企業でのクラウドサービスの利用は当たり前に
現在、日本の企業のあり方、そしてそこで働く人々のあり方の双方に、大きな変化が訪れようとしている。
企業が直面する変化とは、いわゆる「デジタルトランスフォーメーション」だ。変化の激しい市場に対応し、移り気なユーザーをしっかり獲得・維持するためにITやInternet of Thing(IoT)の力を活用し、アイデアを素早く形にし、市場に投入して改善を加えていく……そんな新しいビジネスにとって、小さく始めることができ、「必要な時に」「必要な分だけ」「すぐに」利用できるクラウドサービスは大きな力になっている。
同時に、従業員1人1人の働き方も大きく変化し始めている。そこで鍵を握っているのは、モバイルデバイスとクラウドサービスの普及だ。これらの活用によって、オフィスだけでなく、場所や時間を問わずに必要な情報をやり取りしたり、資料を作成したり、社員同士、あるいは顧客や取引先とコミュニケーションを取ることのできる環境が整いつつある。それも、従来よりも効率的に、高い生産性で仕事を進めることが可能だ。政府が推進する「働き方改革」も相まって、この潮流はますます加速していくだろう。
こうした要因から、いまやSaaS、PaaS、IaaSといった形態を問わず、クラウドサービスの利用は「当たり前」となりつつある。例えば調査会社のIDC Japanによると、日本企業におけるパブリック/プライベートクラウドの導入率は、2015年の30%から、2016年のわずか1年間で77%へと飛躍的に伸長した。しかも国内のパブリッククラウドサービス市場は引き続き成長しており、2021年には市場規模が1兆円を超えると予測している。中でも、メールやドキュメントの共有といったコラボレーションアプリに関しては「SaaSファースト」が浸透している、という。
その中で企業IT担当者が抱える課題:
IT、ガバナンス、セキュリティの確保。解決策も登場
一方で、クラウドサービスの普及は新しい課題も生み出した。オンプレミスの設備を前提としたシステムならば、企業それぞれのポリシーに応じたセキュリティ制御を実施できる。誰が、どんなアプリケーションやサービスを利用するかもコントロール可能だ。
しかし、第三者が提供するクラウドサービスとなると、そうした制御は困難だ。データがどこに保存され、どのように処理・保存されるのか、どのように保護されているかが分からず、セキュリティが不安だと言う声は、これだけクラウドサービスが普及してきた今でも根強い。例えばチェック・ポイント・ソフトウェア・テクノロジーズが行った調査でも、依然として企業の81%が、何らかの形でセキュリティを懸念していると回答している。
社外の様々な関係者と速やかにコラボレーションして仕事を効率的に進めたいと考える従業員が、会社の許可を得ずに勝手にクラウドサービスを利用し、データのやり取りなどを行ってしまう「シャドーIT」もまた、情報システム部門にとっては頭の痛い問題だ。従業員に悪意はなくても、不適切な設定のまま運用した結果、業務に関する情報を第三者が閲覧できる状態になってしまった、というケースは、過去にも報道されている。
このような事柄ばかり挙げると、「クラウドはやはり不安」と思われるだろうか。だが、こうした課題を解決するソリューションも登場している。心理的な「安心」が得られているかどうかはともかく、技術的には「安全」にクラウドを活用する方法は確立されはじめており、政府からも安全な利用のためのガイドラインが公開されている。
まず、通信経路の暗号化に加え、クラウド上のデータを暗号化することで、万一の流出に備えることができる。また、セキュリティソリューションの1つである次世代ファイアウォールでは、単なるポート単位ではなくアプリケーション単位で利用状況を可視化し、コントロールすることが可能だ。さらに、クラウド上のどのデータに誰がアクセスでき、どんな処理を行えるかといったアクセス制御を、オンプレミスのシステムと同じように行える「Cloud Access Security Broker(CASB)」といったソリューションも生まれている。こうした技術を適切に組み合わせることで、かなりの程度ガバナンスを効かせることができるだろう。
何より、クラウドサービスを提供する事業者自身も、ファシリティ面はもちろん、入退室管理も含めた情報管理体制の整備を進め、セキュリティの強化に意欲的に取り組んでいる。Amazon Web Services(AWS)やMicrosoftといった大手はもちろん、国内のクラウドサービス事業社の中にも、クラウドサービスの情報セキュリティに関する国際標準「ISO/IEC 27017」や、個人情報保護に関する規格「ISO/IEC 27018」の認証を取得するところが現れた。今後のサービス利用に当たっては、こうした認証の有無もポイントになるだろう。
もう1つ、クラウドサービス利用に当たって留意すべきことがある。クラウドサービスを利用したからといって、セキュリティは事業者に丸投げできるわけではない。例えばAWSが「責任共有モデル」で示しているとおり、クラウド利用時のセキュリティ確保には、利用者側の関与、コミットが欠かせない。基盤のセキュリティは事業者に任せつつ、その上で活用するデータやコンテンツ、アプリケーションをどのように守っていくか、ルールを決めて実施するのは利用企業自身だ。
こうしたルールさえ明確にしておけば、クラウドサービスを利用したいがセキュリティも心配だ……という漠然とした悩みにも答えを出しやすくなるだろう。やはり自社ですべてを管理したいとオンプレミスで継続するのも1つの手であるし、ファシリティをはじめインフラ面への投資を事業者側に委ね、クラウドがもたらすコスト削減効果やビジネス上のメリットを享受する道を選択した場合にも、どのようなリスクが解消でき、どんなリスクは許容するのかといった事柄を整理した上で利用できる。その際には、契約内容やサービスレベルを確認し、インシデントが発生したらどう対応したくれるかといった透明性を確保している事業者を選ぶことが重要だ。
新しい動きとしての個人情報保護法改正:
これまでの5000件以下の縛りがなくなり、あらゆる企業が対象に
こうした事柄を踏まえた上で、2017年度にはもう一つ、企業のIT担当者が考慮すべき大きな動きがある。2015年9月に成立した改正個人情報保護法が、5月30日に施行される予定となっている。
これまでの個人情報保護法は、5000件を超える個人情報を扱う事業者のみが「個人情報取扱事業者」とされ、同法に従ってデータを扱う必要があった。だが、今回の改正にともなってこの上限が撤廃され、5000件以下であっても、何らかの個人情報を扱う企業が適用対象となる。つまり、中小企業にとっても無縁の話ではなくなるのだ。
他にも改正ではいくつか重要な変更が加わっている。まず、個人情報の定義を明確化しており、新たに「個人識別符号」という概念が導入された。これに伴い指紋などの整体識別情報についても適切に取り扱う必要が生じる。また、病歴などのセンシティブなデータは「要配慮個人情報」とされ、取得や第三者提供が禁止される。
一方、業界から要望の合ったビッグデータなどでの利活用を進めるため、「匿名加工情報」というものを設け、特定の個人を識別できないよう加工した(匿名化した)情報については、第三者提供が可能となる。
他に、個人データを第三者提供する際、あるいは提供を受ける際には確認・記録する義務が設けられており、トレーサビリティを確保する必要が生じる。同時に、第三者提供を行う際のオプトアウト手続きも厳格化されるため、個人情報を収集する際のプロセスや画面表示、プライバシーポリシーなどを見直し、修正する必要が生じる場合もあるだろう。
クラウドサービス利用という側面から関係してくるのが、「外国の第三者への提供の制限」だ。日本と同等の個人情報保護制度がない海外の事業者に個人データを提供することは、原則できなくなった。また、保護体制が整っている場合でも、データ「提供」はもちろん、データ処理を依頼したり、クラウド上で管理するといった「委託」する場合や「共同利用」の場合にも、原則として本人同意を得る必要がある。
個人データの利用を巡って、グローバル企業が留意しなければならない動きはもう一つある。ヨーロッパ連合(EU)が2018年5月に施行予定の「一般データ保護規則」(GDPR)では、EU域内で働く従業員の情報も含め、EU域内で取得した個人データを域外に持ち出し、処理を行う事業者にはさまざまな義務が課せられる予定だ。残念ながら、日本は今のところEUからの十分性認定を得ていないため、個別に対応を取る必要がある。
何より、クラウドサービスを提供する事業者自身も、ファシリティ面はもちろん、入退室管理も含めた情報管理体制の整備を進め、セキュリティの強化に意欲的に取り組んでいる。Amazon Web Services(AWS)やMicrosoftといった大手はもちろん、国内のクラウドサービス事業社の中にも、クラウドサービスの情報セキュリティに関する国際標準「ISO/IEC 27017」や、個人情報保護に関する規格「ISO/IEC 27018」の認証を取得するところが現れた。
ただ、こうした国際認証取得に関しては、やはり海外のサービスが一歩先を行っている。例えば、企業向けにクラウドベースのコンテンツ管理・共有サービスを提供している米Boxは、ISO/IEC 27018はもちろん、PCI DSSや医療業界向けの「HIPAA/HITECH」、証券業界の「FINRA/SEC 17a-4」といった業界ごとのセキュリティ規格にも準拠している。今後のサービス利用に当たっては、こうした認証の有無もポイントになるだろう。
このように2017年度以降しばらくは、個人データの取り扱いという視点からも、既存のシステムや業務プロセスのあり方を再確認する必要がありそうだ。全てオンプレミスで構築するにせよ、クラウドサービスを活用して、一部の運用を外部に委託するにせよ、これから明らかになってくるであろう具体的なルールやガイドラインに関する情報をチェックし、必要に応じていつでも動き出せる体制を整えておくことが重要だ。改正個人情報保護法への対応に、どのくらいの体力が必要になるかは不透明だが、信頼できるクラウドサービスの活用も含め、今のうちにさまざまな選択肢を検討しておくべきではなかろうか。
