では、こうした法規制を踏まえて、クラウド利用時のリスクを避ける(あるいは許容可能な程度に抑える)とするならば、クラウド利用を断念するべきなのでしょうか?
しかし、クラウドにはさまざまな利点があり、今後、ビジネスを拡大していく上でクラウドの利用はますます進展していくと思われます。すでにさまざまなところで語り尽くされている感もありますが、例えば、
といった特徴があります。ビジネスアプリケーションを短期間で利用できるようになり、ひいては変化の多いビジネス環境に素早く対応可能になるなど、これらのメリットを捨て去るのは得策ではありません。
エンタープライズ企業において、リスクをコントロールしながらクラウドを利用する際、データ管理において注意が必要なポイントをまとめると、下記のようになります。
クラウド環境で個人情報を扱うアプリケーションを利用するに当たって、現実的な解決策の1つが、個人情報の暗号化ソリューションです。クラウドセキュリティベンダのソリューションの一例として、下記のようなものがあります。
上記のソリューションでは、
ことで、データを保護し、先に紹介した「Data Loss/Leak」(データ消失/漏洩)などのリスクを減らしています。
ここで重要な点は、「暗号化のキーはゲートウェイ側が持っている」ことにあります。これにより、クラウド側では暗号化されたデータを復元できないことになります。また、付随的なメリットとして、ゲートウェイで「データフットプリント」を取得できます。クラウド側ではアクセスログの取得が困難ですが、ゲートウェイを経由するためにそこで取得できるというわけです。
慎重に取り扱うべき個人情報を扱う海外の多くのエンタープライズ企業は、このソリューションを利用することで「EUデータ保護指令」に対処しています。
多くのエンタープライズ企業において暗号化ソリューションは有効なのですが、それでも、クラウド上のデータを復号されるリスクがないとは言えません。
そうした懸念を持つエンタープライズ企業には、トークナイゼーション(Tokenization)というソリューションがあります。トークナイゼーションでは、
ことによって、仮にクラウド上のデータがリスクにさらされたとしても、意味のないデータしか外部に流出しないようにします。
トークナイゼーションでは、ローカルにDBを持つ必要があるなど運用が難しい点がありますが、クラウド上には全く意味のないトークンしか存在しなくなります。このため、個人情報がクラウド上から取得されることはありません。
このような方法を用いることで、クラウド利用時に個人情報を保護することが可能になり、各地域の法令をクリアすることができます。
参考までに、こうした暗号化ソリューションによってクラウド利用の問題点を克服した海外の事例を紹介します。
前提:消費者向けの住宅ローンサービスとして、ポータルサイトを短期間、低コストで実現する必要があり、クラウド利用に踏み切る
課題:銀行のセキュリティ基準のクリア(コンプライアンス)
→納税証明書、給与明細、財務・資産報告書等
→氏名、メールアドレス、電話番号、社会保障番号(Social Security Number)、口座番号
対策
前提:投資家の有価証券保管管理におけるEUのコールセンター
課題:EUデータ保護指令下におけるデータレジデンシーの制約(法令遵守)(電子メールの問い合わせ内容も保護の対象となっている)
対策
多国間、多地域間にまたがってビジネスを行っているエンタープライズ企業は、個人情報の保護に十分注意を払いながらクラウドを利用しなければなりません。あらためて、注意すべき点をまとめると、
以上となります。
今後、ますますクラウドの利用が加速する中、個人情報の保護はますます重要な課題となってくることでしょう。ぜひこうした点に留意し、クラウドのメリットを享受し、自社のビジネスに役立ててください。
Copyright © ITmedia, Inc. All Rights Reserved.