自社の信用を最優先した事前検討が必須
企業がSaaSやPaaSを利用する場合、当然ながらそのサービス上で顧客情報や機密情報といった重要なデータを、しかも大量に取り扱うことになります。「情報が漏えいしない」というセキュリティの確保はもちろんのこと、個人情報など各種データの適切な管理・保護ポリシーの実践、法令の遵守といったコンプライアンスの確保にも気を配らなくてはなりません。
そのためには、価格やスペック表に現れる機能だけでなく、自社のセキュリティ、コンプライアンス両面のポリシーを実現できるだけのサービスを備えているかを、事前に検証しておくことが重要です。必要な項目の検証作業に非協力的な事業者は、危険だと判断して利用をやめるべきです。「安かろう悪かろう」のサービスでは、万が一の場合に自社の信用を失わせ、回復不可能な損失をもたらす元になる恐れがあります。
クラウドは「ユニバーサルサービス」ではない
コンセントにつなげば電気が流れるように、コンピューターの処理能力もだれもが簡単に利用できる「ユーティリティコンピューティング」の時代がやってくる??。ビジネスライターのニコラス・G・カー氏は、著書『クラウド化する世界』(翔泳社)において、クラウドコンピューティングの普及についてそう述べています。
しかし、クラウドコンピューティングのサービスと電気には大きな違いがあります。電気はユニバーサルサービスとして法律によりさまざまな義務を課され、サービス水準も規定されているのに対し、クラウドコンピューティングのサービスにはそのようなものがありません。当然、社会的なコンセンサスも未成熟です。
今後、法令などでサービス水準が規定される可能性もありますが、現時点では、自分の目で事業者やサービスについてきちんと見極め、導入を決定する必要があります。
「通信に依存するサービス」であることを認識
また、忘れがちですが重要な指標として「サービスレベル」があります。サーバーや回線の速度、「アップタイム(サーバー稼働時間)」など、提供されるサービスの品質についてです。
通常、サービスのユーザーが増えれば増えるほど、サーバーや回線のパンクによるレスポンス低下が起こりやすくなります。しかし、一定水準のサービスレベルを保障したサービスであれば、適時システムが拡張され、サービスレベルは保たれます。
アップタイムについては、事業者により言葉の定義が違う場合があります。アップタイムの逆でサービスが稼働していない時間を「ダウンタイム」と言いますが、定期メンテナンスによるダウンや数分〜10分程度などの短時間で回復できたダウンは、ダウンタイムに含めずすべてアップタイムとしている事業者もあります。どの事業者も「100%は保障できませんが、限りなくそれに近いアップタイムです」などとアピールするものですが、実態はどうなのかを確認しておく必要があります。
解約することも想定して契約を
最後に、解約時のデータの扱いについても確認しましょう。利用中にデータが保障されることはもちろんですが、解約時にデータを手元にバックアップでき、かつ事業者側のデータが適切に破棄されなければ、安全に利用できるサービスとは言えません。
契約時にはそのサービスをずっと使い続けるつもりでも、さらに自社に適したサービスが始まったり、自社のITシステムに移行したりすることもあるわけです。重要なデータを解約とともに失うことになっては元も子もありませんから、契約前から、解約したときのことまで考えておきましょう。
[ヒント]Webでの失敗は取り返しがつかない
連日のように情報漏えいのニュースが流れる昨今ですが、Webで流出したデータは次々とコピーされ、完全に回収することはほぼ不可能です。企業は極めて大きなダメージを受けることになります。
[ヒント]セールスフォースのサービスレベル保障
Salesforce CRMは、具体的なアップタイム保障を行っていません。その代わり「trust.salesforce.com」というサイトでサーバーの稼働状況をだれでも確認できるように公開しており、積極的な情報公開に取り組んでいます。
▼trust.salesforce.com
http://trust.salesforce.com/trust/jp/
[ヒント]約300項目のポリシーをチェックしたみずほ情報総研のSalesforce CRM導入事例
2005年11月、みずほ情報総研株式会社はグループの顧客情報管理のために、Salesforce CRMを導入しました。短期間で構築する必要があることから、任意の仕様にカスタマイズできるSalesforce CRMに注目したものの、データを外部に預けることについては、社内に否定的な見解もあったようです。導入の可否を判断するため、みずほ情報総研では同社のセキュリティ審査基準「みずほITスタンダード」の、約300にもおよぶCRM関連項目について審査を実施します。結果、基本的にはすべてをクリアしていることを確認し、いくつかの点については補強を実施したのち、導入決定となりました。