クラウドサービス事業者による契約終了後のデータ取り扱い実態調査レポート

クラウドサービス事業者による契約終了後のデータ取り扱い実態について、Assured独自データによる調査結果を公開します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

調査背景

昨今、ランサムウェア感染やアクセス権限の設定ミスによる個人情報の漏えい事案が日々発生し、セキュリティ脅威が拡大しています。先日は、利用契約が終了したクラウドサービスから、アクセス権限の設定ミスにより個人情報が漏えいする事案が発生しました。クラウドサービスの利用契約中は、クラウドサービスへの預託データが適切に管理されていることを定期的に評価することが多いですが、契約終了後に評価することは通常ありません。

この度、契約終了後のデータ取り扱いについてクラウドサービス事業者の主な対策実態をAssured独自データ（Assuredがセキュリティ評価を実施したクラウドサービス）からまとめ発表します。

結果概要

1. 約15％で、サービス利用終了時のデータの取り扱いが不明確

約15％のサービスにおいて、契約や規約等によりサービス利用終了後のデータの取り扱いが明確になっていませんでした。契約や規約でデータの取り扱いが明確になっていない場合は、クラウドサービス事業者により不適切な取り扱いをされる可能性があったり、サイバー攻撃や内部不正等による情報漏えいのリスクが残存することになります。

契約や規約等ではサービス利用終了後のデータの取り扱いを明確にしていないものの、削除を行っているサービスもありますが、なかには以下の理由でデータを削除しないサービスがありました。

・問い合わせ対応に備えるため

・サービス停止後にデータ保管を依頼されることがあるため

データを削除しない理由として理解はできるものの、一定期間経過後は不要となるため確実に削除されるように対応を依頼することが重要です。

約14％が、サービス利用終了時またはサービス利用者からの指示があった場合でもデータを削除せず

サービス利用終了時またはサービス利用者からの指示があった場合、削除を行うサービスが大多数を占めるなか、約14％のサービスにおいてサービス利用終了時またはサービス利用者からの指示があった場合でもデータを削除していませんでした。

削除しない主な理由は以下の通りです。

・利用者が削除を行う必要があるため

・原則対応していないため

また、削除を行うサービスの対応として、あらかじめ定めた期間の経過後に削除を実施するケースと、サービス利用者からの依頼があった場合にのみ削除を実施するケースがあり、削除できると回答したサービスでも利用者から削除依頼を実施しないと削除されないことに留意する必要があります。

＜調査概要＞
・調査件数：調査項目により異なる（1：2,192サービス、2：2,141サービス）
・調査日：2024年5月9日
・調査対象：Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

解説・考察

クラウドサービスは手軽に利用できるため、利用規約をしっかり確認しないで利用し始めてしまうこともありますが、特に秘密情報や個人情報をクラウドサービスに入力・保管する場合は、サービス利用終了後にそれらのデータがどのように取り扱われるかを契約や利用規約で確認することが重要です。
データの取り扱いが明確になっていない場合は、契約前にデータの取り扱いについてクラウドサービス事業者に確認しましょう。

また、契約終了後に自動で削除されず、利用者の依頼があった場合にのみ削除するケースもあるため、契約や利用契約を確認し、契約終了時にデータが確実に削除されるように削除依頼を忘れずに行いましょう。削除依頼は、IT・セキュリティ部門の方ではなく、実際にクラウドサービスを利用している部門の方が行うことがほとんどであるため、削除依頼漏れが発生しないように企業のルールやプロセスに、サービス利用契約終了時の対応事項を明記するとともに、確実に対応されるようにIT・セキュリティ部門などの管理部門がモニタリングを行うことを推奨します。