私物のスマホなどから個人向けクラウドを業務で利用するケースでは、基本的には従業員が個人のアカウントを取得して使用することになる。
そのため、システム部門は、これまでの社内システムのように、アカウントや利用状況を一元管理することはできない。残念ながら、これについて対処策はない。個人のアカウントのため、退職時に強制的にアカウントの削除を命じることも難しい。
だが、個人向けクラウドの業務利用を禁止したとしても、従業員はいくらでも社内の情報を持ち出すことはできる。「個人向けクラウドだから危険」といった短絡的な発想はせず、「従業員教育で防げること」「ルールで縛ること」の両面から、個人向けクラウドの業務利用を認めるかどうかを検討すべきだ。
では、個人向けクラウドの業務利用を認める場合、システム部門はどういった視点でサービスを検証すればよいのか。先行各社は、次の五つのポイントを検証してから、個人向けクラウドの業務利用を認めている(図1)。
(1)クラウドで管理するデータの所有権はだれにあるか、(2)情報の共有範囲をどこまで制御できるか、(3)多要素認証の機能は備わっているか、(4)クラウド上にアップロードしたデータを修正・削除できるか、(5)ヘルプ機能が充実しているか、である。
(1)データの権利関係に注意
個人向けクラウドを業務で利用する際、まず確認すべきなのが「クラウドで管理するデータの所有権はだれにあるか」である。サービス提供事業者に権利を付与するケースもあるので注意が必要だ。問題が起きたとしても、権利関係が明記された利用許諾に同意していれば、法的手段に出たとしても対応は難しい。
分かりやすい例が、オンラインストレージのDropboxとGoogle Driveの利用規約の違いだ(図2)。
Dropboxでは「所有権を主張しない」と明記してあるのに対し、Google Driveでは「ユーザーのコンテンツを利用するライセンスを米グーグルに付与する」としている。これによるトラブルは報告されていないが、業務で利用するのであれば、Google Driveは避けた方が無難だ。