先週、ウィキリークスの「ケーブルゲート」スキャンダルが発覚した際、内部告発ウェブサイトの運営者たちはサーバーに過負荷がかかっていることに気づきました。もちろん、これは驚くべきことではありませんが、さらにDDoS攻撃が加わったことで事態はさらに悪化しました。
状況を改善するため、ウィキリークスは他の誰もが行うであろう方法、つまりクラウド上の柔軟なスペースを借りて負荷を軽減することにしました。彼らが選んだのはAmazon Web Servicesでした。Amazonは当初は動揺しませんでしたが、昨日、説明も謝罪もなくウィキリークスのコンテンツを削除しました。Amazonは政治的な圧力を受けたようです。
これは憲法修正第1条の権利に関する大きな問題を提起しますが、それはさておき、すべての企業は次のことを真剣に考慮する必要があります。クラウドを多用する理想的な未来において、クラウド サービス プロバイダーが不適切とみなしたコンテンツや気に入らないコンテンツを削除したらどうなるでしょうか。
このような事態が発生した場合、サービス契約に影響を及ぼす可能性があることを念頭に置き、企業はどう対応すべきでしょうか?クラウド移行計画には、代替プロバイダーの調達に関するロジスティクスも考慮に入れるべきでしょうか?実際、企業は2つのクラウドプロバイダーを並行して利用し、1つを戦略的なバックアップとして確保しておくべきでしょうか?
このような疑問があるため、クラウドへの全面的移行は、少々ナイーブで性急なように思われ始めています。
結局のところ、クラウドプロバイダーが何を不快なコンテンツとみなすかが問題となります。ほとんどのサービス契約では、この点についてやや曖昧な規定が見られます。おそらく意図的なものでしょう。AmazonのWebサービス顧客契約には次のような規定があり、これは解釈の余地が大きく、理論的にはほぼあらゆるコンテンツを削除できる可能性があります。
11.2. アプリケーションおよびコンテンツ。お客様は、以下を表明し、保証するものとします。[…] (iii) お客様のコンテンツは、(a) 当社または第三者の権利を侵害、不正流用、または侵害するものではなく、(b) 名誉毀損、プライバシーの侵害、パブリシティの侵害、またはその他の第三者の権利の侵害を構成するものではなく、(c) 違法行為に使用すること、または違法行為を助長することを目的に設計されたものでもありません。これには、名誉毀損、中傷、またはその他の悪意のある、違法な、または個人もしくは団体に有害な方法、または人種、性別、宗教、国籍、障がい、性的指向、または年齢に基づく差別的な方法による使用が含まれますが、これらに限定されません。
たとえサービス契約において許容されるコンテンツと許容されないコンテンツが明確に規定されていたとしても、どちらにも当てはまらない境界線上のケースは数多く存在します。クラウドサービスを利用する人は誰でも、組織内の責任を負わない裁定者の言いなりになる可能性があるのです。
以前、表紙写真にモデルを起用する雑誌出版社で働いていました。モデルのポートフォリオをメールで受け取るのが一般的で、その中にヌード写真が含まれていることもよくありました。もしその会社がクラウド環境で業務を行っていた場合、こうした素材の保管は問題になるでしょうか?
確かに私の例は専門的ですが、他の業界でも同様の事例を思いつくのは難しくありません。法律事務所は業務の一環として、非常に不快な資料を頻繁に扱わなければなりません。恐ろしい画像や動画をクラウドサービスに保存できるでしょうか?名誉毀損の恐れのある資料を保存できるでしょうか?
クラウド企業は、ビジネス上の必要性がある素材の保存(OK)と、単に楽しみのためだけに保存される素材の保存(NG)を区別し始めるのでしょうか?
一方、クラウド サービスが憲法修正第 1 条を尊重しているのであれば、小児性愛者の Web サイトのコンテンツなどのホスティングを喜んで受け入れるでしょうか?
法的責任はどこから始まり、どこで終わるのでしょうか?クラウドコンピューティングは単純なウェブホスティングとは根本的に異なる概念であることを考慮すると、クラウドコンピューティングには独自の法律や規制が必要になるのでしょうか?賢明なITマネージャーは、クラウドに関して何が許容され、何が許容されないのかが様々な訴訟で証明されるまで待つでしょうか?
もう一つの懸念は、クラウドサービスが政府機関の要請に応じて資料をいかに容易に引き渡せるかということです。サーバーコンピュータを自社敷地内に保管することで、法執行機関が容易に入手できないよう財産権が確保されます。法執行機関はAmazonに屈服させるために、どれほどの手間をかける必要があるのでしょうか?
法執行機関がクラウドサービスにアカウントを無効化させたり、アカウントを疑わせたりすることで、意図的にビジネスに混乱を引き起こすことはあり得るでしょうか?想像に難くありませんよね?
もちろん、暗号化はいくつかの解決策を提供し、クラウドに暗号化されていないデータを保存すべきではありません。しかしながら、第三者に「クリア」な形式で資料を提供する必要があることも少なくありません。しかし、暗号化によってコンテンツに関する全く新たな疑問が生じます。本質的に意味不明なデータの羅列で、復号鍵を持つ人にしか理解できないようなコンテンツであっても、依然として問題となるのでしょうか?クラウドサービスの最終的な法的防御は、クラウド上に何が保存されているか全く把握していないというだけのことなのでしょうか?
ここで自分の考えに固執してしまうリスクはありますが、クラウドコンピューティングへの移行に関わる人は皆、論理的かつ法的な道筋をすべて踏まえて行動しなければなりません。そうでなければ、彼らは非常に困惑することになるでしょう。
現時点では、クラウドコンピューティングの本質を理解し始めたばかりの段階のように感じます。現時点で飛び込むのは勇気のある人だけでしょう。
Keir Thomasは前世紀からコンピューティングに関する執筆活動を続けており、近年ではベストセラー書籍を数冊執筆しています。彼について詳しくはhttp://keirthomas.comをご覧ください。Twitterのフィードは@keirthomasです。
