第7回 クラウド・バイ・デフォルト時代の法律実務
クラウドサービスの利用がますます一般化している。例えば、2018年には既に政府は「政府情報システムにおけるクラウド サービスの利用に係る基本方針」を公表し、クラウドサービスの採用をデフォルト(第一候補)とする(クラウド・バイ・デフォルト)とした。その後、2022年には「政府情報システムにおける クラウドサービスの適切な利用に係る基本方針」が公表されている。
2016年に筆者は弘文堂から『クラウド情報管理の法律実務』初版を公刊したところ、その当時は、クラウドに関する法的整理が未了であった。
その後、例えば、個人情報保護委員会がクラウドと個人情報について整理する、現在でいう「個人情報の保護に関する法律についてのガイドライン」に関するQ&A7-53に相当するQ&Aを公表する等、様々な整理がなされ、クラウドの利用が法的にも後押しされる環境となった。
このような変化を踏まえ、2023年8月に弘文堂から『クラウド情報管理の法律実務』の第2版を公刊させて頂くことになった。初版と比べて、約半分の記載が入れ変わっており、7年の歳月とその間の状況の変化が感じられるところである。
もちろん、クラウドとクラウド以外(オンプレミス)でどちらが安全かは一口には結論づけることができない。
例えば、ITに予算がつけられない企業が、運用になるべくお金をかけないで対応するという場合において、クラウドに関する十分な知識を持って、クラウドの特性に基づく対応をすれば、クラウドの方がクラウド以外よりも安全かもしれない。しかし、クラウド特有のリスクを知らず、例えば、クラウドベンダとユーザの間の役割分担や責任の分界点等の知識がないまま利用すれば、むしろリスクは高まるかもしれない。要するに、クラウドとクラウド以外でどちらが安全でどちらが危険という話ではなく、それぞれのリスクを理解した上で賢く対応することが重要という話である。
なお、近時、ランサム攻撃(なお、松尾剛行「ランサム攻撃に関する個人情報保護法、会社法、及び民法に基づsく法的検討 —情報セキュリティと法の議論枠組みを踏まえて—」情報ネットワークローレビュー21巻68頁等によって、重要な
クラウドサービスが利用できなくなり、データが漏洩・消滅するといったトラブルもよく見られるところである。このような新たな脅威も織り込んだ上で、クラウドを前提としたBCP (Business Continuity Plan)策定等を行うべきである。
以上
賛助会員には以下のコンテンツが配信されます。
- 理事から一言
- 総会理事会
- 業界の動き
- 事務局からのお知らせ
- NEWS