2012年6月にファーストサーバ社で起きた顧客から預かっていたホームページやメール、グループウェア等の大量のデータが消失した事故を受けて、同社のプライバシーマークの審査機関である一般財団法人日本データ通信協会がっホスティングサービス等の約款等でサービスの事業者選定の余地が狭められているものを利用する際の注意喚起が公表されました。
公表内容には4項目の注意喚起がありますが、具体的には3つのことについてプライバシーマークを取得している事業者及び取得をしようとしている事業者に対して注意することが明記されています。
個人情報保護マネジメントシステムの要求事項の適用範囲について
プライバシーマークの規格であるJISQ15001:2006の解説には「倉庫業、データセンター(ハウジング、ホスティング)等の事業において、当該情報が個人情報に該当するがどうかを認識することなく預かっている場合は、その情報の中に含まれる個人情報については、事業の用に供していないといえる。」となっています。(※JISQ15001:2006から抜粋)
データセンターを運営しているサービス事業者は基本的に容量を提供しているだけで中に何が入っているかは知りません。という認識になります。
ですので、仮にデータセンターに預けている情報が消失等してしまってもデータセンターを運営している側は個人情報漏えい等の事故が発生したとして審査機関等に報告する義務はありません。
ですが、逆にサービスを受けている(個人情報を預けている会社)側はそこに預けていた個人情報が消失してしまっているわけですから、審査機関に報告等する義務が発生します。
こういったことを認識してサービスを利用しましょう。とまず一点目の注意喚起がなされています。
クラウドサービス等、約款による情報処理サービスを利用する際の留意事項について
まず、プライバシーマークの運用において委託先の選定が必要です。
こういったホスティングサービス等を受ける場合は評価と約款の確認が必要になってきます。
ほとんどの場合は約款の存在だけを確認していた可能性がありますが、今後はちゃんと中身も確認するよう注意がなされています。
その理由としては約款の中に記載されているバックアップについての項目です。
バックアップについては、基本的に約款内でその実施や正確性を保証していません。
きちんとそういった内容を確認し、それを会社としてリスクの認識を行ったうえで対応するよう注意喚起がなされています。
公表内容の中には「自社でバックアップを実施する等~」と記載されてもいます。
この項目に書かれている内容は今後の現地審査にも影響が出てくる可能性があるので注意が必要です。
自社運用サーバにおけるバックアップ運用の再点検について
これはサーバを運用している側に対しての注意になります。
今回のファーストサーバの事故については本番環境とバックアップ環境に対して同時に更新プログラムを適用した結果、不具合が発生し、本番環境とバックアップ環境のいずれのデータも消失してしまったことが原因に挙げられています。
ですのでこういった運用がなされないよう、きちんと手順を見直し、事故の起きないよう運用するよう注意喚起がなされています。
また、本公表内容にも書かれていますが、ファーストサーバ社のプライバシーマーク上の処分も公表されていますので、下記リンクからご確認ください。
※個人情報の取り扱いに関する事故等の報告に対する審議結果について
本ブログは平成24年11月20日に一般財団法人日本データ通信協会から公表されたデータセンター等事業者のサービス利用に関する留意事項等【注意喚起】を参照にし、作成しております。