総務省自治体クラウド推進本部有識者懇談会「とりまとめ」へ
2011年1月20日に開催された総務省の自治体クラウド推進本部 有識者懇談会(第4回)の配付資料が、総務省サイトで公表されている。
http://www.soumu.go.jp/main_sosiki/jichi_gyousei/c-gyousei/lg-cloud/39859.html
私も、この懇談会の委員として出席した。
資料の中でも注目は、有識者懇談会とりまとめ(案)。
http://www.soumu.go.jp/main_content/000099227.pdf
その6頁以下に記載された「クラウド導入に係る諸課題」が重要だ。
「導入に係る諸課題」として、次の事項が指摘されている。
(1) カスタマイズの制約
(2) 相互運用性の確保
(3) 情報セキュリティに係る技術的対策
(4) 情報セキュリティに係る法的留意点
上記(4)では、次の点が指摘されている。文字色を変更している部分が引用部分である。
自治体とクラウドサービス事業者間の権利義務関係は、原則としてサービス提供契約の内容によって定まるので、必要な情報セキュリティに係る項目をあらかじめ契約内容に盛り込んでおかなければならない。しかし、契約によるコントロールには一定の限界もあることから、次のような点にも留意すべきである。
ⅰ 例えば、サーバ所在地国の法令によって、当該国の政府に対して通信のデータ内容を開示しなければならない義務が課されている場合には、データの機密性は保たれないことになる。これは、当事者の合意で左右できない。このような課題に対応し、SLA等を確実に担保するためには、契約の規定でデータセンターの設置場所やアクセス区域を国内に限定する必要がある。また、民事裁判管轄・準拠法についてもサービス提供契約に特約が置かれることが一般的であるが、国内でなければ事実上の限界が生じる場合がある。
ⅱ クラウドサービス事業者に求めるセキュリティ対策を明確にし、サービス水準をSLA等で十分に担保するなど、自治体とクラウドサービス事業者双方の責任分界点を明確化することが必要である。しかし、クラウドサービスの場合、その利用形態が情報システムの所有から利用へと根本的に変化すること、また、仮想化技術や分散処理技術、マルチテナント対応ソフトウェアなど、クラウドサービスを構成する技術は、新たなセキュリティ対策の実施を要請する可能性もある。したがって、従来の手法によるセキュリティマネジメントが利きにくいことに留意すべきである。
ⅲ データセンターが国内に所在するとしても、クラウドサービス事業者の施設への立ち入り監査を各自治体が個別に実施することには困難を伴うことも想定される。したがって、第三者による保証型監査等により、クラウドサービス事業者のセキュリティ対策の的確な実施を実際に担保する等の対策も有効であると思われる。
ⅳなお、庁内LANやパソコンのセキュリティ管理、アクセス制御の方針決定とIDパスワードの管理、職員のセキュリティ意識の向上等、利用者である自治体の責任で行うべき情報セキュリティ対策は、引き続き的確に実施し、その管理レベルを高めていくことが求められる。
特に「契約の規定でデータセンターの設置場所やアクセス区域を国内に限定する必要がある。」とする点が重要であろう。
ちなみに、これまであまりクローズアップされてこなかったが、「外字」の問題が大きな課題となる。
これまで、人名、地名の表記に必要な外字は、ベンダ、そして自治体ごとにまちまちだった。クラウドに移行する際にどうすべきか、別の機会に、少し詳しく論じてみたい。
| 固定リンク
「情報ネットワーク法」カテゴリの記事
- 番号法の成立と今後の課題(2013.12.20)
- EU個人データ保護規則案が可決された(2013.10.23)
- 新刊予告「インターネットの法律問題-理論と実務-」(2013.08.20)
- 合衆国の連邦政府における個人情報保護法制に関するメモ(2013.08.13)
- 東京地判平成25年7月19日(エンジン写真事件)の解説2 (完)(2013.08.09)
この記事へのコメントは終了しました。
コメント