アーカイブサービスにおける監査対応のレベル

認証の取得による保証の表明

　監査を実施するにも、コストがかかります。特に外部のデータセンターや保管施設に対する監査ともなれば、データを保有するユーザ側だけでなく監査を受ける側の負担も大きくなるので、監査対応を行わない事業者もあります。所在が非公開あるいは海外のデータセンターが相手となれば、そもそも監査の実施が難しくなります。とはいえ、どのようなセキュリティ対策や運用がなされているか全くわからないのでは、ユーザが大事なデータを預けることができません。

　データセンターや施設への監査を受けること自体が難しいようなケースで、アーカイブサービスの事業者側がとる手段が、外部機関の認証取得によるセキュリティや安全基準の保証と表明です。代表的な認証として、ISO 27001(情報セキュリティに関する認証)やプライバシーマーク(個人情報取扱の適切性評価)などが挙げられます。これらの認証が基準に適合するユーザであれば、監査対応が不可でもアーカイブサービスを利用することが可能となります。逆に認証の範囲にとどまらない独自の基準を有するユーザにとっては、サービス事業者が認証を取得していても監査対応が不可であることを理由に選択肢から外さざるを得なくなります。

チェックシートや書面による監査への対応

　ISOなどの認証だけでは適合しない監査基準を設けているユーザにも対応できるようにするために、チェックシートや書面による監査に対応可能な事業者があります。最近ではクラウド事業者でも対応可能なところが増えています。ただし監査の内容によっては事業者にとって開示不可である、ぜい弱性の情報や機密情報などが関係することもあります。そのため対応可能なレベルは事業者によって異なり、ユーザ側にとって満足な回答を得ることが難しいケースも想定されます。

　また、事業者側の回答、例えば情報セキュリティや個人情報保護の運用に関する表明があったとして、それらが実効性を伴う形で実際に行われているかを客観的に保証することが難しいという問題も、書面監査には伴います。

　とはいえ比較的コストや手間をかけずに実施できる監査手法ではあるため、ユーザ側と事業者側の条件が折り合えば有効といえます。

実地監査への対応

　金融機関のようにセキュリティ要件が高レベルだと、データを預けているデータセンターなどに監査担当者が赴いて行う、実地監査が必要となることが多くあります。実地監査を行うには、事業者側に相応の受け入れ体制が整っていなければなりません。データセンターの所在が完全非公開、あるいは海外だと実施困難です。厳重なセキュリティを確保しつつ、ユーザの監査担当者による視察等が可能な仕組みも必要です。必然的に対応可能な事業者は限られることになります。

まとめ

　今回はアーカイブサービスを提供する事業者が、ユーザ側のデータ管理基準との適合性を保証するために、対応できる監査のレベルについて紹介しました。事業者ごとに対応可能な監査レベルは異なっており、ユーザがアーカイブサービスを選択する際には、監査レベルも選択基準とする必要があります。

　ワンビシは品質管理や情報セキュリティ等に関する認証を取得するだけでなく、書面監査および情報資産管理センター・データセンターでの実地監査にも対応することが可能です。年間1,000件以上の監査に対応しており、高レベルのデータ管理基準を備えられているお客様にも、安心してデータを預けていただける体制を整えています。