背伸びをしたルール

佐賀県の「Saga Education Informaition Network(SEI-NET)への不正アクセスの問題で、以下の報道がなされていました。

>佐賀県の県立高校で導入されているネットワークなどが不正にアクセスされ、生徒の個人情報が大量に漏えいした事件で、佐賀県教育委員会は、ネットワークに対する内部監査を少なくとも過去3年間は行っておらず、規定に違反した状態だったことが分かりました。
>佐賀県では、情報セキュリティーを守るため、県が導入したシステムやネットワークについて、定期的に内部監査を受けるよう「佐賀県情報セキュリティ基本方針」で定めていて、この規定に違反した状態が続いていたということです。

http://www3.nhk.or.jp/news/html/20160629/k10010575811000.html

この手の、「ルールはあっても運用がされていない」というものは、情報漏えいや情報消失などの事件などが起こるたび、内部事情としてよく出てくる話です。

最近で有名なところでは、国民年金機構からの情報流出事故がそうですし、あるいは、少し前になりますが、レンタルサーバー会社における大量情報消失事故でも、ルールを無視した運用が常態化していたということがありました。

情報管理を行うにあたって、間違いを犯さないためのレールを敷くことは、大切なことで、ルールという筋道に沿って規則正しく運用されていれば、少なくとも、内部の人の過失により情報を漏えいする機会は少なくなりますし、本件のような内部監査が適切に行われれば、被害の拡大前に問題に気づくこともでき、また、発生した被害の拡大を防ぐためにも有用な手段をとることができます。

もっとも、それは、その組織で守ることのできるルールである場合であって、立派なルールでも、それが過重であって守れないものなら意味がないし、逆にルールを作ったところで満足してしまうことを考えると、むしろ危険でさえあると思われます。

最近は、マイナンバー法の施行に伴い、各社で取扱規程等の策定がなされていると思われますし、また、改正個人情報保護法の施行を前に、従来個人情報取扱事業者ではなかった自営業者、会社でも、対応を考えているところも増えていると思います。その際、今作っているルールは、本当に自分の組織にあったルールなのかということを振り返っていただければと思います。背伸びをしすぎて転ばないように、気を付けてください。

データ消失事件と諸問題

先日、TechTargetジャパンで、「SaaSでデータが消失したら誰の責任?進むクラウド事業者の多層化問題」という記事をかかせていただき(URL)、また一昨日は、情報セキュリティ大学院大学で、「クラウド時代の契約問題:サービス提供者のデータ消失やデータ漏洩にどう対処するか?」というワークショップ(URL)でお話をさせていただきました。
これらの記事と講演に関して、若干付言しようと思います。
まず、TechTargetジャパンの記事について。TechTargetでは、国内法の適用との関係で、それぞれのプロバイダが国内に存在する場合を想定して書かせていただきましたが、クラウドの多層化やサプライチェーンの関係で一番問題となるのは、越境を含む場合だと思っています。
想定しているのは、国内のSaaSが海外のIaaSを使っていて(海外IaaSを使用していることも表示していないケースもあるかもしれません)、IaaSの障害でデータが消失したようなケースです。
記事に記載しているとおり、もともと、このようなケースでIaaSの責任を問うことは簡単なことではないのですが、越境が絡むと、これは更に難しくなります。
ただ、それだけではなくて、IaaSの事業者がファーストサーバのように具体的な報告をするとは限りませんし、事故原因についての詳細を知る、すなわち、証拠を収集することも困難となる可能性があります。
その場合、SaaS事業者の責任を問うこともまた、難易度が上がるものと予想されます。
次に、講演中で質問があったバックアップの責任に関してです。
バックアップについてプロバイダが責任を負うかどうかは、クラウド利用契約の本質的な義務としてのバックアップ義務が存在するかと、規約の定めによります。
クラウド利用に当たって、クラウド側でのバックアップ機能を備えない限り、そもそもサービスの提供が不完全であるという考え方に立てば、バックアップは、クラウド事業者側の本質的な義務ということになると思われますし(ただし、バックアップをとらなかった利用者の過失を考慮する場合はある)、他方、オンプレミスの環境において、利用者でバックアップをとるのは当然であったところ、単にクラウドのインフラを自身の環境の拡張に利用しているだけで、データの保持に関する責任は利用者が負っているのは当然という立場に立てば、バックアップの責任は、原則として利用者が負うことになると思われます。
このあたりは、そもそも裁判例が少なく、判断も分かれているので、そのような義務があるかどうかはこれからの展開を待つことになるのだと思われますし、今後も裁判上で争いが続く部分と思われます。
また、バックアップができない、あるいは困難なサービスを提供していた場合、特にデータの組成もクラウド側で行っているようなサービスの場合、バックアップはそもそも困難ですし、あるいは、バックアップをユーザーが十分にとることができるようなインフラを備えていない事業者の場合はどうなるかという問題もあります。
そのような事業者を選択したことの是非の問題も当然生じるとは思いますが、法的に考えると、そのようなサービスを事業者が提供している以上、事業者側でバックアップを採るべき義務があるという考え方はできると思いますし、バックアップの容易性が事業者のバックアップ義務の有無にも関係するのではないかとも考えています(ワークショップで御紹介した平成21年判決も、バックアップが容易であったのに、というような言い回しをしています)。また、バックアップをとらなかったことによる利用者の過失がしん酌されるかも不明です。
その意味で、一律に今後、バックアップの責任が利用者だけにかかってくるとは断言できないと考えています。

各クラウド・サービス提供事業者のSLA比較

本日は,あずさ監査法人とCloud Security Alliance Japan Chapter(CSAJC)主催で,東京の神保町にて,「クラウド実装セミナー~コンプライアンス編~」が13:30から開催されました。
内容は,
14:00 – 14:30
クラウドコンピューティングにおけるSLAの法的意義・限界・問題点
  日本クラウドセキュリティアライアンス幹事 弁護士  高橋 郁夫
14:30 – 15:00
医療品・ライフサイエンス業界のクラウド利用とSLA
  日本クラウドセキュリティアライアンス幹事 薬学博士  笹原 英司
15:15 – 15:45
クラウド特有のリスク
あずさ監査法人 IT監査部 パートナー  塚田 栄作
15:50 – 16:45
パネルディスカッションとQ&A
となっており,クラウドの実装にあたっての検討事項などを実践的に行うセミナーで,今回はコンプライアンス編として開催されております。
私は,CSAJCの幹事をさせていただいているのですが,都合が合わず,出席できませんでした。
上述のセミナーの内容から分かるように,クラウドの実装にあたって,SLAの検討が重要になってくるわけですが,各CSP(Cloud Service Provider)毎のSLAを比較しておりますと,CSP毎に定めたり定めてなかったりする事項があったりとか,思わぬリスクが生じそうな条項(例えば,Amazonでは,30日前通知による無理由解約ができたりとか,Amazonによる一方的契約変更ができたりとかします)があったりとか,いろいろな発見があります。
また,ユーザーの責任やプロバイダの責任が不明確であったりとか,プロバイダの免責事項がかなり幅広かったりとか,契約内容や合意内容を見ないで安易にクラウド・サービスを導入することによる危険を改めて感じさせます。
各社の契約,合意の比較検討は,今後,体系付けて,更に行っていきたいと思っています。