最近、G Suite(旧GoogleApps)やDropboxなど様々なクラウドサービスが普及しています。
プライバシーマークを取得している企業でもこういったサービスを利用されている方は多いのではないかと思います。
ただ、様々なクラウドサービスを利用する上で会社が持っている個人情報をクラウド上で利用する場合(クラウド上に個人情報のデータを保存する場合等)は注意しなければならないことがいくつかあります。
今回はそのうち3つを紹介します。
1.データが万が一消失した場合の扱い
クラウド上にだけ個人情報を保存していてそのファイルが壊れてしまっていてアクセス出来ない場合などに復旧や補償があるかを確認する必要があります。
結構無料のサービスの場合、こういった局面では何も補償等しません。と規約に書いている場合があります。
この場合バックアップなどから復旧出来なかった場合には漏えいしたわけでなないですが、会社が持っている個人情報のファイルが壊れた=取扱えない状態になるわけですから、プライバシーマーク上の事故報告が必要になります。
2.サービス提供者側のプライバシーポリシー等を確認する
プライバシーマークの中でクラウドサービスは個人情報の取扱いを委託していると見られます。
つまりプライバシーマーク上管理監督する責任はサービスを受ける側にあるわけです。
マークをもっている会社がプライバシーマークの仕組みを運用する中で求めるレベルをクラウドサービスを提供する側にも求める必要があります。
個人情報の取り扱いについてどのように考えているのかなどきちんと確認し、会社としてサービスを受けるのに問題ないかを評価する必要があります。
3.その会社が信用出来るか
直接プライバシーマークとは関係ないですが、クラウドサービスを提供する業者が様々な面で信用出来るかです。
特に財務基盤等問題ないかは重要かと思います。
規約にどのように書かれているかもよりますが、仮にサービスを提供する業者が倒産等してしまった場合、クラウド上に保存しているデータにアクセス出来ない。サービスが突然利用出来なくなる。という危険がクラウドサービスにおいては心配しなければならない「リスク」になります。
こういったことをプライバシーマークに紐付けるのであれば、リスク分析を行うなかで、クラウドサービスについてリスク分析を行う場合は残存リスクの中に「サービス提供者が倒産等した場合にサービスを突然受けれなくなる」という内容を入れることになるかと思います。
こういった形でクラウドサービスは大変便利でぜひ活用したいITサービスではありますが、そのリスク(心配しなければならない点)をいかに把握し管理するかが情報セキュリティの中では大変重要になってきます。