クラウドとクラウドに関連する責任の所在に関しては、いろいろと誤解があるようです。
データがサードパーティーに移動すると、リスクも転送されると想定している組織がありますが、その想定は短絡的で、慎重に見直さないと大きな損失につながる可能性があると話すのは、セキュリティ専門家の Lauri Floresca 氏です。多くの企業がデータの保存と処理をクラウドで実施するようになりましたが、サイバー責任保険に加入している企業はほとんどありません。
サイバー責任の専門家であり、カリフォルニアを拠点とする Woodruff Sawyer の上級副社長である Lauri Floresca 氏は、サイバー責任保険に加入しないのは、金銭問題だけには留まらない間違いだと述べています。Floresca 氏は、ナスダック100 やフォーチュン500の企業を含むあらゆる規模の企業と協力して、サイバー責任に関する取締役・役員(directors and officers 、D&O)向け保険プログラムを導入しています。
Floresca 氏は、次のように話します。 「AWS、Microsoft Azure、Google などのクラウドサービスを使用してデータを保存したり処理したりする企業が増えており、ネットワーク全体をクラウドに移行する企業もたくさんあります。階層のトップには、ホスティングベースでサービスとしてのソフトウェア(Software as a Service、SaaS)を提供する多数のプロバイダが存在します。1つの企業が企業ネットワーク内で数十にも及ぶクラウドサービスを使っているといった状況もあり得るため、何か問題が起きたとき誰が責任を負うのかが不明確になる可能性があります。」
クラウドセキュリティは誰の責任か?
クラウドセキュリティの責任は誰がとるべきかという問題には、簡単には結論を下すことができません。責任はクラウドのベンダーと顧客の間で共有されます。
サイバー侵害を受けてしまうと、その悪影響は、侵害されたデータだけにとどまらず、金銭的喪失、顧客の信頼の喪失、評判の低下、さらには会社の取締役に対する法的措置といったことにまで及びます。この点を考えると、サイバー責任保険に加入することは理に適っています。
Floresca 氏によれば、大規模ベンダーは、リソースに投資して、中小企業にはできないレベルのセキュリティ強化を行っているので、クラウドに移行することでセキュリティを向上させることができます。クラウドベンダーは、多数の攻撃ベクトルを把握でき、脅威を特定してより迅速に対応できます。
利用者の視点で考えた場合、ほとんどのサイバー保険会社がクラウドの構成要素についてよく理解している点は重要なポイントです。
「多くのサイバー保険ポリシーでは、”コンピュータシステム” に、会社をサポートするために契約したサードパーティーのネットワークを含めるよう定義しています。ですから、データ侵害が発生した場合、カバーされる対象はデータが格納されていた場所に限定されることはありません。それでも、データ侵害が誰の責任であるかについてはまだ疑問があります。」と、Floresca 氏は話します。
「クラウドとクラウドに関連する責任の所在に関しては、いろいろと誤解があります。多くの企業が、データがサードパーティーに移動すると、リスクも転送されると想定しています。実際には、ほとんどの場合、企業はサービスをアウトソーシングしていても、リスクは保持しています。クラウドプロバイダの責任という点では、保護はほとんどありません。」
Floresca 氏は、クラウドコンピューティングでサイバー侵害が発生した場合、法的には義務はデータ所有者と呼ばれるデータをホストする会社にあると説明します。ただし、注目すべき例外として、(合衆国の)医療産業があります。医療機関をサポートする企業は、医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act、HIPAA)の下で「ビジネスアソシエイト」と見なされ、患者の個人医療情報を保護する義務があります。
「しかし、その場合でも、責任は、移行するのではなく、拡大するだけです。」と彼女は付け加えます。
「クラウドベンダーはたいてい、ときには0ドルか、あるいは1年間の手数料に相当する金額までといった具合に、責任をうまく制限しています。また、損害は通常直接費用に限定されるため、規制当局への対応や顧客の訴訟への対応にかかるコストなどは、ベンダーがカバーすることはありません。」
適切なサイバー保険ポリシーを探す
サードパーティーの責任費用とデータ侵害への対処に関連する費用の補償を受けられることがしっかり規定されたサイバー保険ポリシーを探すことが大切です。しかし、Floresca 氏は、それだけでは十分でないかもしれないとして、より慎重な考慮を促します。
サイバー保険に加入している場合でも、クラウドサービスのプロバイダにサイバー侵害による損失補償を要求してみる価値はあります。担当者が自費で補填するわけでなければ、プロバイダが、サイバー保険の自己負担分をカバーするか、サイバー保険の上限を超える部分への補填に応じてくれるかもしれません。こういった点は、クラウドサービスの顧客になる前にクラウドプロバイダと交渉することができるので、事前に交渉しておくべきであり、かなり標準的な要求事項になっています。
最近では、保険会社は、クラウドサービスが停止した場合の事業中断の補償も含めるように拡大した保険も提供するようになっています。Floresca 氏は、それが組織にとって深刻なリスクであれば、「偶発的なビジネスの中断」をカバーするサイバー保険を探した方がいいと提唱します。
クラウドベンダーとの関係
クラウドベンダーの視点から考えた場合、データ侵害の申し立ては実際には過失と怠慢(Errors & Omissions、E&O)の申し立てということになります。そのため、ベンダーは、データが侵害された個人に対して直接的な責任を負いません。ただし、顧客が、サービスの実行に失敗したとして申し立てることは可能です。
「そのため、E&Oとサイバー保険の補償範囲は通常、テクノロジー企業に対しての単一のポリシーにまとめられています。たとえば、データ侵害について顧客に通知するのに何百万ドルもかかるとか、ベンダーによる過失の結果としてビジネスを失ったとかいった申し立てが行われることもあり得ます。」と、Floresca 氏は話します。
「クラウドベンダーの契約はデフォルトで責任が制限されていますが、申し立てに対して支払い額を決定する際に、責任の制限がどの程度認められるかは明確ではありません。データ侵害が本当にクラウドベンダーの過失によると認められる場合、裁判所は契約にある責任の上限を適用しないと決定する可能性があります。」
サイバー脅威は増大し続け、より複雑になっており、クラウド利用者はリスク管理を強化する必要があります。保険会社は、顧客の動向を常に把握し、適応していくことが求められるでしょう。
Floresca 氏は、「肝心なのは、データをクラウドに保存する際に、自社システムに保存する場合と同じようにリスクを厳密に管理することが最善の策だということです。」と、統括しています。