情報技術の高度化で顕在化するリスク、国際的なルール作りを急げ
予測できない事態であるうえ、共用型のデータセンターでは、サーバーをどの企業と共有しているかは顧客にはわからない。大手SI会社によれば、仮想化の技術があれば、数分でほかのサーバーにデータを移すことも可能というが、すべてのデータセンターが仮想化技術を適切に運用できるわけではないし、データセンター自体を差し押さえられてしまえば対処のしようがなくなる。
さらに、司法の管轄の問題もある。データ所有者やシステム所有者の国籍と、データセンター所在地がまったく異なるエリアであることが数多くある。日本企業が米国のクラウド提供会社を利用して、東アジアのデータセンター経由で、中国でデータを利用する、というケースは珍しくなくなる。が、どの国の司法に従うのかという規定が現時点ではまったくない。もちろん国際法も存在しない。第三国から大規模なサイバーテロが仕掛けられた、というようなケースでは、いったい誰がどこの法にのっとって裁くのか。
現時点では契約時に書面で規定する以外にないが、争議が起きた場合の管轄が海外と規定されていると、訴訟が起きた場合の手続きや費用面で不利な立場に置かれる可能性がある。相対で決めることが可能であればよいが、クラウド上での契約は、あらかじめ規定された内容に対し「同意するか否か」の選択権しかないケースが多くなると考えられる。
スマートフォンの出荷台数は、年々倍増以上のペースで伸びている。始まったばかりのクラウド市場も、10年第1四半期の伸びは早くも想定以上と、現実が先行している。
もちろん、関係者も手をこまぬいているわけではない。ENISA(欧州ネットワークセキュリティ庁)に加えて、米国でクラウドセキュリティアライアンス(CSA)が設立され、09年には「クラウドセキュリティガイダンス」を公表し、国際標準作りに動いている。日本でも総務省や経済産業省、情報処理推進機構(IPA)などがクラウドの国際的運用に関する問題の検討と政策、制度提案の準備を始めている。また、IPA研究員の勝見勉氏らが中心となってCSA日本も設立された。
しかし、普及速度にまったく追いついていない現状では、一ユーザー企業としてできることは、データのバックアップと契約条件の精査程度の自衛しかない。総務省、経産省といった縦割りにとらわれずに、国際司法を巻き込んだ多様な観点から、早急な仕組み作りが望まれる。
(シニアライター:小長洋子 撮影:尾形文繁 =週刊東洋経済2010年9月4日号)
