オンラインストレージ
クラウド上にデータを保管・共有できるサービス。Google Drive・Dropbox・Box・OneDrive・iCloud・社内 NAS が代表例。業務文書 / 写真 / 動画 / 設計データなどを保管 + 共有 + バージョン管理する用途で使う。SaaS 全般の一部だが、データ保管という特殊性で別カテゴリとして扱われる。
本書のスタンス(Lesson 5-3 / 9-2)は「業者との素材受け渡し、社内の共同編集に活用される(Lesson 5-3 素材ライブラリ)」。機密度に応じて、社内承認済みのサービスを使うのが原則。「シャドー IT」(社員が個人契約のオンラインストレージに業務データを保管)が情報漏洩の典型経路となる。
選定の論点:データ保管国(GDPR / 個人情報保護法対応、国内 / 海外の選択)、暗号化レベル(保管時 / 通信時)、アクセス権限管理(細かい権限設定 / SSO 連携)、監査ログ(誰がいつ何にアクセスしたか)、機密度 3 段階([[confidential]])別の使い分け(機密度 A は社内 NAS のみ / B は法人 Google Drive / C は何でも)、退職時のアクセス剥奪、業者との共有時の権限管理。
落とし穴は、シャドー IT(社員が個人契約のオンラインストレージに業務データ保管)、業者との共有後にアクセス権限を剥奪し忘れる、機密度 A の情報を一般的なオンラインストレージに保管、共有リンクの誤拡散、退職者の個人アカウントに業務データが残る、海外保管国の法規制対応漏れ、AI ツールへの自動連携で機密情報が AI モデル学習対象に、バックアップが業者依存で契約終了時に消える、コスト削減で容量制限を厳しくして社員が個人ストレージに流れる。
言葉をよく利用する人
- 情シス
- Web 担当者(発注側)
- 法務 / 契約担当
- AI 活用担当 / プロンプトエンジニア
会話上での使用例
シャドー IT 発覚の場面
-
情シス
社員が個人 Dropbox に業務ファイルを保管しています
-
Web 担当者
シャドー IT でオンラインストレージのリスクです。法人 Google Drive / Box / OneDrive のいずれかを社内標準とし、全社員に切替アナウンス + 個人ストレージ業務利用の禁止を徹底。全社研修も実施で
業者との共有設定の場面
-
Web 担当者
業者とオンラインストレージ共有、運用ルールどうします
-
情シス
業者向け専用フォルダ + 期間制限 + アクセス権限の最小化。月次でアクセスログ確認、契約終了時の即剥奪フロー。共有リンクはダウンロード制限 + パスワード必須に設定変更で