欧州連合（EU）は2018年に個人データ保護ルールを強化する。違反企業には最高で全世界の売上高の4％もの制裁金を科す。IoTや自動運転、医療などあらゆるITに影響する。日本企業も対応が必須だ。 ［第3回］欧米セーフハーバー合意の舞台裏 Google、Amazon、Facebook、Microsoft、Apple―。名だたる米IT企業が登録されているリストが米国政府のサイトにある。欧州から米国への個人データの移転を許容する「セーフハーバー合意」の枠組みに加わる企業だ。2015年10月、欧州司法裁判所が合意は無効だとする判決を下した… 2016.02.26 ［第2回］「十分性認定」のない日本企業 日本企業は欧州子会社の従業員のデータであっても無断でEU域外には持ち出せない。グローバル人事システムで欧州の従業員の人事情報を日本で管理したり、顧客データを集めて活用したりするには、事実上、標準契約（

Google、Amazon、Facebook、Microsoft、Apple―。名だたる米IT企業が登録されているリストが米国政府のサイトにある。欧州から米国への個人データの移転を許容する「セーフハーバー合意」の枠組みに加わる企業だ。2015年10月、欧州司法裁判所が合意は無効だとする判決を下したものの、2016年2月に新たな枠組み作りで合意した。舞台裏では米企業団体などがロビー活動に奔走していた。 EU（欧州連合）は現行のEUデータ保護指令によって1995年から「十分な保護レベル」を確保していない国への個人データの移転を規制してきた。十分性が認定されたのは、スイスやカナダ、アルゼンチンなど11の国や地域にとどまる。 これまで米国は欧州との交渉によって、米国企業が例外的に欧州から個人データを持ち出すことができた。それが2000年の「欧米セーフハーバー合意」という枠組みだ。米企業が枠組みを守

This domain may be for sale!

ご存じですか？ ISMS規格改訂の背景と意図：みならい君のISMS改訂対応物語（1）（1/2 ページ） 情報セキュリティマネジメントシステム（ISMS）評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この新規格に対応する際のポイントとは何でしょう？ とある会社のISMS推進チームメンバー、「みならい君」と一緒に学んでみましょう。 情報セキュリティマネジメントシステム（ISMS）の評価認定制度の基となっている国際規格「ISO/IEC27001」が2013年10月に改訂されました。この物語は、ISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みをその新規格（ISO/IEC27001:2013）へ対応させる作業を行っていく過程を描くものです。 読者の皆さまには、この連載を通じて、改訂版規格であるIS

登壇の機会をいただけたので、普段技術的なトピックが中心にあるカンファレンスとは違うことだし、普段あまりやらない話をしよう、ということで、そんな話をしてきました。 社内システムの構造と設計、実装のはなし from SATOSHI TAGOMORI 今回はスライドにはトピックだけ出して、あとは壇上でべらべらしゃべる、というスタイルをとったため、このスライドだけではちょっと意味がわからないところが多いだろうなあ、という気がします*1。 と思っていたら id:rx7 さんが内容をすごく丁寧にメモっておいてくださってました。こちらをどうぞ。ありがとうございます。 デブサミ2014「社内システムの構造と設計、実装のはなし」講演メモ #devsumi - 元RX-7乗りの適当な日々 自分でも内容をまとめてみようかと思いましたが、なんか散漫になるなあ、ということでいったん書いたけど削除 ＞＜ rx7さんの

各府省CIO（情報化統括責任者）連絡会議は2013年12月26日、省庁が保有する情報システムの改革方針を示した「政府情報システム改革ロードマップ案」を公開した。政府システム改革の司令塔となる政府CIO制度の発足後、初めて改革案の詳細が示された形だ。 2013年度の現時点で1363に分散しているシステムを、2018年度までに統廃合で約6割の871にまで減らす（図）。このうち約3割に当たる252システムは、仮想化環境「政府共通プラットフォーム」に移行する。

日本のIT産業は、世界に類を見ないユニークなエコシステム（生態系）をつくり上げた。大手SIerを頂点とする多重下請け構造のピラミッドから成るITサービス業のことだ。日本だけで独自進化し一大産業として繁栄した。私はこれを「SIガラパゴス」と呼ぶ（関連記事：日本だけ！「SIガラパゴス」に明日はあるか）。 極めて便利な存在であるため、ユーザー企業はこの生態系を育んだ。その結果、日本企業のIT活用は今や欧米企業に比べ周回遅れで、新興国の企業にも追い抜かれようとしている。 米国のITベンダーの日本法人社長は、本社の幹部から「なぜ日本にはITサービス会社があんなにたくさんあるのか」とよく聞かれるそうだ。米国にもアクセンチュアやEDSのような企業は存在するが、数は限られているからだ。そして回答に苦慮する。 「日本のユーザー企業は独自仕様のシステムを作りたがるのに、その開発を外部委託することが多いから」。

IT（情報技術）を使った企業の内部監査の手法。活用すると、従来の試査（サンプリング）ではなく、精査（全件検証）によって精度を高められる。不正の抑止効果も期待されている。 企業が行う内部監査はこれまで、試査（サンプリング）によって検証するのが一般的でした。どの企業も内部監査部門の要員は少ないことが多いため、膨大な量の取引や契約内容の全件を検証（精査）するのは、時間の制約や労力の問題から現実的ではなかったからです。 そのため内部監査では、監査のテーマを決めて対象となる取引や契約内容の一部を取り出し、サンプリングの調査結果から母集団で起きている問題を統計的に推計するのが一般的です。しかも、監査の対象は文書類が中心でした。 これに対し、IT（情報技術）を使ったCAAT（コンピュータ利用監査技法）を取り入れると、全件の検証が可能になります。大量の電子データから早期に不正の兆候を発見できるようになれば

NTTグループがM＆A（合併・買収）による海外事業の強化を加速させている（表）。NTTデータは2013年10月31日にスペインのIT企業を買収すると発表した。買収額は推定で500億円に達する。11月5日にも米国とルーマニアのIT企業の買収を公表した。10月28日には、NTTコミュニケーションズ（コム）が米国のIT企業2社を約850億円で買収すると発表。NTTグループでみると5件、総額1350億円を超える買収を発表した格好だ。 NTTデータがスペインに本社を置くエヴェリスグループを買収した最大の狙いは南米市場だ。同社はスペイン語圏であるメキシコやアルゼンチンなどに拠点を構える。「（買収によって）中南米地域の事業を強化する」。岩本敏男社長は10月31日の記者会見で、こう強調した。 NTTコムは米国のデータセンター（DC）事業者レイジングワイヤ・データセンターズの株式の約80％を約340億円で、

IDC Japanは2013年7月8日、国内企業ユーザーを対象としたクラウドの認知度、利用・導入率の調査結果を発表した。「利用中」「利用を前提に検討中」と回答した企業が堅調に増加したほか、「興味があり、情報収集中」と回答した企業が4社に1社へと急増しており、今後のクラウド市場の成長を促進する要因になるとしている。 今年4月に約2900社の企業ユーザーを対象に実施した調査。パブリッククラウドを理解した上で「利用中」は21.1％（前年調査19.1％）、「利用を前提に検討中」は13.4％（同13.7％）で、ほぼ3社に1社が利用あるいは利用する方向だった。 一方、利用前提まではいかないものの「興味があり、情報収集中」は23.1％（同6.5％）と4倍近くに急増した。昨年の調査では、「検討したが利用しないことに決定」の割合が26.5％だったが、今年は7.8％に減少しており、逆転したかっこうだ。 IDC

WindowsXPのサポート終了をきっかけに、エンベデッド用OSを扱うITベンダーからも新しいサービスが登場している。組み込み機器のメーカーやユーザー企業の中には、既存システムとの関係が壁になるなど新OSへの移行が簡単には進まないケースがあるからだ。 エンベデッド用のWindows7やWindows8に置き換えるとなると、既存のハードやアプリケーションの見直しを迫られる。「将来はエンベデッド用のWindows7やWindows8に移行したい」と望んでも、大規模なシステム再構築につながるなら、ためらうユーザー企業も出てくる。移行をスムーズに進めるには、予算や計画を詰めるなどの準備期間が必要だが、WindowsXPのサポート終了は2014年4月に迫っている。 そこでWindowsXPに代わるOSとして、XPと互換性のあるエンベデッド用OSをとりあえず導入し、本命OSまでの「つなぎ」として活用す

RSA Innovation Sandboxでは、セキュリティ技術のイノベーションが紹介された。Skyhigh Networks (スカイハイ・ネットワークス) はCupertino (カリフォルニア州) に拠点を置くベンチャー企業で、企業内で不正に使用されているクラウド・サービスを管理する機能を提供している。 社内からのクラウド利用を検知 企業がクラウドに支出する費用は2015年には729億ドルとなり、年間伸び率は27.2%で、ITサービスのクラウドへの移行が加速している。これと並行して、Shadow IT (シャドーIT) が大きな問題となっている。Shadow ITとは、IT部門の許可を受けないで、社員が独自に使用しているクラウドを指す。Shadow ITは、業務効率化に寄与しているものもあるが、セキュリティ面で危険性をはらんでいる。Skyhigh Networksは、社内で利用され

日本セキュリティ監査協会（JASA）は2013年4月25日、日本国内のクラウド事業者や監査事業者25社と共に、「JASA-クラウドセキュリティ推進協議会」を発足した。米国のクラウド業界では主流である外部監査人によるセキュリティ監査では、クラウド事業者のコスト負担が大きすぎるとして、「事業者による内部監査の有効性を外部監査人が評価する」という仕組みを国内に設けることで、セキュリティ監査の簡素化を図ることが狙いだ。 米国では、クラウド事業者が自社のセキュリティ対策の有効性を証明するために、外部監査人によるセキュリティ監査を受けることが一般的だ。代表的なものとしては「SOC（Service Organization Control） 2」や「SOC 3」、「SSAE16」などがあり、米アマゾン・ウェブ・サービスや米ラックスペース・ホスティングなどがこれらの監査を受けている。日本国内では、野村総合

今や多くの企業が、スマートフォンやSNS（ソーシャルネットワーキングサービス）といったコンシューマ市場で普及したデバイスやサービスの活用を検討している。「コンシューマライゼーション」と呼ばれるエンタープライズITの潮流だ。 デジタル・アイデンティティ（ID）の分野でも、エンタープライズITが対応すべきコンシューマ発の概念が2つある。1つは「認証連携（フェデレーション）」、もう1つは「信頼（トラスト）」だ。 連載第3回では、2013年3月に開催したアイデンティティ技術のカンファレンス「Japan Identity ＆ Cloud Summit 2013（JICS 2013）」のEnterprise Sessionの講演を紹介しながら、企業が効率的で安全な認証システムを構築するために、「認証連携」と「信頼」をどう活用すればよいかを解説する。 クラウド時代に重要性が高まる認証連携 エンタープライ

■2012年度の主な講演実績 ￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣ ・Citrix Cloud Vision 2012 Spring (2012 4.19) 2012年オープンクラウドの動向 ・東北SaaS・クラウド震災復興支援フォーラム (2012.4.25) 震災とクラウドに関するパネルディスカッション参加 （野村総研様、富士通様） ・オープンクラウド実証実験タスクフォースセミナー (2012.5.21) Open PaaS研究会の取り組み ・INTEROP2012（2012.6.15) クランドマネジメントシステム最新動向 ・次世代サービス共創フォーラム (2012.7.25) クラウドビジネスのエコシステムとクラウドサービスの最新動向 ・NTTコミュニケーションズ ビジネスICTセミナー (2012.7.31) オープンクラウドとクラウドビジネスエコシステムの最新動向 ・Clo

NTTコミュニケーションズは2013年2月25日、同社の台湾データセンター（DC）で火災が発生し、コロケーションの利用顧客や国際通信などに障害が発生していることを明らかにした。同日、GMOクラウドがクラウドサービスの障害を発表しているが（関連記事）、GMOクラウドはNTTコミュニケーションズ台湾DCのコロケーションを利用していた。 NTTコミュニケーションズの台湾DCも、台湾の事業者から設備を借りたものである。火災が発生した台湾の事業者名などについては、25日23時現在で「確認中」（NTTコミュニケーションズ広報）としている。火災そのものは同日16時頃に鎮火したが、現在は電源設備の復旧をしており、サービスの復旧自体のメドはついていない。GMOクラウドによれば、同社のサービス利用顧客、644件が影響を受けているという。

有限責任監査法人トーマツ　パートナー 杉山　雅彦 「GRC」という言葉をご存じだろうか。日本ではまだ一部でしか知られていないが、欧米企業では注目を集めており、取り組みも活発化しつつある。 GRCの「G」はガバナンス（企業統治）、「R」はリスク、「C」はコンプライアンス（法令順守）をそれぞれ表す。いま、企業活動のグローバル化や事業の多角化に伴い、リスクは多様化する一方だ。さまざまな法規制も年々厳しさを増している。事業継続管理（BCM）やコーポレートガバナンスの強化、サイバー攻撃への対応も喫緊の課題だ。 このように事業をとりまくガバナンス、リスク、コンプライアンスに関わる問題は多様化・複雑化している。これらへの適切な対応をフレームワークとしてまとめた考え方をGRCという。GRCは企業の成長の鍵を握ると言っても過言ではない。 GRCは、こうした問題に対する有力な対応策と目されている。これまでのよ