当社では、これまで社内サーバーの業務システムを使っていましたが、クラウドサービスを利用することを検討しています。社内では、セキュリティについて懸念する意見もあります。どのようなことに気をつけるべきでしょうか。

クラウドサービス業者の選定において、セキュリティ監査をクリアした業者を選定し、運用を開始後は、適切な運用がなされるよう継続的に情報管理のPDCA(plan do check action)サイクルを回すべきです。

解説

企業などの組織における情報セキュリティマネジメントシステムの仕様を定めた規格として、日本工業規格 JIS Q 27002 情報セキュリティマネジメントの実践のための規範があります。

このガイドラインの考え方をクラウドサービスを利用する場合について敷衍したものとして、平成23年4月に経済産業省(商務情報政策局 情報セキュリティ政策室)が公表したクラウドサービス利用のための情報セキュリティマネジメントガイドラインがあります。
http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html

平成25年には、同ガイドライン及び活用ガイドブック(改訂版ドラフト)が公表されています。
http://search.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000102797

経済産業省が公表するガイドラインは、裁判所においても、一般的に要求される注意義務の水準とされることも多いので参考にされるとよいでしょう。 なお、クラウドサービス利用のための情報セキュリティマネジメントは、御社の営業秘密、個人情報、および通常業務に利用されている情報など御社が扱う情報管理体制の一部なので、このガイドラインだけを遵守するのでなく、そもそも御社が全社的に適切な情報管理を行っていることが大切です。

当事務所は、クライアント等の情報を安全に管理するため、日本で最初にプライバシーマークを取得しましたが、以下のようにクラウドサービスも利用しています。現在では情報管理とクラウドサービスは両立するものとなっています。

http://rakumo.gigei.jp/casestudy/clair/

また、クラウドサービスの老舗であるセールスフォース.comには創業時から法律顧問として関与しています。同社のサービスにご興味があれば、ご紹介致します。

Category:クラウド , 情報管理