デジタルトラストの構築に向けたPwCのアクション：ユーザー企業は「Shadow IT」「責任分界点」「グローバル対応」に懸念‐聴講者アンケートから読み解く、クラウド推進の課題

クラウドのリスク把握に「Shadow IT」への対応は必須

ユーザー企業が直面している現在の課題として最も多かったのが「Shadow IT」（IT統括部門が把握せずに従業員が使用しているデバイスやクラウドサービス）に対する懸念です。「社内標準ストレージの使い勝手が悪いこともあり、ユーザー（従業員）が任意で無料・有料の外部サービスを使用している」「事業部門側が勝手にクラウドサービスプロバイダーと契約してしまう」といった声が寄せられました。

こうした懸念は、クラウドを利用する際に留意すべきリスクを特定できていない不安の表れと言えます。

若い世代のユーザーにとって、PCやモバイル端末は「常にネットワークにつながっているもの」です。どのロケーションにデータを保存しているか（オンライン環境かオフライン環境か）をあまり気にしないので、普段利用している利便性の高いクラウドストレージサービスを業務でも利用したいと考えるのは当然です。

しかし、会社が許可していないそういったサービスを利用すれば、安全性が確認できていないため、機密情報が漏えいしてしまうリスクは高まります。また、IT部門があずかり知らぬところで契約されたサービスに対しては、会社としてのセキュリティ対策やインシデント対応を施すことができません。

外部のクラウドサービスを利用する場合には、利用ポリシーや運用ルールを事前に作ることが必須です。まずは「どの部分（業務）で」「どのクラウドサービスを」「どのような契約で」利用しているかを把握することが大切です。

世界共通基盤のクラウドを利用する際はデータの取り扱いに細心の注意を

また、クラウドがグローバルな共通基盤であることに起因する不安の声も聞かれました。「外部サービスの利用で、IT部門が知らぬ間に個人情報を域外移転している可能性がある」「個人情報が国外移転禁止だとすると、異なるリージョンでのバックアップは取れないのか」「ビジネスをグローバルで展開する際、どのように各国のデータローカライゼーションの動きと折り合いをつけていくか」といった悩みです。

クラウドを利用する際に留意すべきは、格納する情報（データ）の取り扱いです。日本の個人情報保護法に基づく日本国外移転規制により、顧客や従業員の個人情報を海外に移転することは禁止されています。欧州にはGDPR（EU一般データ保護規則）が、中国には「中国サイバーセキュリティ法」があるように、ほとんどの国では、国を超えて個人情報を移転することは原則禁止なのです。

例えば、海外支社のデータセンターに日本国内の顧客データをバックアップしたり、米国リージョンのクラウドサービスにデータを保存して世界各国の子会社からアクセスしたりすることは、個人情報保護法違反に当たります。例外要件を実行するには、法務上の手続きが必要になります。個人情報のバックアップ方法は、社内の法務部を交えて検討する必要があります。

もう1つ多く聞かれた課題として、データローカライゼーション規制にどのように対応していくかが挙げられます。

データローカライゼーション規制とは、ある国で特定の事業活動を営む場合に、当該事業活動に必要なサーバーやデータ自体を国内に設置・保存することを求める規制です。データローカライゼーション規制では対象データが多岐にわたるため、データを越境移転する場合には、当該国政府の許可などが必要になるケースがほとんどです。また、規制の内容は各国によって異なるため、対応策の平準化が難しい状況です。

残念ながら現時点では、グローバル規模で対応を迫られるデータの取り扱いについては、多くの企業が明確な方針を打ち出せていません。中には「クラウド業者のサーバーが海外にある場合、地政学的な問題でサーバーが押収されるリスクはどう回避したらいいのか」といった声も聞かれましたが、そもそもこうした課題の解決は、民間企業一社で対処できるものではないのです。

クラウドの利用がさらに加速し、企業が情報システムを設計・移行する際にクラウドサービスの採用を第一に検討する「クラウドファースト」が当たり前になりつつある中、法整備も含めた各国の対応が注目されます。