クラウドサービス事業者の約14％が契約終了後も預託データを削除せず【Assured独自調査】

Visionalグループの株式会社アシュアード（所在地：東京都渋谷区、代表取締役社長：大森厚志）が運営するセキュリティ評価プラットフォーム「Assured（アシュアード）」は、クラウドサービス事業者による契約終了後のデータ取り扱い実態について、Assured独自データによる調査結果を公開した。ここでは概要をお伝えする。

調査実施の背景

昨今、ランサムウェア感染やアクセス権限の設定ミスによる個人情報の漏えい事案が日々発生し、セキュリティ脅威が拡大。同社は、利用契約が終了したクラウドサービスから個人情報が漏えいする事案の発生を受けて、契約終了後のデータ取り扱いについてクラウドサービス事業者の主な対策実態を、Assured独自データ（Assuredがセキュリティ評価を実施したクラウドサービス）からまとめ発表した。

約15％で、サービス利用終了時のデータの取り扱いが不明確

本レポートによると、約15％のサービスにおいて、契約や規約等によりサービス利用終了後のデータの取り扱いが明確になっていなかったという。Assuredは、契約や規約でデータの取り扱いが明確になっていない場合は、クラウドサービス事業者により不適切な取り扱いをされる可能性や、サイバー攻撃や内部不正等による情報漏えいのリスクが残存することになると指摘した。

データを削除しない理由として「問い合わせ対応に備えるため」「サービス停止後にデータ保管を依頼されることがあるため」などが挙げられたというが、一定期間後には確実に削除されるよう依頼する必要がありそうだ。

本レポートでは、約14％のサービスにおいてサービス利用終了時またはサービス利用者からの指示があった場合でもデータを削除していない実態が明らかにされている。理由としては「利用者が削除を行う必要があるため」「原則対応していないため」などが挙げられているという。

Assuredは、削除を行うサービスの対応として「あらかじめ定めた期間の経過後に削除を実施する」「サービス利用者からの依頼があった場合にのみ削除を実施する」と2つのケースがあるとして、利用者から削除依頼を実施しないと削除されない場合があることに留意する必要があると注意を促した。

調査概要

調査件数：調査項目により異なる（1：2192サービス、2：2141サービス）
調査日：2024年5月9日
調査対象：Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
出典元：クラウドサービス事業者による契約終了後のデータ取り扱い実態調査レポート（株式会社アシュアード／Assured調べ）
※小数点第二位を四捨五入しているため、合計が100%にならない場合がある

まとめ

同社によると、クラウドサービスの利用において、利用契約中は預託データの管理を定期的に評価することは多いが、契約終了後に評価することは通常ないという。契約終了後にデータが残存することにより、予期せぬ情報漏えいにつながる可能性がある。クラウドサービスを利用する際は、契約時に「契約終了後のデータの取り扱い」についての確認を欠かさないことが重要だろう。Assuredが注意を促したように「削除できるか」ではなく「削除する際の手順」を確認することをおすすめする。