私物のスマホなどから個人向けクラウドを業務で利用するケースでは、基本的には従業員が個人のアカウントを取得して使用することになる。

 そのため、システム部門は、これまでの社内システムのように、アカウントや利用状況を一元管理することはできない。残念ながら、これについて対処策はない。個人のアカウントのため、退職時に強制的にアカウントの削除を命じることも難しい。

 だが、個人向けクラウドの業務利用を禁止したとしても、従業員はいくらでも社内の情報を持ち出すことはできる。「個人向けクラウドだから危険」といった短絡的な発想はせず、「従業員教育で防げること」「ルールで縛ること」の両面から、個人向けクラウドの業務利用を認めるかどうかを検討すべきだ。

図1●企業が個人向けクラウドの利用を認める際にチェックすべきこと
[画像のクリックで拡大表示]

 では、個人向けクラウドの業務利用を認める場合、システム部門はどういった視点でサービスを検証すればよいのか。先行各社は、次の五つのポイントを検証してから、個人向けクラウドの業務利用を認めている(図1)。

 (1)クラウドで管理するデータの所有権はだれにあるか、(2)情報の共有範囲をどこまで制御できるか、(3)多要素認証の機能は備わっているか、(4)クラウド上にアップロードしたデータを修正・削除できるか、(5)ヘルプ機能が充実しているか、である。

(1)データの権利関係に注意
 個人向けクラウドを業務で利用する際、まず確認すべきなのが「クラウドで管理するデータの所有権はだれにあるか」である。サービス提供事業者に権利を付与するケースもあるので注意が必要だ。問題が起きたとしても、権利関係が明記された利用許諾に同意していれば、法的手段に出たとしても対応は難しい。

 分かりやすい例が、オンラインストレージのDropboxとGoogle Driveの利用規約の違いだ(図2)。

図2●オンラインストレージサービスの利用規約例
Dropboxの利用規約では所有権を主張しないと明記しているのに対し、Google Driveの利用規約ではユーザーのコンテンツを利用するライセンスを米グーグルに付与すると記されている
[画像のクリックで拡大表示]

 Dropboxでは「所有権を主張しない」と明記してあるのに対し、Google Driveでは「ユーザーのコンテンツを利用するライセンスを米グーグルに付与する」としている。これによるトラブルは報告されていないが、業務で利用するのであれば、Google Driveは避けた方が無難だ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。