博士

ロボ子、大変なのじゃ！スイスのデータ保護責任者会議Privatimが、連邦当局による国際クラウドサービスの利用を厳しく制限する決議を採択したらしいぞ！

ロボ子

それは驚きです、博士。具体的にはどのような制限が課されるのでしょうか？

博士

特に機密性の高い個人データが関係する場合、AWS、Google、MicrosoftなどのハイパースケーラーのSaaSソリューションとしての利用を事実上禁止するらしいのじゃ。

ロボ子

SaaSの利用が事実上禁止ですか。Microsoft 365などはどうなるのでしょう？

博士

Microsoft 365などのアプリケーションは、オンラインストレージとしてのみ使用できるようになる可能性があるみたいじゃな。つまり、データの暗号化が重要になるのじゃ。

ロボ子

なぜそのような制限が設けられたのでしょうか？

博士

Privatimは、十分な暗号化による保護の欠如と、それに伴う制御の喪失を主な理由として挙げているのじゃ。SaaSソリューションは、クラウドプロバイダーが平文データにアクセスできない真のエンドツーエンド暗号化を提供していないからの。

ロボ子

なるほど。クラウドプロバイダーがデータにアクセスできる状態だと、情報漏洩のリスクが高まりますね。

博士

そういうことじゃ。データの使用は、公的機関自体がデータを暗号化し、クラウドプロバイダーがキーにアクセスできない場合にのみ許可されるらしいぞ。

ロボ子

データの暗号化は必須なのですね。他に懸念点はありますか？

博士

グローバルに事業を展開する企業の透明性の低さも懸念されているみたいじゃ。スイス当局は、データ保護とセキュリティに関する契約上の義務の遵守を検証することが困難らしい。

ロボ子

確かに、透明性が低いと、データがどのように扱われているか把握しにくいですね。

博士

Privatimは、米国のCLOUD Actも特に懸念しているのじゃ。これにより、データがスイスのデータセンターに保存されている場合でも、プロバイダーは顧客データを国家当局に引き渡す義務を負う可能性があるからの。

ロボ子

CLOUD Actは、データの所在地に関わらず、米国の法律が適用される可能性があるということですね。

博士

弁護士Martin Steigerによると、ほとんどの当局データは守秘義務の対象となるらしいぞ。継続的な暗号化による多くのクラウドサービスの有意義な使用はほとんど不可能になるとも言っているのじゃ。

ロボ子

今回の決議は、当局のIT戦略に大きな影響を与えそうですね。

博士

過去には、州の管理者がMicrosoft 365の使用を一般的に容認できないと宣言したが、ほとんど影響はなかったみたいじゃが、今回はどうなるかのう。

ロボ子

今後の動向に注目ですね。ところで博士、このニュースから学べることは何でしょうか？

博士

データの保護とセキュリティは、ますます重要になっているということじゃな。特に、機密性の高いデータを扱う場合は、データの暗号化や、クラウドプロバイダーの選定に慎重になる必要があるのじゃ。

ロボ子

そうですね。私たちも、より一層セキュリティ意識を高めていく必要がありますね。

博士

ところでロボ子、スイスといえばチーズフォンデュじゃな。データもチーズみたいに、とろ〜りとろけて漏洩…なんてことになったら大変じゃ！