皆さま、GEIT(Governance of Enterprise Information Technology)のエバンジェリストこと、ITコーディネータの元村憲一です。
「おっ! 何か役立つまたは、面白そうな事が書いてありそうだ」と思われたら、是非読者登録してください。
ブログの第222回目は、このブログの本題になっている GEITについての続きです。
これまでほとんどは、ISACAの話題を中心にお伝えして来ましたが、第210回目からは、ISACAを離れて、日本のGEIT人材であるITコーディネータについて、お伝えしています。
【ITコーディネータ関連の環境変化の続き8】
ITコーディネータ制度は、経済産業省が、日本の競争力を回復する高度人材として、未来を見据えた構想の中で制度化した割には、10年以上経った現在でも、非常に認知度が低く、その活用も不十分な状態が続いています。
第213回から、この十数年の間に起こった、ITに関係する最大の環境変化の、オンプレミスからクラウドへの移行についてお伝えしています。
今回も引き続き、クラウドコンピューティング型のサービスを有効に利活用する方法について、説明します。
前回同様、中小企業向けとして、IPA(独立行政法人情報処理推進機構)のセキュリティセンターが、2011年4月25日に公表した、以下ページにある2つの資料で、説明して行きます。
・「中小企業のためのクラウドサービス安全利用の手引き」、および「クラウド事業者による情報開示の参照ガイド」について
参照URL:
https://www.ipa.go.jp/security/cloud/tebiki_guide.html
・『中小企業のためのクラウドサービス安全利用の手引き』
・『クラウド事業者による情報開示の参照ガイド』
今回も、『クラウド事業者による情報開示の参照ガイド』の続きについてお伝えします。
このガイド(『クラウド事業者による情報開示の参照ガイド』)は、以前にお伝えしていた『中小企業のためのクラウドサービス安全利用の手引き』に対応する形式となっています。
『中小企業のためのクラウドサービス安全利用の手引き』では、クラウド事業者の開示する情報について、説明してきた通り以下の6カテゴリを提示しています。
1. 事業者の信頼性
2. サービスの信頼性
3. セキュリティ対策
4. 利用者サポート
5. 利用終了時のデータの確保
6. 契約条件の確認
このガイドは、これらの6カテゴリ毎に、以下の3項目を示しています。
・対応する『中小企業のためのクラウドサービス安全利用の手引き』の記述
・開示が望まれる情報項目
・開示の方法(案)
このガイドで提示している項目は、クラウド事業者が、全てを公開しなければならないというものではありません。
利用者自らが、クラウドサービスの利用について判断する際に参照すべき情報として提示しています。
必要に応じて限定された情報項目や開示方法(既存会員限定など)で、提供するような事も考えられます。
以下の状況が実現する事を目標に、作成されています。
・クラウド事業者側に、特段の負担が増える事がない
・利用者側にとって、必要な情報が提供される
・中小企業によるクラウドサービスの利用が促進される
4. 利用者サポート
・対応する『中小企業のためのクラウドサービス安全利用の手引き』の記述
(12) サービスの使い方がわからないときの支援(ヘルプデスクやFAQ)は提供されていますか?
ユーザ支援のための施策として、ウェブサイトに公開されたよくある質問集(FAQ)、動画等を用いた取扱説明、使い方に関する質問を受け付けてくれるヘルプデスク(カスタマー窓口)等があります。
中小企業にとっての良いサービスの条件として、サポートが充実していることがあります。
利用方法がわからない時、トラブルが発生したときに、情報を入手できる場所や相談できる相手があることは安心感につながります。
自社のサポート体制だけではなく、ユーザ用のコミュニティがある場合には、ユーザ同士の情報交換が役に立つことも考えられます。
・開示が望まれる情報項目
・利用方法の説明・解説文書の提供
・よくある質問集(FAQ)
・サポート窓口の情報
・ユーザコミュニティに関する情報
◇利用方法の説明・解説文書の提供
・オンラインヘルプ
・ユーザマニュアル
・その他
◇よくある質問集(FAQ)
・トップページからたどりやすいところにある
・キーワード検索が充実している
◇サポート窓口の情報
・連絡先
・電話
・FAX
・メール
・その他
・応対方法
・受付時間
・費用の有無
・体系
・その他
◇ユーザコミュニティに関する情報
・サポート掲示板
・ユーザグループ紹介
・その他
・開示の方法(案)
サポート窓口については事業者のホームページやサービスごとのウェブサイト、サービス約款や契約書などに記載しておくと良いでしょう。
サポートが有償の場合や登録制度がある場合には、その旨をあらかじめ伝えて理解しておいてもらうことも大事です。
5. 利用終了時のデータの確保
・対応する『中小企業のためのクラウドサービス安全利用の手引き』の記述
(13) サービスの利用が終了したときの、データの取扱い条件について確認しましょう。
クラウドサービスの利用を何らかの理由で終了する場合には、クラウドに預けてあったデータを自社内のシステムに戻したり、他のサービス事業者に預け直したりすることが必要になります。
クラウドサービスの利用を何らかの理由で終了する場合に、クラウドサービス上に作成、保管されたデータを、サービス利用終了時に引き上げたいという要望が利用者にはあります。
作成したデータをどのようにローカルに保存し、再利用できるのかについての情報を提供することで、利用者の安心感を得、また利用についての判断を促すことになります。
また、サービス利用終了時のクラウド上のデータの抹消方法についても、個人情報や機密情報だけではなく、企業のすべての情報において気になるところです。
利用が終了した後は、クラウドにあったデータは確実に消去され、復元されたり再利用されたり流出したりということが起らないことを保証し、説明することが重要です。
・開示が望まれる情報項目
・利用終了時のデータのローカルへの落し込み・保存方法
・保存できるデータ形式
・利用終了後のユーザデータのクラウド上からの抹消についての保証
『中小企業のためのクラウドサービス安全利用の手引き』では、以下の様な項目について確認が必要ですとして、示しています。
・データが必要なタイミングで返却されるか
・データが返却される場合のデータのフォーマットは、明確か
・クラウドのシステム上に残るデータの扱いは、明確か
・開示の方法(案)
利用終了時のデータの確保に関する情報は、ウェブサイト上で事前に提供されていることが望ましいでしょう。
また、必要に応じてツールを提供し、安全にデータをダウンロードできるようにすると良いでしょう。
6. 契約条件の確認
・対応する『中小企業のためのクラウドサービス安全利用の手引き』の記述
(14)一般的契約条件の各項目について確認しましょう。
クラウドサービスの利用に際しては、通常、サービスを提供するウェブサイトに利用のための契約約款が表示され、「同意します」ボタンをクリックすることで契約が成立する構造になっています。
書面による契約と同じ効力を持ちますので、「同意します」ボタンをクリックする前に、契約条件を確認しておきましょう。
クラウドサービスの利用も一般の商取引であり、契約条項は相互に確認の上契約されるべきものですが、ウェブサイト上の約款を利用者に読んでもらって、利用者が確認のボタンをクリックすることで契約が成立するパターンが一般的であり、内容を十分に確認せずに利用を開始してしまう利用者もいます。
特にいくつかの項目は万が一のときに紛糾する恐れがあるので、契約時にきちんと認識されているようにすることが望まれます。
また、サービス利用中も必要に応じてこれらの契約条件がいつでも参照できるように提供することが望ましいでしょう。
・開示が望まれる情報項目
『中小企業のためのクラウドサービス安全利用の手引き』では、一般に、その取引の内容を規定する部分以外にも、以下のような注意すべき項目がありますとして、示しています。
・利用価格の体系や適用条件
・価格の変更に関する規定
・サービスの変更に関する規定
・守秘義務
・損害賠償規定
・契約の満期終了と更新に関する規定
・契約の解除に関する規定
・契約の終了・解除に伴う処理等の規定
・開示の方法(案)
サービスの利用における契約条項は、利用者が同意するときにその内容を十分確認できるよう、明確にわかりやすく示す必要があります。
また、利用者が同意したそのままの内容を保存して将来相互に確認できる状態を保持することが望まれます。
契約期間中はいつでも参照できるように、ウェブサイトにわかりやすく掲載しておきましょう。
利用途中で条件を変更する場合に利用者からの確認を得て記録を残すことにも留意しましょう。
これで、『クラウド事業者による情報開示の参照ガイド』の説明を終了します。
このガイドでは、クラウドサービスの利用が促進されるように、クラウド事業者側への情報開示を促しています。
このガイドに則した情報開示が行われて、多くの中小企業の方々にとって、以下の環境が整う事が、期待されています。
・クラウドを正しく安全に利用する
・IT利活用の効果を経営に活かす
・ITセキュリティのレベルアップを実現する
ITコーディネータは、以下の2つの資料を十分に理解して、経営者を支援できる人材であり続けなくてはなりません。
・『中小企業のためのクラウドサービス安全利用の手引き』
・『クラウド事業者による情報開示の参照ガイド』
最後まで、お付き合いくださいまして、ありがとうございます。
次回以降も、本題のGEITの話題として、ITコーディネータを中心に、ITコーディネータ資格の変遷や、ITコーディネータのバイブルと言われるプロセスガイドラインの内容、ISACAが認定している資格の最新版が明らかになった段階で、順次お伝えして行きます。
皆さまからの、ご意見・ご感想をお待ちしております。
この記事を、気に入ってくださった方は、クリックをしていただけると励みになります。
【資格】
・ITコーディネータ
・公認情報システム監査人
Certified Information Systems Auditor (CISA)
・公認情報セキュリティマネージャー
Certified Information Security Manager (CISM)
・公認ITガバナンス専門家
Certified in the Governance of Enterprise IT (CGEIT)
・Certified in Risk and Information Systems Control (CRISC)
■Facebook
https://www.facebook.com/kenichi.motomura.1/
■公式ブログ
https://blog.kazatsukuri.jp/
■Ameblo
https://ameblo.jp/motomuranet/
■Twitter
https://twitter.com/motomuranet/