クラウドサービス契約終了後のデータ取り扱い実態調査

〜約14%が契約終了後も預託データを削除せず。クラウドサービス利用企業は、契約終了後のデータ取り扱いの把握が必要〜

Visionalグループの株式会社アシュアードが運営するセキュリティ評価プラットフォーム「Assured(アシュアード)」( https://assured.jp/ )は、クラウドサービス事業者による契約終了後のデータ取り扱い実態について、Assured独自データによる調査結果を公開します。

<結果サマリー>
・約15%で、サービス利用終了時のデータの取り扱いが不明確
・約14%が、サービス利用終了時またはサービス利用者からの指示があった場合でもデータを削除しない

調査背景

昨今、ランサムウェア感染やアクセス権限の設定ミスによる個人情報の漏えい事案が日々発生し、セキュリティ脅威が拡大しています。先日は、利用契約が終了したクラウドサービスから、アクセス権限の設定ミスにより個人情報が漏えいする事案が発生しました。クラウドサービスの利用契約中は、クラウドサービスへの預託データが適切に管理されていることを定期的に評価することが多いですが、契約終了後に評価することは通常ありません。

この度、契約終了後のデータ取り扱いについてクラウドサービス事業者の主な対策実態をAssured独自データ(Assuredがセキュリティ評価を実施したクラウドサービス)からまとめ発表します。

結果概要

1. 約15%で、サービス利用終了時のデータの取り扱いが不明確

約15%のサービスにおいて、契約や規約等によりサービス利用終了後のデータの取り扱いが明確になっていませんでした。契約や規約でデータの取り扱いが明確になっていない場合は、クラウドサービス事業者により不適切な取り扱いをされる可能性があったり、サイバー攻撃や内部不正等による情報漏えいのリスクが残存することになります。

契約や規約等ではサービス利用終了後のデータの取り扱いを明確にしていないものの、削除を行っているサービスもありますが、なかには以下の理由でデータを削除しないサービスがありました。

・問い合わせ対応に備えるため
・サービス停止後にデータ保管を依頼されることがあるため

データを削除しない理由として理解はできるものの、一定期間経過後は不要となるため確実に削除されるように対応を依頼することが重要です。

2. 約14%が、サービス利用終了時またはサービス利用者からの指示があった場合でもデータを削除せず

サービス利用終了時またはサービス利用者からの指示があった場合、削除を行うサービスが大多数を占めるなか、約14%のサービスにおいてサービス利用終了時またはサービス利用者からの指示があった場合でもデータを削除していませんでした。

削除しない主な理由は以下の通りです。

・利用者が削除を行う必要があるため
・原則対応していないため

また、削除を行うサービスの対応として、あらかじめ定めた期間の経過後に削除を実施するケースと、サービス利用者からの依頼があった場合にのみ削除を実施するケースがあり、削除できると回答したサービスでも利用者から削除依頼を実施しないと削除されないことに留意する必要があります。

<調査概要>

・調査件数:調査項目により異なる(1:2,192サービス、2:2,141サービス)
・調査日:2024年5月9日
・調査対象:Assuredのセキュリティ調査に回答済みのクラウドサービス事業者
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。

出典:PRTimes クラウドサービス事業者による契約終了後のデータ取り扱い実態調査(Assured調べ)