クラウドサービスを利用している企業が、クラウドから情報漏えいをしてしまうというケースがあります。
企業内で管理している情報が漏えいした場合、企業に責任があるのは当然ですが、この場合は企業とクラウド事業者、どちらに責任があるのでしょうか?
今回は企業とクラウド事業者の責任が問われる領域について解説します。
クラウドで情報漏えい!企業の責任とクラウド事業者の責任が問われる領域
クラウド事業者によって提供されているサービスは3種類に分かれます。
ソフトウェアを提供する“SaaS”、アプリケーションの開発環境を提供する“PaaS”、サーバなどのインフラを提供する“IaaS”の3つです。
この3種類のサービスには、それぞれ基本的な管理主体が定められています。
つまりクラウド事業者が提供しているサービスだからといって、管理主体がすべてクラウド事業者ではないということです。
管理主体はそのサービスを管理しているため、そのサービスにおいて“責任がある”という立場になります。
SaaSの管理主体は、基本的にクラウド事業者側になります。
企業はアプリケーションのユーザーIDなどを管理することはあっても、クラウド事業者の管理下でSaaSを利用することになります。
一方PaaSは、企業側が管理主体になる部分が多いです。
例えばミドルウェアの管理主体はクラウド事業者側になることが多いものの、アップデートに伴う検証などは企業が行います。
IaaSはほとんど企業側が管理主体になります。
アプリケーションの管理主体はほぼほぼ企業になり、OSなどのミドルウェアの管理主体も企業であるケースがほとんどです。
つまりSaaS→PaaS→IaaSの順に企業側の責任が大きくなっていくということです。
クラウド上で個人情報漏えいが起こっても、企業が管理(責任)主体となっているサービスが多いため、クラウド導入前と変わらない内部対策を講じておく必要があるのです。
クラウドで情報漏えい!クラウド事業者は企業のユーザーに対応する責任があるのか?
クラウドにおける企業側の責任、クラウド事業者側の責任が問われる領域について解説しました。
ではクラウド上で情報漏えいが起こった場合、クラウド事業者は企業のユーザーに対応する責任があるのでしょうか?
結論から言うと、残念ながら企業がクラウド上で起こしてしまった情報漏えいは、基本的に企業がユーザーに対応する責任があります。
はっきり言って、企業がクラウドを利用しているということは、ユーザーにとって関係のないことです。
したがって企業はクラウド事業者の不手際等が原因で情報漏えいを起こしてしまっても、企業として責任を取ってユーザーに謝罪等の対応をしなくてはいけないのです。
まとめ
クラウドサービスを提供しているのはクラウド事業者であり、クラウド事業者が管理(責任)主体となる部分があることは事実です。
ただ企業はクラウドサービスの利点、欠点をすべて加味して利用しているわけなので、情報漏えい時のユーザーへの対応は、企業が責任を持って全うしなくてはいけないのです。
企業は個人情報保護の第三者認証制度の“JAPHIC(ジャフィック)マーク”等を取得し、正しい個人情報の管理体制を理解した上で、効果的にクラウドを利用しましょう。
