自社の信用を最優先した事前検討が必須

 企業がクラウドのサービスを利用する場合、当然ながらそのサービス上で顧客情報や機密情報といった重要なデータを、しかも大量に取り扱うことになります。「情報が漏えいしない」というセキュリティの確保はもちろんのこと、個人情報など各種データの適切な管理・保護ポリシーの実践、法令の遵守といったコンプライアンスの確保にも気を配らなくてはなりません。

 そのためには、価格やスペック表に現れる機能だけでなく、自社のセキュリティ、コンプライアンス両面のポリシーを実現できるだけのサービスを備えているかを、事前に検証しておくことが重要です。必要な項目の検証作業に非協力的な事業者は、危険だと判断して利用をやめるべきです。「安かろう悪かろう」のサービスでは、万が一の場合に自社の信用を失わせ、回復不可能な損失をもたらす元になる恐れがあります。

クラウドは「ユニバーサルサービス」ではない

 コンセントにつなげば電気が流れるように、コンピューターの処理能力もだれもが簡単に利用できる「ユーティリティコンピューティング」の時代がやってくる??。ビジネスライターのニコラス・G・カー氏は、著書『クラウド化する世界』(翔泳社)において、クラウドコンピューティングの普及についてそう述べています。

 しかし、クラウドコンピューティングのサービスと電気には大きな違いがあります。電気はユニバーサルサービスとして法律によりさまざまな義務を課され、サービスレベルも規定されているのに対し、現在のところクラウドコンピューティングのサービスにはそのようなものがありません。

 今後、法令などでサービスレベルが規定される可能性もありますが、現時点では、自分の目で事業者やサービスについてきちんと見極め、導入を決定する必要があります。

サービス上で保証されない点や責任の限定について明記されている

サービスレベルの確認は必要不可欠

 クラウドのサービスを利用する際には、機能(何ができるか)だけでなく、通信速度やサーバーのアップタイム(起動している時間)といった品質(サービスレベル)にも注意を払いましょう。

 通常、サービスのユーザーが増えれば増えるほど、サーバーや回線のパンクによるレスポンス低下が起こりやすくなります。しかし、一定のサービスレベルを保障したサービスであれば、適時システムが拡張され、サービスレベルは保たれます。

 アップタイムについては、事業者により言葉の定義が違う場合があります。アップタイムの逆でサービスが稼働していない時間を「ダウンタイム」と言いますが、定期メンテナンスによるダウンや数分?10分程度などの短時間で回復できたダウンは、ダウンタイムに含めずすべてアップタイムとしている事業者もあります。どの事業者も「100%は保障できませんが、限りなくそれに近いアップタイムです」などとアピールするものですが、実態はどうなのかを確認しておく必要があります。

解約することも想定して契約を

 最後に、解約時のデータの扱いについても確認しましょう。利用中にデータが保障されることはもちろんですが、解約時にデータを手元にバックアップでき、かつ事業者側のデータが適切に破棄されなければ、安全に利用できるサービスとは言えません。

 契約時にはそのサービスをずっと使い続けるつもりでも、さらに自社に適したサービスが始まったり、自社のIT システムに移行したりすることもあるわけです。重要なデータを解約とともに失うことになっては元も子もありませんから、契約前から、解約したときのことまで考えておきましょう。

[ヒント]Webでの失敗は取り返しがつかない

連日のように情報漏えいのニュースが流れる昨今ですが、Webで流出したデータは次々とコピーされ、完全に回収することはほぼ不可能です。企業は極めて大きなダメージを受けることになります。

[ヒント]システム稼働状況をリアルタイムで提供

Salesforce CRMは、具体的なアップタイム保障を行っていません。その代わり、セールスフォース・ドットコムでは「trust.salesforce.com」というサイトでサーバーの稼働状況をだれでも確認できるように公開し、積極的な情報提供に取り組んでいます。
▼trust.salesforce.com
http://trust.salesforce.com/trust/jp/

[システムステータス]をクリックすると、1日ごとのシステム稼働状況を確認できる

[ヒント]約300項目のポリシーをチェックしたみずほ情報総研のSalesforce CRM導入事例

2005年11月、みずほ情報総研はグループ企業の顧客情報管理のためにSalesforce CRMを導入。セキュリティに厳しい日本の大手金融機関としては、初のセールスフォース・ドットコム導入事例となりました。短期間で構築する必要があることからSalesforce CRMに注目したものの、データを外部に預けることについては、社内に否定的な見解もありました。そこで導入の可否を判断するため、同社グループのセキュリティ審査基準「みずほITスタンダード」の、約300にもおよぶCRM関連項目について審査を実施します。結果、基本的にはすべてをクリアしていることを確認し、いくつかの点については補強を実施したのち、導入決定となりました。