catch-img

クラウドサービス事業者による契約終了後のデータ取り扱い実態調査レポート

クラウドサービス事業者による契約終了後のデータ取り扱い実態について、Assured独自データによる調査結果を公開します。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

<結果サマリー>

・約15%で、サービス利用終了時のデータの取り扱いが不明確
・約14%が、サービス利用終了時またはサービス利用者からの指示があった場合でもデータを削除しない


調査背景

昨今、ランサムウェア感染やアクセス権限の設定ミスによる個人情報の漏えい事案が日々発生し、セキュリティ脅威が拡大しています。先日は、利用契約が終了したクラウドサービスから、アクセス権限の設定ミスにより個人情報が漏えいする事案が発生しました。クラウドサービスの利用契約中は、クラウドサービスへの預託データが適切に管理されていることを定期的に評価することが多いですが、契約終了後に評価することは通常ありません。

この度、契約終了後のデータ取り扱いについてクラウドサービス事業者の主な対策実態をAssured独自データ(Assuredがセキュリティ評価を実施したクラウドサービス)からまとめ発表します。


結果概要

1. 約15%で、サービス利用終了時のデータの取り扱いが不明確


約15%のサービスにおいて、契約や規約等によりサービス利用終了後のデータの取り扱いが明確になっていませんでした。契約や規約でデータの取り扱いが明確になっていない場合は、クラウドサービス事業者により不適切な取り扱いをされる可能性があったり、サイバー攻撃や内部不正等による情報漏えいのリスクが残存することになります。

契約や規約等ではサービス利用終了後のデータの取り扱いを明確にしていないものの、削除を行っているサービスもありますが、なかには以下の理由でデータを削除しないサービスがありました。

・問い合わせ対応に備えるため

・サービス停止後にデータ保管を依頼されることがあるため

データを削除しない理由として理解はできるものの、一定期間経過後は不要となるため確実に削除されるように対応を依頼することが重要です。

約14%が、サービス利用終了時またはサービス利用者からの指示があった場合でもデータを削除せず


サービス利用終了時またはサービス利用者からの指示があった場合、削除を行うサービスが大多数を占めるなか、約14%のサービスにおいてサービス利用終了時またはサービス利用者からの指示があった場合でもデータを削除していませんでした。

削除しない主な理由は以下の通りです。

・利用者が削除を行う必要があるため

・原則対応していないため

また、削除を行うサービスの対応として、あらかじめ定めた期間の経過後に削除を実施するケースと、サービス利用者からの依頼があった場合にのみ削除を実施するケースがあり、削除できると回答したサービスでも利用者から削除依頼を実施しないと削除されないことに留意する必要があります。


<調査概要>
・調査件数:調査項目により異なる(1:2,192サービス、2:2,141サービス)
・調査日:2024年5月9日
・調査対象:Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。


解説・考察

クラウドサービスは手軽に利用できるため、利用規約をしっかり確認しないで利用し始めてしまうこともありますが、特に秘密情報や個人情報をクラウドサービスに入力・保管する場合は、サービス利用終了後にそれらのデータがどのように取り扱われるかを契約や利用規約で確認することが重要です。
データの取り扱いが明確になっていない場合は、契約前にデータの取り扱いについてクラウドサービス事業者に確認しましょう。

また、契約終了後に自動で削除されず、利用者の依頼があった場合にのみ削除するケースもあるため、契約や利用契約を確認し、契約終了時にデータが確実に削除されるように削除依頼を忘れずに行いましょう。削除依頼は、IT・セキュリティ部門の方ではなく、実際にクラウドサービスを利用している部門の方が行うことがほとんどであるため、削除依頼漏れが発生しないように企業のルールやプロセスに、サービス利用契約終了時の対応事項を明記するとともに、確実に対応されるようにIT・セキュリティ部門などの管理部門がモニタリングを行うことを推奨します。

早崎 敏寛
早崎 敏寛
Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャとしてセキュリティコンサルティングを担当したのち、アシュアードに入社。ドメインエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP。

セキュリティ評価プラットフォーム「Assured」は、クラウドサービスの安全性を可視化するサービスです。

国内外のガイドラインやフレームワークに基づき、クラウドサービス事業者からセキュリティ情報を収集。専門家がリスクを評価し、データベース化しています。評価情報は開示申請だけで最短、即日で確認可能。海外のクラウドサービスも評価でき、未掲載のサービスは代行調査も承ります。

セキュリティ評価情報は、最新の評価に更新次第、通知されるため、定期監査にもうってつけ。セキュリティ評価にお悩みの方はぜひ、資料をダウンロードし詳細をご確認ください。

Assured

クラウドサービスの安全性を可視化する
セキュリティ評価プラットフォーム

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

関連記事

Seminar

開催予定のセキュリティセミナー

Ranking

人気記事ランキング

Tag

タグ

Assuredとは?

Assured(アシュアード)は、クラウドサービスの安全性を可視化する、セキュリティ評価プラットフォームです。最短即日でご覧いただけるセキュリティ評価情報や、クラウドサービスが取得している認証などを一元化したデータベースにより、貴社のDXを加速します。

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

Assured

クラウドサービスの安全性を可視化するセキュリティ評価プラットフォーム