クラウド利用する時に一番考えるのはデータ流出や、そもそも海外のサーバが絡むサービスに使用してもいいのか?という点かと思います。
今回は、国として一番大事な情報を保有している政府がそのクラウドについてどう考えているのか、議論ペーパが公開されていたので読んでみて、政府に近い方の見解と私の頭の整理をしてみたいと思います。
要旨の要旨
原則は立地と裁判権含めて日本国内だが、災害時のバックアップ用などの必要性が認め、海外にあることが特に問題ないケースなら海外も許容する。
問題ないと判断するには、下記の4つの観点から評価される。
- 可用性
- 継続性
- データ保護
- 訴訟リスク
可用性
可用性が必要ない業務サービス、またはバックアップ等で可用性が保証される場合。
継続性
継続性が必要ない業務サービス、またはシステム的に継続性が保証される場合。
データ保護
保護が必要ないデータ、または暗号化等によるデータ保護が十分な場合。
一例として暗号方式に、CRYPTREC暗号リスト(電子政府推奨暗号リスト)に含まれているものを採用しているなど。
訴訟リスク
日本で裁判でき、準拠法も日本など、具体的な訴訟リスクが予見されない場合。
まとめ
絶対ダメから、理由あるなら海外立地のデータセンタでもよいというくらいでしょうか。何か公共関係のシステム提案の時に、ここで減点や指摘を食らうのを避けるならやはりまだ海外立地のデータセンタは使用しない方が変な心配をしなくてすむのかなと思う次第です。
また、逆に〇〇が必要ない場合と読み取れる事から、露骨に海外をアウトにはしていない。ただし、そんなサービス業務はかなり優先度低いと担当者が回答しているのような物なので、そんな理由でおそらく内部審査をかけるとも思えず、事実上ダメといっている事を読み取れって事なんですかね・・・
性能的にも通信遅延が大きいとは思うのでやはり積極的に選ばないというのが無難でしょうか。