セキュリティは今やいろんな要素と切っても切り離せなくなっています。
先日PwCの「クラウド・リスク・マネジメント」を読んだので、
クラウド関連規制について本の内容+自分で調べた結果をまとめてみます。
※クラウドの特徴やリスクについて包括的に書かれていますが、
平成28年(2016年)に出版された本のため、内容が古い部分があり、
今回いくつか追記しました。(☆の部分)
クラウド周りのテクノロジーとそれに対する規制は日々変わっていくため
なぜ規制を気にする必要があるのか?
クラウドの特徴の1つに「場所を選ばない」という特徴があります。
最近はDCの場所(リージョン)を選ぶことももちろんできますが、
・海外のDCの方が安かったり
・バックアップサイトとして海外のDCを選ぶ
とうこともあリます。
そのような場合は現地の規制を受けることになり、
そのため選んだ場所がある国の規制を把握しておくことが必要です。
アメリカ
米国愛国者法(US Patriot ACT)※2015年失効
2001年9月11日の同時多発テロを受けて制定された法律。
政府やFBIは捜査令状があればアメリカ国内のサーバやデータを捜索、差し押さえすることができる、というもの。
仮にマルチテナントの(1つのサーバを複数の顧客で共有している)場合、サーバが押収された時にデータが利用できなくなる可能性がある。
CLOUD Act(クラウド法)☆
2018年に成立した法律。
米政府はアメリカに拠点を持つプロバイダに対して、アメリカ国外に保存されているデータであってもデータの開示を要求することが可能、というもの。
※AWSでは以下のように解説されています。
「プロバイダーも要請に対し異議申し立てを行うことができる」とあるので、必ずしも要請が適用されるわけではありませんが、一時的にサービスが利用できなくなくリスクはあります
電子通信プライバシー保護法
1986年に制定された法律。
政府は令状がある場合、事業者に対してデータの内容を開示することを求めることができる。
CCPA(The California Consumer Privacy Act of 2018)☆
カリフォルニア州の州法。
カリフォルニア州の住民の個人情報を収集する場合、
企業は住民の要請に応じて個人情報を消去しなければならない。
※Microsoftでは以下のように解説されています。
EU
EUデータ保護司令→GDPR
2018年5月25日より適用が開始された、
EU域内の個人データの処理と移転に関する法律。
従来の「EUデータ保護司令」の規制は各国の任意対応となっていたが、GDPRは罰則を伴う規則に格上げされた。
EUの個人の情報を有していればEU域内でなくても適用される。
イギリス
捜査権限規制法(Regulation of Investigatory Powers Act)
2016年に改定。
英国内に存在するデータに対し、調査権限を有するという法律。
中国
データ規制捜査権限法
中国国内に存在するデータに関して、
中国政府はコントロールを有するという法律。
中国サイバーセキュリティ法☆
2017年6月1日施行された、
ITインフラを提供する事業者へ求めるセキュリティ対策の規定
及び中国国民の個人情報の取り扱いを規制する法律。
日本
個人情報保護法
個人の情報の取り扱いに対する法律。
個人情報が漏洩した場合の刑事罰についても定められている。
マイナンバー法(行政手続における特定の個人を 識別するための番号の利用等に関する法律)
平成27年10月以降、日本国内に住民票を持っている全住民に通知されている
一人ひとり異なる12桁の番号のマイナンバーの取り扱いに対する法律。
不正競争防止法
公正な競争を確保するための法律。
この法律の中で、「営業秘密」と認められるためには
・有用性
・非公知性
・秘密管理性
を満たしている必要があるとされており、
クラウドに情報を保管する場合でも
「秘密として適切に管理されているか?」
が問われる。
著作権法
「著作者は、その著作物について公衆送信を行う権利を専有する」という文言があるため、クラウドへ情報を送信する場合には、
場合によっては(特に公開する場合)著作者の承諾が必要になる。
そのほか
そのほかにクラウドへ連携する情報によっては
・e 文書および電子帳簿保存法
・外為法
への配慮も必要になる。