クラウドサービスのサーバーの所在を、確認して利用していますか?
クラウドサービスは、今、企業の仕事や個人の生活の中の、あらゆるところで活用されています。クラウドサービスと、そのサービスを高速で通信できる環境さえあれば、非常に低コスト(場合によっては、ゼロコスト)で、便利な業務上のツールや、生活上のツールが利用できる、便利な時代です。
しかし、その一方で、その便利さには、リスクも潜んでいることをご存知ですか?特に企業の利用者の立場では、その脅威は大きな打撃にも繋がりかねません。そう、そのリスクとは、情報セキュリティ上の脅威です。
例えば、こんな事例は、御社とは無関係でしょうか?
会社全体として、情報部門が管理していれば、
「ちょっと待った! そのクラウドサービスの管理会社は、どこの会社で、そのサーバーは、どこにあるの?」
と、調査の必要性に行き当たるでしょう。
一方、営業部門が情報部門に相談することなく独走し、取引先の名刺情報に紐づいたメールアドレス情報を、無料提供されているクラウドサービスに、何の疑いもなく、アップしてしまうとしたら、御社は、とてつもない情報セキュリティリスクを負うことになるでしょう。
日経新聞2021年5月26日の記事報道によりますと、国内主要金融機関は、約4割が顧客個人情報を、海外に移転し、それを海外のサーバー上で作業をしたり、保管していると報道されています。そのうち、最も多い移転先は、米国と中国です。
SNS対話型アプリLINEでさえ、利用者の情報が中国からのアクセスが自由にできた状態を放置していたことが社会問題となりました。
中国では、上海や大連などの沿岸都市で、入力代行サービスが盛んです。日本企業も、2000年代半ばから、人件費の競争力が高い中国企業に入力業務を委託することが多くなりました。セキュリティ意識の高い金融機関や、大手SNSでさえ、中国企業へ情報移転し、そこで提供される情報サービスを利用し、個人情報を中国に移転してきました。従って、中小のクラウドサービスが、コスト重視で、中国企業に個人情報を移転し、そのサーバーで個人情報を作業し、保管することは、当然の流れでしょう。
2021年現在の日本の個人情報保護法では、本人から同意をとり、委託先を監督していれば、中国を含む海外に情報を移転することは、違法ではありません。
先の事例の営業部門のスタッフが、何ら疑問を持つことなく、個人情報保護規約を読み飛ばして、便利なクラウドサービスに、顧客個人情報を登録してしまうことも、無理からぬことかもしれません。
しかし、本当に、今後も、それで大丈夫でしょうか?
中国「国家情報法」と、2022年4月 個人データの海外移転ルールの変更
今、欧米諸国が中国を警戒している最大の理由は、2017年に中国で成立した「国家情報法」です。これによって、中国政府は、国内の民間企業や個人に対し、その有する情報を、すべて国家に提供することを強制できるようになりました。
そして、中国は、一国二制度が保障されていたはずの香港にも、この法律を適用させています。香港の民主主義活動家が、続々投獄されている状態から考えると、香港が、再び、英国統治下時代と同様な、自由な民主主義エリアに戻ると望むことは、絶望的でしょう。
つまり、日本企業が、これまでコスト重視で、中国に移転してきた個人情報は、既に、中国政府に筒抜けになっているということを意味します。そして、中国が、ロシアと同様、国家をあげて、サイバーテロを実施し、国家安全保障のために、ビックデータをAIのディープラーニングに利用していることは、最早、疑いようもない既成事実です。
つまり、あなたの個人情報は、極めて合法的に、中国のサイバーテロの対象や、国家安全保障のための情報として、利用をされていることを疑わなければなりません。
このような事態を受けて、欧米や日本の政府も、対策を急いでいます。
日本では、2022年4月に、個人データを海外移転する場合のルールが変更されることになりました。2021年5月19日、個人情報保護委員会ガイドラインにより、個人情報収集の本人の同意をとる際、移転国名を明示し、情報管理制度を調べて、日本との違いを明示する必要があるということになります。
先にあげた事例のように、収集した個人情報をメルマガ送信のため、クラウドのサーバーにアップする場合、そのクラウドサーバーがどこの国にあり、その情報をアップによって、どこの国に移転するかにつき、明示することが求められるようになります。
「このメルマガの送信のため、あなたの個人情報は、中国に移転します。中国では、日本と異なり、政府がサーバーを管理する企業に、その情報の提供を強制することができます。」
このような表記をしたメルマガを、誰一人、送られることを希望するヒトはいませんよね。
今の時代、無料のクラウドサービスや、アプリほど、怖いものはないということを認識しなければなりません。
知らず知らずのうちに、御社が関係者の情報をリスクにさらすことがないように、社内のクラウドサービスや、アプリ利用にも、目を光らせる必要がある時代になったのだと思います。
以上、ご参考になれば幸いです。
続く