クラウド規制：安全のために知っておくべきこと

クラウドの採用がユビキタスになるにつれて、企業がクラウドにデータとアプリケーションを保存することに関連する規制と民事上の責任を理解することがこれまで以上に重要になっています。 クラウド管理会社であるRight Scaleの調査結果によると、93％以上の企業が何らかの方法でクラウドを使用しています。 ただし、パブリッククラウドとハイブリッドクラウドにデータを保存する企業は、データ侵害が発生した場合やクラウドのダウンタイムが大幅に増加した場合、特に規制や罰則の影響を受けやすくなります。

ほとんどの企業、特に中小企業（SMB）は、クラウドベンダーと標準のサービスレベル契約（SLA）に署名します。 これらのSLAは、顧客よりもベンダーに利益をもたらす傾向があり、その結果、災害が発生した場合にクラウドベンダーが支払う損害を制限します。

クラウドへの移行の法的影響に備えるために知っておくべきことを理解し、パブリッククラウドまたはハイブリッドクラウドが侵害された場合に保護されているかどうかを把握できるように、このリストをまとめました。考慮すべきこと。

1.データ侵害後の顧客情報の責任は誰にありますか？

すべての顧客データをサードパーティのクラウドに保存するとします。 ハッカーがそのクラウドに侵入し、データを盗み、それを使用して顧客に損害を与えることができる場合、誰かが民事罰を支払うことになります。 SLAの文言に応じて、クラウドベンダーは、会社が責任を負う可能性のある「結果的損害」ではなく、「実際の損害」に損害を制限する可能性があります。

「通常、ベンダーは、通常の過失に対する責任がかなり小さく、通常「実際の損害」に限定され、多くの場合、顧客が過去6か月または12か月にベンダーに支払った金額を上限とするような方法で契約を書きます。 」と、起業家や中小企業の代理を専門とする会社であるフォートポイントリーガルのビジネスカウンセルであるスティーブンアイルは述べています。 「実際の損害は、顧客が提供されなかったサービスに対して支払ったお金と呼ばれます。損害を「実際の損害」に限定することにより、契約はベンダーが「結果的損害」およびその他のクラスの責任を負う可能性を排除します懲罰的損害賠償などの損害賠償。」

Ayrは、結果として生じる損害を、侵害またはクラウドのダウンタイムから1段階削除された金銭的損失と説明しています。 たとえば、顧客がオンラインコラボレーションプラットフォームを介して大きな売り込みをすることになっているが、クラウドがダウンしたためにできなかった場合、このダウンタイムの結果として生じる損害について責任を負うことになります。

データ侵害や純粋な事故についても同じことが言えます。 ほとんどのSLAは、エリートハッカーが最先端のシステムを突破した場合、またはサードパーティがデータセンターの外部でファイバー接続を切断した場合に、クラウドベンダーが支払う必要のある損害を制限します。 弁護士が「重大な過失」を証明できる場合にのみ、ベンダーはクラウド大災害の金銭的責任について主に責任を負います。 通常、重大な過失は、ベンダーが行った不十分なセキュリティまたは意図的な悪質なアクションに適用されます。

2.データを政府機関に提出する責任は誰にありますか？

世界で最も安全なクラウドベンダーと協力している場合でも、同意なしに法的手段に頼ることなくデータにアクセスできないわけではありません。 データをクラウドベンダーに引き渡すため、実質的にはベンダーに政府令状に同意する許可を与えることになります。 ほとんどのSLAはこれを非常に明確に述べており、Amazon Web Services（AWS）やMicrosoft Azureなどの大規模なクラウドベンダーが、シロナガスクジラアカウントではない会社の標準SLAを変更することはまずありません。

そのため、政府の侵入について極端な制限がある場合は、おそらく独自のプライベートクラウドを構築するか、ローカルにデータを保存することをお勧めします。 このような状況では、令状と戦い、顧客データを保護することができます。 ただし、パブリッククラウドまたはハイブリッドクラウドを選択する場合は、ベンダーがBig Brotherに対する不寛容を共有することを望みます。

3.地域別の特定のクラウド規制とは何ですか？

米国でのデータの管理方法に関する権利を追跡するのは十分に困難です。 残念ながら、グローバルな規制は特定の国ごとに異なり、場合によっては、特定の国の各管轄区域内で異なります。 さまざまな地域にクラウドサービスプロバイダーが存在する多国籍企業の場合、関連する規制と責任を理解し、管理しようとする大きな頭痛の種になります。

Ayr氏によると、データをグローバルに保存する企業が弁護士と協力して、保存するデータの種類、データを保存する地域、およびそれらの管轄区域内の特定の法律を特定することが重要です。

「しかし、時間がかかり、費用のかかる作業になる可能性があります」とアイルは言いました。それらの法律を知っているか、各管轄区域の内外を既に知っている非常に高価な主題専門家を雇います。」

残念ながら、各管轄内でコンプライアンスを確保するための最も簡単で費用対効果の高い方法は、サービスプロバイダーに責任を負わせることです。 グローバルサービスプロバイダーはすでにビジネスを拡大し、データをグローバルに処理する方法を決定するための準備を行っているため、情報とベストプラクティスを導入する可能性が高くなります。

「結局のところ、弁護士を雇ってプロバイダーのサービス利用規約のコンプライアンスを確認する方が、弁護士を雇って準拠する規約を作成し、プロバイダーと交渉するよりもはるかに安価です」とAyr氏は言います。 ただし、これはまた、SLAに依存していることを意味します。SLAがベンダーに有利に機能するための重要な方法を既に検討しました。

4.クラウドにデータを快適に保存する必要があるのはなぜですか？

米国では、ほとんどの企業は個人を特定できる情報（PII）の取り扱いを規定するデータセキュリティ法によって保護されています。 これらの法律では、ベンダーはデータ保護戦略の概要を記載した書面のポリシーを作成し、侵害とダウンタイムに対する少なくともある程度の責任を負わせることが義務付けられています。 違反が発生した場合、これらの法律は司法長官に報告することも義務付けています。 たとえば、マサチューセッツ州では、この法律は201 CMR 17.00と呼ばれています。 カリフォルニアでは、この法律はSB 1386と呼ばれています。現在までに、米国の47の州で同様の法律が法律に定められています。

法律があなたを安心させるのに十分でない場合（そして、そうするべきではありません）、プライバシーとセキュリティのチャンピオンとして彼ら自身を売り込むクラウドベンダーがあります。 災害復旧（DR）サービスプロバイダーのSpider Oakなどの企業は、ゼロ知識クラウドサービスとして知られています。 クラウドにデータをアップロードする前に、クライアントのデバイス上のデータを暗号化します。 ゼロ知識は、スパイダーオークとその競合他社が復号化されたデータを決して処理しないことを意味します。 この慣行は、潜在的なリスクを制限し、政府機関にデータを引き渡すことを余儀なくされる立場に置かないようにするのに役立ちます。

Spider Oakの社長兼CMOであるMike McCamon氏は次のように述べています。 「上位4つは、セキュリティ、プライバシー、継続性、および制御です。」

「いつでもパスワードや復号化されたデータのバージョンはありません」とMcCamon氏は付け加えました。 「当社のシステム管理者でさえ、システムに保存されているデータの量以上のことは顧客について知ることができません。ユーザーについて収集するデータは、サービスプランが必要な場合のメールアドレスと請求情報のみです。」

企業は、AmazonやMicrosoftなどの大規模ベンダー、またはSpider Oakなどの小規模なゼロ知識ベンダーと協力しているかどうかに関係なく、クラウドを引き続き使用しているとAyrは主張します。

「新興企業での仕事では、クラウドの使用に特に神経質なビジネスは通常見ていません」とAyr氏は言います。 「もしあれば、新しいビジネスは、良くも悪くも、ドキュメントをファイリングキャビネットに入れるのと同じくらい安全で目立たないものとクラウドを考えます。」