クラウドサービス利用と個人情報保護
2023/01/12   情報セキュリティ, 個人情報保護法

はじめに

近年、企業が保有する「情報資産」である営業秘密の流出リスクが高まっています。実際、情報漏洩に関する事件も急増しており、摘発件数は8年で5倍に増加しています。また、事件化したものの多くは、顧客データなどの「営業情報の流出」とされています。

これらの一因として、「クラウド」と呼ばれるインターネット上にデータを保管するサービスを利用する企業の急増が指摘されています。クラウドの利用は、場所を問わずデータにアクセスができるという点で利便性が高まる一方、適切な利用管理が行われない場合、情報漏洩のリスクも高まります。クラウドを利用する企業では、重要情報の漏洩や、不正利用の防止策の整備が必須です。

クラウドサービス利用の注意点

クラウドサービスは、インターネット経由で情報の保存や処理などのサービスの提供を受けられるものです。クラウド上にデータを預けると、さまざまな端末で書類などのデータを他の人と共有することができます。

こうした利便性の高さから、クラウドコンピューティングサービスを導入している企業の割合は 70.4％と7割を超えていて、利用する企業は、場所や機器を選ばない利便性さや、資産・保守体制のアウトソーシング化などをメリットとして認識しているということです。
総務省　令和３年通信利用動向調査の結果

クラウド上のデータは、クラウドサービス事業者により安全に管理されることが基本ですが、実際には、障害によるデータの消失や情報漏洩などの事例も発生しています。利用の際には、さまざまな対策を取ることが重要です。

クラウドサービス利用の際に気を付ける主なポイントとしては、以下が挙げられます。

○クラウド上での障害発生
データの復旧ができなくなる可能性があります。

○データの外部漏洩
クラウドサービスを提供する事業者へのサイバー攻撃などにより、預けているデータが外部に漏洩する恐れがあります。クラウド上に預けるデータに個人情報を含めないなど、慎重に判断することが大切です。
また、サービスのセキュリティ対策のレベルや保証の範囲といった部分を利用規約などであらかじめ確認することも重要です。

○クラウドサービスのアカウントが第三者に悪用される
ウイルス感染などにより、クラウドサービスのユーザI Dやパスワードが流出することも考えられます。すると第三者による不正アクセス被害で、情報が漏洩する可能性があります。

障害等に伴うデータ消失の事例

上記２点以外にも、クラウド上で障害が発生した場合に、データの復旧ができなくなる可能性があります。実際にあった事例を紹介します。

バックアップをしていなかった事例

クラウドサービスを利用する会社の中には、障害が発生しサービスを利用できなくなった際、重要データが消えてしまった事例があります。

さらに悪いことに、この会社では、重要データを当該レンタルサーバのみに保存していたためデータの復元もできない事態に陥りました。

加えて、クラウドのサービス利用規約上、「データのバックアップや復旧は、最終的には利用者の責任である」との記載があり、サービス会社への損害請求などは行えなかったということです。

こまめにバックアップを取得したり、サービス停止時の代替手段などを用意することが安心につながります。
また万が一障害が発生した場合について利用規約を確認し、企業としての責任の範囲や、預けるデータの性質に気を配る必要があります。

パスワード使い回し

2016年、米国の大手クラウドストレージ運営企業が自社サービスのユーザーに対し、2012年半ば以前にユーザー登録をして以降、パスワードを変更していない場合はパスワードを変更するよう要請。過去に不正アクセスを受けた際に漏えいし、ユーザーのアカウント情報が明るみに出たことが理由でした。

原因は、社員がパスワードを使い回したためだとされています。外部からの不正アクセスによって情報が漏えいするなどの事例はたびたび発生しています。

対策としては、パスワードを15桁以上の複雑な文字列に設定することや、二段階認証、多要素認証を利用することが大切です。アップロードするファイルを暗号化するなどし、仮に不正アクセスがあった場合でもファイル内の情報自体が漏えいするリスクは抑制されます。

サーバーシステム脆弱性による流出

2021年4月、内閣府が所有する情報が漏えい。内閣府などの複数機関で、外部とデータを交換するサーバーに対し、不正なアクセスが行われていたことが確認され、231名の個人情報が流出したとされています。サーバーシステムの脆弱性を利用されたことが原因といわれています。

個人情報流出時の対応

では、万が一、顧客や取引先などの個人情報が流出した場合、どう対応するべきなのでしょうか。

2022年4月に施行された改正個人情報保護法では、個人情報取扱事業者に対して「守るべき責務」が追加されています。この中で重要なのが、個人情報などが漏えいした際の報告の義務化です。

これまでは、個人情報の漏えいが発生した場合でも個人情報保護委員会や本人に、漏えいの報告義務はありませんでした。しかし、法改正により「情報漏えいや個人の権利利益を害する問題が生じた場合、委員会への報告および本人への通知を行う」ことが義務づけられています。

情報漏えいを発見するための対策やルール整備はもちろん、報告期日までのプロセスの整備などを行うことが重要です。

コメント

使い勝手の良いクラウドサービス。従業員個人単位でも利用する方は多いのではないでしょうか。ネット環境さえあれば、会社内外関わらずにデータの共有ができる優れたサービスだからこそ、うっかり大事なデータを入れてしまうということも発生してしまうかもしれません。

クラウドサービスの利用ルールを社内で整備しつつ、万が一の情報漏洩時への対応についても、共通認識を持っておくことが重要になりそうです。