クラウドコンピューティングのセキュリティ
2008年11月11日~12日にベルサール九段で開催された第1回プライバシー・セキュリティ国際会議の第3セッションにおけるオーガナイザーとしての仕事を無事に終えることができた。
第1回プライバシー・セキュリティ国際会議
http://www.ipsc2008.org/program.html
このセッションⅢのテーマは2及びその2つを組み合わせたテーマの合計3つだった。
1つは,マネジメントシステム・モデルそれ自体の破綻というテーマだ。
個人情報取扱事業者が経営破綻した結果,経営陣が逃亡し,従業員も全員解雇になると,個人情報を管理すべき主体である事業者が事実上存在しなくなる。すると,個人情報取扱事業者が存在しており,主務大臣が効果的に行政指導をすることができるということを必須の前提として組み立てられている現行の個人情報保護法は全く機能しなくなり,事業者が取得・保存・利用していた個人情報はすべて野ざらしになってしまう。
この問題は,日本だけに固有の問題ではなく,海外でも既に指摘されていたようだ。
Bankrupt lenders throwing away your privacy
msnbc:March 7, 2008
http://www.msnbc.msn.com/id/23505497/
次は,クラウド・コンピューティング。
一口にクラウド・コンピューティング(Cloud computing)と言っても様々なタイプのものが存在するが,ここでは,最も単純なSaaSのようなものを想定している。
クラウド・コンピュータから提供されるサービスを利用する場合,利用者のプライバシー・ポリシーやセキュリティ・ポリシーなどは端末装置として利用者が支配している範囲にしか及ばない。通信回線上では通信事業者のポリシーが適用される。そして,クラウド・コンピュータの内部ではクラウド・コンピューティング・プロバイダのポリシーが優先的に適用されるのであり,利用者のポリシーが適用されることはない(契約によって適用可能とすることは理論上は可能だが,その場合でも,クラウド・コンピュータ内部の機器などの物理資源や従業員等の人的資源に対してダイレクトに点検と監査を実行できる可能性はゼロに近い。)。この場合,様々な認証システムが事実上機能しなくなってしまうか空洞化してしまうことになる。
他方で,クラウド・コンピュータが単にディスク領域を貸しているだけであればそれほど問題がないかもしれないが,様々なコンサルティングやアドバイスなどのサービスも提供している場合,異なる利用者間での利益相反の問題,独占禁止法違反の問題,不正競争の問題などが続々と出てくることが予想される。しかも,外側からはそのことがなかなか分かりにくく,コラウド・コンピューティングそれ自体が違法行為のためのパラダイスになってしまう危険性がある。
更に,この2つの問題を組み合わせると,もし万単位の企業を利用者とするクラウド・コンピューティング・プロバイダが2008年9月のリーマン・ブラザーズの破綻以降における世界的な金融危機のあおりを受けて倒産することになれば,クラウド・コンピュータの情報資産に全てを依存して企業活動をしているような利用者もまた同時に企業経営ができなくなってしまい,一斉に連鎖倒産するという非常に恐ろしいことが発生してしまうかもしれない。
このような問題について指摘するのは,国際会議としては初ではないかと思って準備し,本番に臨んだ。
しかし,会議終了後に更に詳しく調べてみたら,このような危機を危惧する意見書や報告書等が既に公開されていたようだ。
クラウド・コンピューティングが抱える7つの“セキュリティ・リスク”
Computer World: 2008年07月03日
http://www.computerworld.jp/topics/saasw/114209.html
EFF:Bankruptcy, Public Records and Privacy - Comments of the Privacy Rights Clearinghouse and the Electronic Frontier Foundation presented to the U.S. Department of Justice
http://www.privacyrights.org/ar/bankruptcy091800.htm
これらの問題については,日本のJIS Q 15001の改訂作業の中で話題になったことがあるらしい。しかし,問題が問題なだけに,結局,何も手当てがなされないまま今日に至っている。
このようなタイプの問題を解決するための法的解決策の基本方針は一つしかない。
それは,「事業者」の存在を必須の前提として行政指導タイプでコントロールするだけでは足りないという認識をもった上で,「事業者」が存在しない場面,「事業者」とは無関係の場面または「事業者」が経営破綻などにより事実上機能しなくなってしまっている場面においても適用可能な新たな個人情報保護法を制定することだ。
具体的には,個人情報の濫用について厳罰を加えるという刑事処罰重視の立法が望ましい。
まともな人間であれば適正な方針に基づき適正に情報を管理するかもしれない。しかし,問題となる事例の中には,ヤクザやマフィアのように最初から法令遵守をする気など全く有しない者が多数入っている。このような犯罪者や犯罪者集団に対して行政指導で対処しようと発送することそれ自体が最初から笑止千万というしかない,という誰でも分かる簡単なことに一日でも早く気付くべきだろうと思う。
[追記:2008年12月19日]
関連記事を追加する。
Google Appsの障害が意味するもの (1/2)
IT Media: 008年10月20日
http://www.itmedia.co.jp/enterprise/articles/0810/20/news048.html
| 固定リンク
コメント