前回の記事で、Dropboxの法人向けプランであるDropbox Businessを使っていることに触れました。個人事務所にもかかわらず、わざわざ法人向けプランを使っている理由について、まとめておきます。

もともとクラウドへのデータ保存には消極的だったのに、考え方を変えた理由

仕事でITを活用しましょう、といった感じの記事を多く書いていますが、実は仕事で使うデータをクラウドに保存することについては、積極的ではありませんでした。

その理由はズバリ、「漏洩したときのリスクが怖いから」です。

もし使っているクラウドサービスで、情報漏洩事故が起きたら対応が面倒だと考え、事務所でデータ保管してバックアップ取っておけばいいや、と考えていたわけです。
(そう言いながら、クラウド会計導入を積極的に進めている時点で、既に矛盾が生じていたのですが・・・)

そうしたスタンスを変更するきっかけとなったのは、ここ数年多発する災害でした。

災害の映像等を見ていて、もし洪水で事務所が浸水したり、地震で建物が壊れたときに、業務を短期間で立て直せるか?という疑問が湧き起こった訳です。そしてその答えは、「紙を中心とした資料の保管のままでは難しいだろう」というものでした。

そこで、

  • 紙の書類での保存を、電子データに順次移行していく
  • 電子データ化した資料は、バックアップの意味も含めてクラウドサービスに保管する

という方向で、資料保管の見直しをかけることにしました。

小難しくいえば、事務所として最低限のBCP(Business Continuity Plan、事業継続計画)を準備しておこうということです。

税理士事務所の仕事でいえば、データさえあれば、パソコンとソフトは再度準備することは難しくありませんので、災害時に備えてデータ保管の分散化を図ろうと考えました。

また、セキュリティ面で考えた場合も、事務所のサーバーやハードディスクに保管しているから絶対安全かというと、盗難や外部からの不正アクセスのリスクが全くないわけではありません。

そう考えるとランサムウエアなどへの対策として、大手のサービス提供者のサービスを使った方が、セキュリティレベルが上がると考えたのも、理由のひとつでした。

Dropbox Businessを使う理由は、セキュリティの最低限の保障のため

方向性を決めたら、次はどのサービスを使うかということになります。

その時点で、Dropbox Plusという個人向け有料プランを既に使っていたのですが、業務用に使うために法人向けプランであるDropbox Businessに変更しました。

その理由は、たったひとつです。Dropbox Businessの規約の中に次の項目があったことでした。

1.2 セキュリティ対策:顧客データにアクセスできるすべての Dropbox 社員は、適切な秘密保持義務に拘束されます。Dropbox は、顧客データを転送、保存、取り扱う上で、最低限でも本セキュリティ対策に準拠する業界標準の技術および組織のセキュリティ対策を使用します。本セキュリティ対策は、顧客データの完全性を保護するために構築されたもので、不正アクセス、不正使用、データの不正処理などから顧客データを守ります。Dropbox は、本サービスを適宜更新することができます。全体として受けられるサービスの管理的、技術的または物理的セキュリティ機能を実質的に減じるような方法でセキュリティ対策を更新する場合、Dropbox は、お客様に対しその旨を 6 日前までに通知します。


Dropbox Business 契約書  より引用(強調は筆者による)

Dropbox Business契約書の冒頭には、

契約書のこのセクションは、Dropbox Business のお客様のみに適用されます。

との記載があり、Dropbox全体に適用されるDropbox利用規約には同様の記載は見当たりませんでした。

上記の項目が、Dropbox Businessだけに適用されるということは、逆に言えば個人向けの有料プランであっても、データにアクセスできるDropbox社員は、適切な秘密保持義務に拘束されているとは限らない、と読むことができます

もともと漏洩リスクを心配して、クラウドへのデータ保存に踏み切れなかったわけですから、少なくとも事業者が秘密保持の義務を負わずに、データにアクセスすることはないという保証は最低限必要と考え、コスト的には高くなりますがBusinessプランへの変更を決めました。

なお、Dropbox Businessの料金プランを見ると、年間払いの場合、1ユーザーあたり\1,250/月となっていて、Dropbox Plus(年間払いで\1,200/月)とほとんど変わらないように見えますが、契約は3ユーザー以上でしかできないため、最低でも\3,750円/月かかりますので、ご注意ください。

もちろんサービス提供者のセキュリティが完璧である保証はありませんし、この規約があるから情報漏洩事故が起こらないと言い切れる訳でもありません。
(この規約が将来的になくなる可能性もゼロではありません。)

それでも、データ共有という形などでお客さまからデータをお預かりしていることに対する責任として、最低限こうした規約が確認できるサービスを使うようにする、というスタンスを取ることにしています。

ちなみに、Googleが提供するGoogleドライブについても、セキュリティについての説明ページ「Google Cloudのセキュリティとコンプライアンスに関するホワイトペーパー」などを読む限り、無料アカウントと有料アカウントの間で同様の違いがあります。

そのため、Googleドライブで資料を共有する必要がある場合も、無料アカウントのGoogleドライブではなく、有料のG SuiteアカウントのGoogleドライブを使うことにしています。

セキュリティをどこまで確保すべきかは、答えのない問題

Dropbox Businessを使うに至った経緯について書きましたが、今の運用が必ずしも最適だとは考えていません。

例えば、Dropbox側で漏洩がなくても、Dropboxと同期しているノートパソコンを持ち出して、盗難などに遭えば情報漏洩になってしまいます。

もちろん別のパソコンから同期を止めることは可能ですが、その前にパソコン内のデータをコピーされてしまえば、アウトです。

だったらセキュリティを強化するために、ノートパソコンの持ち出しを一切やめる、といった方法も考えられますが、お客さま訪問時に、

「事務所に戻らないとデータが確認できないので、あとで回答します」

といった不便が発生するのと、どうバランスを取るかという問題が生じます。

セキュリティは強化すればするほど、不便さは確実にアップします。それをどこまでやるかというのは、最後は個人や組織の価値観や考え方の問題に行き着きます。

そのため、「これが絶対的な正解」という答えはどこまでいっても出ることはありません

だからこそ、「常にリスクがないか見直し、問題があれば手を打つという姿勢」や「今のやり方が必ずしも正しいとは限らないという意識」を持っておくことが、セキュリティを確保する上で最も重要だと考えています。