皆さんは、何かしらクラウドサービスをご利用しておりますでしょうか。
企業におきましては、クラウドサービスを利用する会社が増えてきております。
それに伴い僕らのIT派遣にも、その関係のお仕事が多数入ってきております。
しかし、個人情報のセキュリティレベルが高い官公庁や金融系企業では、情報漏洩及び消失のリスクを完全に払拭出来ずにいるため、クラウドサービスの利用を検討中というところが、まだまだ多いのも事実です。
ですから、クラウドという他社のサーバにデータを預けるのではなく、預けるにしても、自社のサーバをデータセンターに預けるハウジングサービスや、従来のように自社内にサーバを置いて管理している形態の方が、まだまだ多いのも事実です。
ちなみに、企業が本格的にクラウドサービスの検討をしようと思ったのは、何がきっかけだかご存知でしょうか。
これは、そうです。
東日本大震災です。
自社(サーバ)が震災に遭ってしまったら。。データセンターが震災でダメになってしまったら。。
そのため、データセンターを関西や沖縄など、地震が置きにくい地域に建てたり、全く同じデータを、東京と沖縄など、2拠点に分散するなど、対策も講じられております。
その中でクラウドの利点は、例えば、海外にある他社のサーバにデータを預けれるサービスのため、国内の震災難を回避できる、という良さがあります。
その上で、クラウドサービスが何よりも良いのが、自社でサーバを持たなくて良いため、コストパフォーマンスが絶大にに上がる、というのがあります。
企業のサーバは、数千万単位になるため、それをコストダウン出来れば、大幅なお得です。
しかし、一方で、ここからが今回のお話となりますが、クラウドサービスがまだまた発展途上であることも否めません。
それがわかるのが、こちらの日経の記事になります。
------------------------------------------------------------------------------------------------------------
企業がネットワーク上での顧客情報管理といったクラウドサービスを利用する際、個人情報保護法との兼ね合いに悩む例が増えている。預けたデータの安全確保について、クラウド事業者を法律通りに監督することが難しいためだ。問題になった事例はまだないものの、経済産業省は明確な対応策を示しておらず、企業の対応も分かれている。
個人情報保護法は、個人情報を扱う企業がデータの管理をクラウド事業者などに委託した場合、その事業者を「必要かつ適切に監督」するよう求めている。企業側が悩むのは、どうやって監督するのかという点だ。
実はクラウドは、情報を暗号化し複数のサーバーで分散保管するのが特徴。保管の実態は、外部に分からないようブラックボックスにしているのが原則だ。さらに複数の国にサーバーがあったり、委託先が別の事業者に再委託したりして、監督が難しいという。
企業の間では、監督義務が障害となって導入を見送る事例がある一方、「クラウド事業者のセキュリティー水準の高さが保証されていれば大丈夫と判断して導入する場合も多い」(企業法務と情報技術の関係に詳しい弁護士)。
クラウド事業者の情報保護水準を知る指標はいくつかある。代表的なものが日本情報経済社会推進協会の「ISMS」と「プライバシーマーク(Pマーク)」の2つだ。近年は、クレジットカード情報の取り扱いを想定した「PCIデータセキュリティー基準」も注目されている。
第三者機関の定めた基準を満たしていれば、自分たちが不慣れな監督を行うよりは確実――。クラウド事業者に顧客情報を委託する企業側には、こうした考えもあるようだ。
経産省は個人情報保護法のガイドラインで、企業に対し、委託先との契約のなかに「安全管理措置の順守」などの条項を盛り込むことなどを求めている。
だが、「セキュリティー規格を取得した事業者に委託していれば監督ができなくてもよいか」という点については、ガイドラインで明確な考え方が示されておらず、各企業の判断に委ねられているのが実態だ。
万が一、委託先サーバーの事故で顧客情報を失った場合、企業側は民事責任を問われる恐れもある。個人情報を活用したビジネスが広がるなか、ルールを明確にするよう求める声も高まりそうだ。
------------------------------------------------------------------------------------------------------------
如何ですか?
さらに、クラウドサービスの拡大に歯止めがかかってしまうような、本当に大変な出来事があったことをご存知でしょうか。
それがこちらの日経の記事になります。(一部割愛)
------------------------------------------------------------------------------------------------------------
クラウドに預けていたデータが、「雲」が消えるかのごとく消失してしまった。20日17時頃、レンタルサーバー会社のファーストサーバ(大阪市)で起きた「データ消失」事故。その深刻な状況が日を追うごとに明らかになってきている。被害にあった顧客件数は5698件で、ほとんどが復旧不可能な状態。ウェブサイトやメールに加え、顧客情報やスケジュールなど多種多様なデータが失われ、業務が止まった企業からは悲痛な叫びが聞こえてくる。いったい何が起きているのか。
「データの消失があった5698件のお客様のうち、数百件を除く共有サーバーのデータは、残念ながらデータの復旧自体が不可能ということが分かりました。本当に申し訳なく思っております」――。
ファーストサーバ社長室の村竹昌人室長は、混乱の続く25日夜、こう語った。5万以上の顧客を抱え、うち8割が法人・官公庁関連というファーストサーバの大規模障害は、依然として被害の全容がつかめないままでいる。
小林製薬、109シネマズ、長野電鉄、カルディコーヒーファーム、海遊館、兵庫ひまわり信用組合、薬事日報、日本新聞協会、東京都卓球連盟、静岡産業大学、大津市市民活動センター、太陽光発電協会……。
数多くのウェブサイトが突然ダウンしたのは、20日夕方のこと。共通点は、ウェブサーバーの運用をファーストサーバに任せていたことだった。ファーストサーバの作業ミスをきっかけに、同社が運用していたサーバー内のデータがドミノ倒しのように消えてしまった。
■ウェブサイトの多くが復旧できず
23日、ファーストサーバは複数の顧客で共有するタイプのレンタルサーバーサービスに関し、「データ復旧を行うことは不可能と判断した」と公表。顧客には「お客様で取得されておられるバックアップデータによる再構築を行っていただきますようお願い申し上げます」と呼びかけた。
共有型ではない専用サーバーサービスについては、当初、データ復旧ソフトにより一部、回復できたとし、顧客にデータを引き渡していた。しかし、ある顧客企業から「社内の他人のメールが読めてしまう」と報告があり、確認したところ、復旧データに欠損があることが判明。22日夜、すべての復旧データの提供をとりやめた。
そのため、障害の影響が及んだ約5700の顧客すべてが、26日現在も「自力」でウェブサイトを再構築するなどの作業を強いられている。幸いにして手元にバックアップデータがあった顧客は、22日18時頃から再構築することが可能となり、順次、復旧している。
「熱さまシート」「あせワキパット」など28のブランドサイトや携帯向けサイトをファーストサーバで運用していた小林製薬は、22日中にすべてのサイトを復旧させた。「企業サイトや通販サイトは別の場所で運用しており、ファーストサーバで運用していたのは単純な情報提供サイトのみ。加えて自社にバックアップデータもあったので比較的早期に復旧できた」(広報)
ただ、被害企業・団体のうち完全に復旧できたのは一部。多くは、26日現在も一部が復旧できていないか、そのメドすらたっていない。
■支払額を上限に損害賠償
ファーストサーバはデータ消失の責任を認めており、「サービス利用契約約款に基づいて、お客様にサービスの対価としてお支払いただいた総額を限度額として、損害賠償させていただきます」としている。一方で、顧客企業のホームページや通販サイトにアクセスできないことなどによる機会損失については、「損害賠償の対象とさせていただく予定はございません」としている。
------------------------------------------------------------------------------------------------------------
以上です。
自社でバックアップを取らずに、全てクラウドを信用してしまっていたら、全てのデータが抹消されてしまったことになります。
プライベートのパソコンでも、データが消えたら、泣くになけないじゃないですか。
それが1企業となると、会社のデータは、勿論ですが、顧客データが抹消されてしまったことによって、多大なる損害賠償に発展していってしまいますからね。
となると、いったいとうすれば。。
現段階ですと、自社サーバも持ち、データセンター用のサーバも持ち、クラウドにも預ける。。というのが、一番の安全対策、リスクヘッジになります、ということになります。。
その上で、小林製薬さんのように、あとは、何をクラウドに預けて、何をクラウドには預けないのか、何を他で運用し、何をバックUPしておくのか。。
ですが、結局、これでは、コストがかかってしまうのですけどね。。
経営陣、総務、情報システム部門の方、どうします??
企業におきましては、クラウドサービスを利用する会社が増えてきております。
それに伴い僕らのIT派遣にも、その関係のお仕事が多数入ってきております。
しかし、個人情報のセキュリティレベルが高い官公庁や金融系企業では、情報漏洩及び消失のリスクを完全に払拭出来ずにいるため、クラウドサービスの利用を検討中というところが、まだまだ多いのも事実です。
ですから、クラウドという他社のサーバにデータを預けるのではなく、預けるにしても、自社のサーバをデータセンターに預けるハウジングサービスや、従来のように自社内にサーバを置いて管理している形態の方が、まだまだ多いのも事実です。
ちなみに、企業が本格的にクラウドサービスの検討をしようと思ったのは、何がきっかけだかご存知でしょうか。
これは、そうです。
東日本大震災です。
自社(サーバ)が震災に遭ってしまったら。。データセンターが震災でダメになってしまったら。。
そのため、データセンターを関西や沖縄など、地震が置きにくい地域に建てたり、全く同じデータを、東京と沖縄など、2拠点に分散するなど、対策も講じられております。
その中でクラウドの利点は、例えば、海外にある他社のサーバにデータを預けれるサービスのため、国内の震災難を回避できる、という良さがあります。
その上で、クラウドサービスが何よりも良いのが、自社でサーバを持たなくて良いため、コストパフォーマンスが絶大にに上がる、というのがあります。
企業のサーバは、数千万単位になるため、それをコストダウン出来れば、大幅なお得です。
しかし、一方で、ここからが今回のお話となりますが、クラウドサービスがまだまた発展途上であることも否めません。
それがわかるのが、こちらの日経の記事になります。
------------------------------------------------------------------------------------------------------------
企業がネットワーク上での顧客情報管理といったクラウドサービスを利用する際、個人情報保護法との兼ね合いに悩む例が増えている。預けたデータの安全確保について、クラウド事業者を法律通りに監督することが難しいためだ。問題になった事例はまだないものの、経済産業省は明確な対応策を示しておらず、企業の対応も分かれている。
個人情報保護法は、個人情報を扱う企業がデータの管理をクラウド事業者などに委託した場合、その事業者を「必要かつ適切に監督」するよう求めている。企業側が悩むのは、どうやって監督するのかという点だ。
実はクラウドは、情報を暗号化し複数のサーバーで分散保管するのが特徴。保管の実態は、外部に分からないようブラックボックスにしているのが原則だ。さらに複数の国にサーバーがあったり、委託先が別の事業者に再委託したりして、監督が難しいという。
企業の間では、監督義務が障害となって導入を見送る事例がある一方、「クラウド事業者のセキュリティー水準の高さが保証されていれば大丈夫と判断して導入する場合も多い」(企業法務と情報技術の関係に詳しい弁護士)。
クラウド事業者の情報保護水準を知る指標はいくつかある。代表的なものが日本情報経済社会推進協会の「ISMS」と「プライバシーマーク(Pマーク)」の2つだ。近年は、クレジットカード情報の取り扱いを想定した「PCIデータセキュリティー基準」も注目されている。
第三者機関の定めた基準を満たしていれば、自分たちが不慣れな監督を行うよりは確実――。クラウド事業者に顧客情報を委託する企業側には、こうした考えもあるようだ。
経産省は個人情報保護法のガイドラインで、企業に対し、委託先との契約のなかに「安全管理措置の順守」などの条項を盛り込むことなどを求めている。
だが、「セキュリティー規格を取得した事業者に委託していれば監督ができなくてもよいか」という点については、ガイドラインで明確な考え方が示されておらず、各企業の判断に委ねられているのが実態だ。
万が一、委託先サーバーの事故で顧客情報を失った場合、企業側は民事責任を問われる恐れもある。個人情報を活用したビジネスが広がるなか、ルールを明確にするよう求める声も高まりそうだ。
------------------------------------------------------------------------------------------------------------
如何ですか?
さらに、クラウドサービスの拡大に歯止めがかかってしまうような、本当に大変な出来事があったことをご存知でしょうか。
それがこちらの日経の記事になります。(一部割愛)
------------------------------------------------------------------------------------------------------------
クラウドに預けていたデータが、「雲」が消えるかのごとく消失してしまった。20日17時頃、レンタルサーバー会社のファーストサーバ(大阪市)で起きた「データ消失」事故。その深刻な状況が日を追うごとに明らかになってきている。被害にあった顧客件数は5698件で、ほとんどが復旧不可能な状態。ウェブサイトやメールに加え、顧客情報やスケジュールなど多種多様なデータが失われ、業務が止まった企業からは悲痛な叫びが聞こえてくる。いったい何が起きているのか。
「データの消失があった5698件のお客様のうち、数百件を除く共有サーバーのデータは、残念ながらデータの復旧自体が不可能ということが分かりました。本当に申し訳なく思っております」――。
ファーストサーバ社長室の村竹昌人室長は、混乱の続く25日夜、こう語った。5万以上の顧客を抱え、うち8割が法人・官公庁関連というファーストサーバの大規模障害は、依然として被害の全容がつかめないままでいる。
小林製薬、109シネマズ、長野電鉄、カルディコーヒーファーム、海遊館、兵庫ひまわり信用組合、薬事日報、日本新聞協会、東京都卓球連盟、静岡産業大学、大津市市民活動センター、太陽光発電協会……。
数多くのウェブサイトが突然ダウンしたのは、20日夕方のこと。共通点は、ウェブサーバーの運用をファーストサーバに任せていたことだった。ファーストサーバの作業ミスをきっかけに、同社が運用していたサーバー内のデータがドミノ倒しのように消えてしまった。
■ウェブサイトの多くが復旧できず
23日、ファーストサーバは複数の顧客で共有するタイプのレンタルサーバーサービスに関し、「データ復旧を行うことは不可能と判断した」と公表。顧客には「お客様で取得されておられるバックアップデータによる再構築を行っていただきますようお願い申し上げます」と呼びかけた。
共有型ではない専用サーバーサービスについては、当初、データ復旧ソフトにより一部、回復できたとし、顧客にデータを引き渡していた。しかし、ある顧客企業から「社内の他人のメールが読めてしまう」と報告があり、確認したところ、復旧データに欠損があることが判明。22日夜、すべての復旧データの提供をとりやめた。
そのため、障害の影響が及んだ約5700の顧客すべてが、26日現在も「自力」でウェブサイトを再構築するなどの作業を強いられている。幸いにして手元にバックアップデータがあった顧客は、22日18時頃から再構築することが可能となり、順次、復旧している。
「熱さまシート」「あせワキパット」など28のブランドサイトや携帯向けサイトをファーストサーバで運用していた小林製薬は、22日中にすべてのサイトを復旧させた。「企業サイトや通販サイトは別の場所で運用しており、ファーストサーバで運用していたのは単純な情報提供サイトのみ。加えて自社にバックアップデータもあったので比較的早期に復旧できた」(広報)
ただ、被害企業・団体のうち完全に復旧できたのは一部。多くは、26日現在も一部が復旧できていないか、そのメドすらたっていない。
■支払額を上限に損害賠償
ファーストサーバはデータ消失の責任を認めており、「サービス利用契約約款に基づいて、お客様にサービスの対価としてお支払いただいた総額を限度額として、損害賠償させていただきます」としている。一方で、顧客企業のホームページや通販サイトにアクセスできないことなどによる機会損失については、「損害賠償の対象とさせていただく予定はございません」としている。
------------------------------------------------------------------------------------------------------------
以上です。
自社でバックアップを取らずに、全てクラウドを信用してしまっていたら、全てのデータが抹消されてしまったことになります。
プライベートのパソコンでも、データが消えたら、泣くになけないじゃないですか。
それが1企業となると、会社のデータは、勿論ですが、顧客データが抹消されてしまったことによって、多大なる損害賠償に発展していってしまいますからね。
となると、いったいとうすれば。。
現段階ですと、自社サーバも持ち、データセンター用のサーバも持ち、クラウドにも預ける。。というのが、一番の安全対策、リスクヘッジになります、ということになります。。
その上で、小林製薬さんのように、あとは、何をクラウドに預けて、何をクラウドには預けないのか、何を他で運用し、何をバックUPしておくのか。。
ですが、結局、これでは、コストがかかってしまうのですけどね。。
経営陣、総務、情報システム部門の方、どうします??