はじめに
本ドキュメントは、AWSをはじめとするクラウド環境で機密情報を適切に扱うためのガイドです。秘密保持契約(NDA)がどのように情報保護に寄与するか、さらにSLAとの関係や実務上の注意点を分かりやすくまとめます。契約書の読み方や確認すべきポイントを具体例で示し、日常業務ですぐ使える視点を提供します。
目的
- NDAの重要性と基本的な内容を理解する
- クラウドサービスでの情報保護の役割を把握する
- SLAとの関係と実務上の確認ポイントを示す
対象読者
- 情報システム担当者、契約・法務担当者
- クラウドを利用する開発者や事業部門の担当者
読み方と注意点
本書は実務向けの解説を中心にします。法的判断が必要な場合は、社内法務や専門家に相談してください。専門用語は必要最小限にとどめ、具体例で補足します。
秘密保持契約(NDA)とは
定義と目的
秘密保持契約(NDA)は、事業活動で交わされる機密情報の取り扱いを明確にする契約です。目的は情報漏えいや不正利用を防ぎ、提供側の権利を守ることです。日常業務や取引、共同開発の場面で用います。
保護される情報の範囲
機密情報には、顧客名簿、営業戦略、製品設計図、ソースコード、価格情報などが含まれます。口頭での説明や試作品、クラウド上のファイルも対象にできます。例:新製品の試作図面を見せるときはNDAで利用目的を限定します。
主な条項
- 情報の定義:何が機密かを具体的に記載します。
- 利用目的の限定:利用できる業務範囲を示します。
- 期間:守秘義務の有効期間と情報保管期間を定めます。
- 除外事項:既知の情報や公知情報は除きます。
- 返還・廃棄:契約終了時の情報処理方法を規定します。
- 損害賠償:違反時の責任範囲を明確にします。
実務上の注意点
- 範囲を曖昧にしない:対象情報と利用目的を具体化してください。2. 期間を現実的に:永続的にする場合は管理方法も決めます。3. 社内周知:関係者にアクセス制限と取扱い手順を明示します。4. 記録を残す:情報を渡した日時や手段、相手を記録してください。
具体例
- 製品開発:設計図を外部に渡す前に用途限定のNDAを締結する。
- 顧客データ:マーケティング業務で委託する場合、利用目的と削除期限を明記する。
- 共同研究:共同で得た成果物の取り扱いと権利帰属を条項で定める。
クラウドサービスにおけるNDAの役割
クラウド環境では、データやシステムをプロバイダーのインフラに預けます。そのためNDA(秘密保持契約)は、取り扱いルールを明確にする重要な役割を果たします。
なぜNDAが必要か
- 顧客データ、開発中のソースコード、機械学習の学習データなど、機密情報が第三者の設備上に存在します。具体例:顧客Aの顧客リストをクラウドで管理する場合、誰が閲覧できるかを決めます。
NDAで明示すべき項目
- 機密情報の定義:何を秘密扱いにするかを具体的に書きます。例:顧客名簿、設計図、APIキー。
- 利用目的と範囲:どの目的で使えるか、越えてはいけない範囲を示します。
- 第三者委託(サブプロセッサ):プロバイダーが外部に委託する場合の条件や事前通知を規定します。
- 保管・廃棄方法:暗号化や保存期間、契約終了後のデータ削除方法を決めます。
- 通知と対応:情報漏えいが起きた際の連絡手順と対応期限を定めます。
実務的な注意点
- アクセス権限を最小化し、ログを保持します。
- 暗号鍵の管理方針をNDAで補強します。
- 監査や第三者評価の可否を契約に含めます。
これらを明文化すると、責任範囲が明確になり運用で迷うことが減ります。
SLAとの関連性
概要
SLA(サービスレベルアグリーメント)は、クラウド事業者が提供するサービス品質や可用性を契約上で保証する項目です。NDAが機密情報の管理を定めるのに対し、SLAはシステムの稼働や障害対応の在り方を定めます。両者は情報保護とサービス提供の両面で補完関係にあります。
NDAとSLAの役割分担
- NDA:機密情報の範囲、取り扱い、第三者提供の制限などを規定します。
- SLA:稼働率(例:99.9%)、復旧時間、サポート窓口、保守時間帯、品質に対する補償(クレジット)を規定します。
SLAで確認すべき具体項目
- 可用性目標と測定方法(例:月間稼働率の算出式)
- インシデント発生時の通知・対応時間(連絡手順と責任者)
- データ保全・バックアップ方針と復旧目標(RTO/RPOの簡潔な説明)
- サービス停止の免責・メンテナンス窓口
- 下請け業者や第三者サービスに関する責任範囲
実務的な注意点
- NDAで定めた機密情報がSLAの対象となるか確認してください。例えば暗号化やログ保存の要件をSLAに盛り込むと実務での齟齬を防げます。
- インシデント時の連絡ルートや証跡の提出方法を明確に要求してください。証跡がないと原因追及や補償の算定が難しくなります。
- 可用性目標だけでなく、補償の算定方法と上限も確認してください。単に稼働率だけを書かれているケースが多いです。
- 共有責任モデルに基づき、自社と事業者の責任範囲を契約書に明示してください。これにより運用時の混乱を減らせます。
AWS利用時の実務的な注意点
契約前に確認するポイント
NDAやクラウド契約の原本を必ず確認してください。特に書かれている内容は「データ所有権」「利用目的」「開示条件」です。例として、ログやバックアップの所有権が明記されているかを確認します。
データ所有権とアクセス管理
自社データの所有権が明確であることを重視してください。管理者権限の付与方法や退職時のアクセス解除手順を契約や運用ルールに落とし込みます。例えば、退職者のアカウントは48時間以内に無効化すると決めます。
第三者への情報提供(サブプロセッサ)
クラウド事業者が第三者を使う場合の条件を確認します。どの国にデータが移転できるか、通知や同意が必要かをチェックします。サードパーティへの開示は最小限に抑え、一覧化して管理します。
セキュリティ対策と検証
暗号化やログの保存場所、アクセスログの確認頻度を定めます。定期的にアクセス権を見直し、想定外のアクセスがないかチェックします。外部監査やレポートを受け取る約束を契約に入れると安心です。
契約更新と運用体制
ビジネス変化に合わせて年1回以上は契約を見直します。新サービス導入時はNDAとSLAの整合性を確認し、担当者を明確にします。実務用のチェックリストを作り、運用に反映してください。
実務上のチェックリスト(例)
- データ所有権の明記
- アクセス権限の付与・解除手順
- 第三者提供の条件と通知方法
- 暗号化・ログ保管の要件
- 契約見直しの頻度と担当者
この章を参考に、契約と運用の両面で準備を整えてください。
