「クラウドと法」は、色々な立場でクラウドに関わる人に読んで欲しい1冊。
どんな本?
2011/10発行ということでやや時間が経ってしまっていますが、改めて読みなおしてみても非常に優れた本でした。
いやむしろ、この時期に出版ということは、クラウドがようやく盛り上がってきて、そこでやっと色々な問題が表に出てきたかどうかくらいの時期ですので、その時期にこんなにシンプルにまとめた本が出版されたことは高く評価されるべきだと思います。
でも、身構えたほどには固い内容ではないです。
対象者は?
それぞれが抱える責任範囲とリスクについて語られています。
法務担当者「以外」が読んで価値がある本だと思うし、そういった読者層にとっても手に取りやすい文量、構成になっている。
ポイント
私自身がこれから「使う側、導入する側」にまわる、という視点で読みなおしたので、その観点でのポイント抜き出しました。
- 日本政府はクラウド利用に積極的
経産省サイトに導入にあたってのガイドがあることなども紹介。
- システム的な漏洩リスクより、人為的な漏洩リスクの方が高い
法の専門家から、この言及があるというのは結構大事。
- 事業者に情報を預けるにあたり、特別な手続きは不要。
「個人情報保護だと、第3者に情報渡す場合は本人の承諾が」とかいうアレですが、売り渡すとか勝手に使われるとかいう話でなければ大丈夫、ということに言及されてます。
- データ紛失の責任は、事業者、利用者相互にあるため、バックアップ重要。
事業者のミスによるデータ紛失にかかる裁判事例について言及があります。
- 個人情報保護には「保険」があるので、入ったほうが良いよ。
具体的な保険商品、事業者には触れていませんが、ググればすぐ出てきますので、一度調べておくとよいでしょう。
- 内部統制の観点から、取締役会報告の対象とするのが望ましい。
何でもかんでも取締役会、ってわけではないけど、一応外部に置くことになること、どんなリスクがあるかということは、取締役が認知しておくべきと。
取締役の「善管注意義務」に引っかかる可能性もあるので、とのこと。
- 日本の事業者であっても、データセンターがどこにおいてあるかは要確認。
準拠法が違ってくる。
事業者と契約内容の注意点はこんな感じ
どうするのがいい、という正解があるのではなく、要件とコストを鑑みて評価しなさい、というお話。*1
- SLA
- 責任範囲・制限
- セキュリティ・秘密保持・プライバシー
- 再委託
- サービス停止時の対応
- 契約終了時のデータ取り扱い
- 準拠法
- 管轄裁判所
さいごに
これから色々と環境を用意しなければいけないスタートアップの方、すでにひと通りのシステムは持っているけど、リプレース等でクラウドサービスの採用を検討している方には、導入時の検討ポイントを整理する上で必要となる視点が盛りだくさんですのでぜひ読んで欲しいです。
その一方、クラウドサービスを提供する側から読むと、まったく別のところがポイントになってくると思いますし、そういうニーズにも応えてくれる本ですので、やはりおすすめします。
*1:10個記載があったけど8つ抜粋