第1条:顧客のデータは顧客の所有物である
いかなるベンダー(あるいはベンダーにサービスを提供するサプライヤー)も、顧客との関係の中で、顧客がアップロード、作成、生成、修正、ホストしたデータや、顧客の知的財産、エンジニアリング作業、メディア創造に何らかの関係のあるデータについて、所有権を主張してはならない。これには、アカウント設定データ、顧客が生成したタグやカテゴリ、利用状況とトラフィックに関する測定データなど、あらゆる形式の分析データやメタデータを収集したものも含まれる。
顧客データは、顧客が直接管理するすべてのデータと、顧客自身の顧客に関するデータを含むものと解釈する。さらに、顧客が直接開発したソフトウェアの設定や運用に関するすべてのコードとデータも含まれるものとする。ただし、ベンダーが提供する基盤部分のインフラストラクチャやプラットフォームに明示的に属するデータは、この限りではない。
ベンダーは先述したすべての顧客データについて、最低でもAPIレベルのアクセスを常に提供しなければならない。このAPIレベルのアクセスが提供されることで、顧客は、そのAPIに対して実行された場合に、あらゆる顧客管理データにアクセス可能なソフトウェアを記述できるようになる。このソフトウェアでは、必要に応じて、複数のデータに一括でアクセスすることも、レコードごとにアクセスすることもできる。クラウドベンダー間でのデータの一括移動やリアルタイム移動を可能にする標準とプロトコルは定義されているため、各ベンダーはそうしたテクノロジの実装に取り組むべきであり、顧客を囲い込みたいあまりに、その実装を先延ばしにするべきではない。
顧客は自分のデータを所有している。言い換えると、顧客は自らのデータのセキュリティに対する責任と、プライバシーに関する法律と契約を厳守する義務を負っているということだ。監視やデータアクセスのAPIと同様に、ベンダーは、顧客が自分の顧客の期待に応えるために必要なツールとサービスを、顧客に提供するよう努めなければならない。ただし顧客には、特定の要件や、自身の顧客との契約で必要な防御策、監査、補償を提供する能力について、ベンダーの適性を見極める責任がある。
しかし、究極的には、セキュリティやプライバシーに関する法律の範囲を定義する規制環境に対しては、政府が責任を負っている。政府は自らの憲法や主義の範囲内で有効なあらゆる法的要件を選ぶことができるため、顧客はデータの保存、処理、参照が行われる法域で、自分のデータに起こり得ることや起こり得ないことを認識しておかなければならない。憲法は国ごとに異なる。したがって、国によっては、顧客のデータに対し具体的にどのような措置(あるいは不利な措置)がとられるかについて、政府が顧客へ通知する義務さえ負っていないことも考えられる。しかし、政府は最低でも、顧客のデータを危険にさらすような法律が存在するという事実くらいは、市場に伝えるべきだ。
顧客(とその顧客)はこうした状況を変えるためにも、関心のある法域の立法機構に働きかけなければならない。
政府は、オンラインクラウド経済に対する十分な信頼を築くために、企業と個人のプライバシー、そして全体的なデータセキュリティを尊重する法的枠組みの策定に取り組むべきだ。確かに国家の安全は重要だが、直接的にせよ間接的にせよ、クラウドの顧客とベンダーが法域内で安全にビジネスを行えないのではないかという不信感を抱く環境を作ってしまわないよう、政府は慎重に行動しなければならない。
規制は、データの使用、セキュリティ、プライバシーに非常に大きな影響を及ぼし、場所によってどの規制や法律が適用されるのかが大きく変わってくるため、ベンダーは最低でも、顧客のデータがどこに保存されているのかを顧客に明確に知らせなければならない。ユーザーが自分のデータが保存される場所を選べるようなメカニズムが提供されれば、なお良いだろう。いずれにせよ、ベンダーは顧客と協力して、システム設計が法律や規制に関する既知の障害にぶつからないようにするための努力もすべきだ。しかし、先述したように、データのセキュリティと合法性に関する責任は最終的には顧客の責任であるということに変わりはない。
これらの権利は、プライマリデータ、バックアップデータ、アーカイブデータのインスタンスに適用されるものである。
CNET Japan 特別企画 -PR-
ITジャーナリスト佐々木俊尚氏と日立のキーパーソンが語る!
2010年企業クラウド元年 ビジネスニーズが企業のクラウド化を加速する
