の中で最も有名なものは、1995年に採択され、2012年に改訂された「EUデータ保護指令改定版(EU Data Protection Directive)」です。日本の個人情報保護法とプライバシーマーク制度も、この指令から大きな影響を受けて制定されています。

 しかしながらこれらの間には、いくつかの点で大きな違いがあります。例えば、EC指令は、第5章「個人データの第三国又は国際組織への移転」において、一定の条件(十分性決定、標準契約条項、BCR、その他の例外事例)が満たされる場合を除いて、第三国への個人データ移転を禁止しています。一方、日本の個人情報保護法やプライバシーマーク制度には、第三国へ個人情報の移転を制限する規定はありません。

 この中にある「十分性決定」という言葉はやや分かりにくいかもしれませんが、要するに、欧州委員会が十分なレベルの個人データ保護を保証していると認定した国々のことで、具体的には、スイス、カナダ、アルゼンチンなどのEU以外の国々を指しています。米国も日本も、この中には含まれていません。

 しかしながら、米国は特例として「セーフハーバー・スキーム」(the United States“safe harbor”scheme)という枠組みを持っています。これは、セーフハーバー原則を遵守すると自己宣言する米国企業に対して、「十分なレベルの保護」を行っていることを認めるという協定です。

 米国のIT企業では、Google、Amazon、Salesforce.com、Facebook、Microsoft、Appleなどが宣言しています。これにより、米国のクラウドベンダはEUの個人データの移転が可能ですが、日本企業は不可ということになります。

図1 EC指令とセーフハーバー原則、日本の法規制の関係 図1 EC指令とセーフハーバー原則、日本の法規制の関係

データ開示について規定した法律

 先ほど紹介した法令は、データ保護に関する法律ですが、データ開示について規定する法律もあります。

 一番有名なものは、米国愛国者法(USA PATRIOT Act)です。この法律はご存じのとおり、2001年に米国で発生した同時多発テロ事件後に成立したもので、情報通信分野では、電話回線の傍受に加え、ISPにおける通信傍受も可能となりました。また、捜査令状により電子メールやボイスメールを入手でき、さらにテロ活動の防止を目的としていれば、捜査機関が金融機関やネットサービス企業に対してプライバシーに関する情報の提出を求めることも可能になりました。

 クラウドベンダの中ではAmazon(Amazon Web Services)が、日本国内で稼働させているデータセンター「東京リージョン」も米国愛国者法の対象内であることを明言しています。

 また、Windows AzureやOffice 365を運営するMicrosoftも、「欧州のデータセンターに保存されているデータであっても、米国企業であるMicrosoftが運営するデータセンターにあるデータは愛国者法の影響下にある」ことを明言しています。

 よって、クラウド上で管理される個人情報は、厳しい管理化に置かれたり、強制的に開示されたりと、さまざまな状況に見舞われることになります。

 その他の法令としては、

  • Health Insurance Portability and Accountability Act(医療保険の携帯性と責任に関する法律)
  • Gramm-Leach-Bliley Act(グラム・リーチ・ブライリー法:米国)
  • Security breach notification laws(セキュリティ侵害通知法:カリフォルニア州)
  • Personal Information Protection and Electronic Documents Act(個人情報保護および電子文書法:カナダ)
  • Federal Information Security Management Act of 2002(2002年の連邦情報セキュリティマネジメント法)
  • International Traffic in Arms Regulations(国際武器取引規制)
  • NPP9(越境データ流通)
  • Payment Card Industry Data Security Standard

などがあります。

 また、主要なクラウドベンダのデータセンターの場所と各国においての法令は下記のようになります。

図2 データセンターの場所と各国の法令 図2 データセンターの場所と各国の法令

「個人情報」の定義とは

 先ほどから何度も出てきている「個人情報」ですが、ここで、その定義についても整理しておきましょう。

 先のEU規則案における「個人データ(personal data)」とは、「データ主体に関する全ての情報」といっています。「データ主体」とは、「識別された自然人、又は管理者、若しくは他の自然人若しくは法人によって合理的に利用される可能性の高い手段によって、直接的若しくは間接的に、とりわけ識別番号、位置データ、オンライン識別子、若しくは当該人物の肉体的、生理学的、遺伝的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な1つ以上の要素を参照することによって識別されうる自然人」となっています。

 ちょっと難しいですが、具体的には、

  1. PII(personally identifiable information):個人を特定可能な情報
  2. PHI(private health information):個人の健康に関する情報
  3. Personal and corporate tax information:個人および企業の納税に関する情報
  4. Corporate financial information:企業の財務に関する情報
  5. Telecommunication information(covering telephone, e-mail, and internet access):電話や電子メール、インターネットアクセスなど、通信に関する情報

といった情報になります。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。