日本では個人情報を取り扱う事業者の多くがプライバシーマークを取得しています。これらの事業者は個人情報の厳格な運用を行うためにさまざまな厳しいルールを定めています。しかし、このルールは事業者ごとに独自に定められているので、よく似てはいるのですが、微妙な差があります。

プライバシーマーク取得事業者が外部サービスを利用する場合、ルールに基づいて利用するサービス事業者のセキュリティ監査が行われます。このとき問題になるのがデータとして個人情報を保存しているかどうかです。サービス事業者がデータを閲覧する可能性がある場合、それがどのように制限されているかを示さなければなりません。また、データの保存期間の明確化、データの削除証明の発行など、多くの対応が求められます。

しかし、ここで問題が発生します。厳密にこれらのルールを運用するのであれば、サービス事業者が利用している外部のサービス、または再委託先に至るまで監査が必要になります。つまり、厳しい運用の場合、パブリッククラウドを利用しているサービスではパブリッククラウドの監査が必要になります。ところが、一般的にパブリッククラウドでは内部の運用ルールを公開することはありませんし、データの削除証明なども出してくれません。つまりサービス規約を眺めて自己責任で利用するしかないのです。

このようなときに利便性のためにセキュリティ基準を下げてしまっては意味がありませんので、サービス事業者は独自にデータを暗号化して、パブリッククラウド利用によるデータ漏えいの可能性を限りなく０に近づけることが非常に重要になってきます。そしてそれがサービスの差別化に繋がり、新たな付加価値となります。そして顧客獲得につながることは言うまでもありません。