JIS X 9501-1:2019 情報技術―クラウドコンピューティング―サービスレベル合意書（ＳＬＡ）の枠組―第１部：概要及び概念 | ページ 7

28
X 9501-1 : 2019 (ISO/IEC 19086-1 : 2016)
10.12.2 知的財産権(IPR)コンポーネント
10.12.2.1 説明
  データの“所有権”は,知的財産権及び制御の複雑な組合せであり,及びそれらの各課題の個別契約は,
有意義な包括契約の鍵となる。データの知的財産権のための法律,規制及び慣例(custom)は,様々な場
所によって異なり,及び権利の譲渡は,CSC及びCSPの間の知的財産権に関する明確及び包括的な契約を
要求しているビジネス協定に密接に関係している。
10.12.2.2 関連
  ITアウトソーシング手配と同様に,CSPのシステム上へのデータの配置又は作成は,CSCの知的財産権
を減少させないが,CSCがデータへの唯一のアクセスをもつオンプレミスのシステムとは異なり,データ
に関する複数のパーティの関係を作る。
10.12.2.3 クラウドサービス品質目標
  知的財産権 CSCデータにおいてCSPが要求する全てのIPRのステートメント,又はCSPのデータ及
  び/又はクラウドサービス派生データにおけるCSPがCSCに許諾する全てのIPRのステートメント
10.12.3 クラウドサービスカスタマ(CSC)データコンポーネント
10.12.3.1 説明
  JIS X 9401は,CSCデータを,CSCの制御下にあるデータオブジェクトのクラスとして定義している。
例えば,そのようなオブジェクトは,クラウドサービスを使って作られた,又は一時的,長期処理若しく
は保管のためにCSPによって変換された,ファイル,BLOB,表,データベース登録データ,電子メール
及びその他のオブジェクトを含めることができる。
  CSCデータは,CSCによってクラウドサービスに対し入力された,及びCSCがそのデータを処理する
ためクラウドサービスを利用した結果のデータを含む。
10.12.3.2 関連
  クラウドサービスは,データオブジェクトの異なるクラスを含んでおり,CSCの制御下にあるクラスも
あれば,CSPの制御下にあるクラスもある。伝統的な分散コンピューティングモデルでは,全てのデータ
オブジェクトは,CSCの制御下にある。
10.12.3.3 クラウドサービス品質目標
  クラウドサービスカスタマ(CSC)データ CSCファイル及びデータベースコンテンツのような,CSC
  データの定義するステートメント
  クラウドサービスカスタマ(CSC)データ使用法 CSPによるCSCデータの全ての使用のためのステー
  トメント
10.12.4 クラウドサービスプロバイダ(CSP)データコンポーネント
10.12.4.1 説明
  JIS X 9401は,CSPデータを,CSPによる管理下でクラウドサービスの運用に固有のデータオブジェク
トのクラスと定義している。ほかに他のデータオブジェクト又はデータクラスを含むことをCSC及びCSP
が特に合意していない限り,クラウドサービスを提供するためだけに使用されている全てのデータがCSP
データである。リソースへのテナントアクセスを統括するアクセスコントロールリストは,CSPデータの
一例である。
10.12.4.2 関連
  クラウドサービスは,データオブジェクトの異なるクラスを含んでおり,CSCの制御下にあるクラスも
あれば,CSPの制御下にあるクラスもある。伝統的な分散コンピューティングモデルでは,全てのデータ

――――― [JIS X 9501-1 pdf 31] ―――――

                                                                                             29
                                                            X 9501-1 : 2019 (ISO/IEC 19086-1 : 2016)
オブジェクトは,カスタマの制御下にある。
10.12.4.3 クラウドサービス品質目標
  クラウドサービスプロバイダ(CSP)データ CSPデータを定義するステートメント
10.12.5 アカウントデータコンポーネント
10.12.5.1 説明
  アカウントデータは,CSCごとに規定されるデータオブジェクトのクラスであり,登録(sign up for),
クラウドサービスの購入又は管理に必要となる。このデータは,名前,住所のような情報及び支払情報を
含む。アカウントデータは,一般的にCSPの管理下にあり,各CSCは,通常,自身のアカウントデータ
の入力,閲覧及び編集が可能であるが,他のCSCのレコードを入力,閲覧及び編集することはできない。
10.12.5.2 関連
  アカウントデータは,クラウドサービスを提供するためにCSPによって要求されるが,通常はCSCに
関する機密情報が含まれる。そのようなデータには関連する法律又は規則があり,必要に応じてCSCがア
カウントデータの要素を検査及び更新できるようにする必要がある。
10.12.5.3 クラウドサービス品質目標
  アカウントデータ 名前,住所,電話などのアカウントデータのデータ要素を定義するステートメント
10.12.6 派生データコンポーネント
10.12.6.1 説明
  JIS X 9401は,クラウドサービス派生データを,CSCによってクラウドサービスと相互作用した結果と
して補足した,CSPの管理下にあるデータオブジェクトのクラスと定義している。
  例えば,試行されたログインのログに基づくシステムのCSC使用の分析は,クラウドサービス派生デー
タであり,音声認識システムのユーザからの音声発話の集まりを分析した結果のようなものである。
10.12.6.2 関連
  他の形態の分散コンピューティングと比較すると,CSCデータからクラウドサービス派生データを取得
する方がはるかに容易である。CSCがCSCデータから作成したクラウドサービス派生データ及びクラウ
ドサービス派生データの利用を知ることは,CSCにとって重要である。また,クラウドサービスのインス
タンスへのログイン試行のログなど,一部のクラウドサービス派生データへのアクセスをCSCが要求する
必要がある。
10.12.6.3 クラウドサービス品質目標
  派生データ (Derived Data)   SCがクラウドサービスと相互作用した結果として,CSPが作成するクラ
  ウドサービス派生データのタイプを定義するステートメント
  派生データ利用 (Derived Data Usage)    CSPによるクラウドサービス派生データの全ての利用のステ
  ートメント
  派生データアクセス (Derived Data Access)   CSCが,クラウドサービス派生データに対してどのよう
  なアクセスがあるかを記述したステートメント
10.12.7 データ可搬性コンポーネント
10.12.7.1 説明
  JIS X 9401は,データ可搬性をデータをあるシステムから他のシステムへ,データの再入力を必要とす
ることなく容易に移行することができる能力と定義しており,クラウドデータ可搬性をあるクラウドサー
ビスから他のクラウドサービスへのデータ可搬性と定義している。実際には,クラウドデータの可搬性に
は,分散処理をサポートするクラウドサービス間のデータの移動,又は他のクラウドサービスへのデータ

――――― [JIS X 9501-1 pdf 32] ―――――

30
X 9501-1 : 2019 (ISO/IEC 19086-1 : 2016)
の移動を可能にすることが含まれる。データ可搬性には,CSPとCSCとの間で合意された,CSCデータ
及びその他のデータオブジェクトの可搬性が含まれる。
  データ可搬性は,ストレージの最適化のため,又は同様の理由によって,データの忠実度が限定される
形で提供される場合がある。例えば,クラウドサービスに保存されている画像が低解像度の画像に変換さ
れ,それ以降,CSCには低解像度の画像だけが利用可能となる場合である。
10.12.7.2 クラウドコンピューティングとの関連
  CSCが異なるクラウドサービスでデータを使用し,クラウドサービス間でデータの移動を完全に保証す
るには,クラウドサービスでどのようなデータ可搬性の方法,フォーマット及びプロトコルがサポートさ
れているかをCSCが把握することが重要である。
10.12.7.3 クラウドサービス品質目標
  データ可搬性能力(Data Portability Capabilities) データの可搬性を目的として,対象となるサービス
  でサポートされているメソッド,フォーマット及びプロトコルを定義するステートメント
10.12.8 データ削除コンポーネント
10.12.8.1 説明
  データ削除は,クラウドサービスの使用者及び管理者の能力を通じて,CSCのデータへのアクセスを削
除することである。
  クラウドサービスは,システム障害時のデータセキュリティを改善するため,及び通常の処理時におけ
る可用性及び性能を改善するために,一定の手順に従い,複数のサーバ又は場所にデータを複製する。そ
の結果,データの全てのインスタンスの削除には,特定の手続が必要となる場合,及びかなりの時間を要
する場合がある。データの安全な削除が不可能なケースでは,代替手段として,データの無害化
(Sanitization)プロセスを使用することができる。ISO/IEC 27040は,データ無害化の要件を決定するの
に役立つ場合がある。
10.12.8.2 関連
  CSCがクラウドサービスの物理的なストレージシステムに直接アクセスしない場合であっても,CSCは,
CSCのデータの削除に関する責任又はいかなるフォームでもデータを回復できないようにする責任を負
う。CSCは,CSPが行うCSCデータ削除プロセスを理解し,CSC自身のデータ削除プロセス又は無害化
プロセスを実装する必要がある。CSPのデータ削除のプロセスは,CSC自身によるデータ削除のための取
組み(effort)に追加されるものであることが望ましい。
10.12.8.3 クラウドサービスレベル目標
  データ削除時間 CSCの要求の処理に要する時間を含むCSCデータを完全に削除するための最大時間
  を記述したステートメント
10.12.8.4 クラウドサービス品質目標
  データ削除プロセス 削除されたデータを復元できなくするためにCSPが責任を負うべきプロセスに
  関するステートメント
  データ削除通知 CSPがいつ,どのようにしてデータの削除についてCSCに知らせるかを記述したステ
  ートメント
10.12.9 データ所在地コンポーネント
10.12.9.1 説明
  CSCデータは,データの物理的所在地,又は地理的な司法権をまたいだデータの移動に関する要件に従
う必要がある場合がある。これらの要件は,データ保護,処理の効率,サービスの効果的なサポート及び

――――― [JIS X 9501-1 pdf 33] ―――――

                                                                                             31
                                                            X 9501-1 : 2019 (ISO/IEC 19086-1 : 2016)
維持のために,複数の場所にデータを分散させるクラウドサービスの運用と潜在的に整合しない可能性が
ある。
10.12.9.2 関連
  他の分散コンピューティングモデル(Distributed Computing Model)においては,CSCは,自身のデータ
がどこで処理され及び保管されるかを直接管理する。CSPは,地理的に異なる場所に存在する複数のデー
タセンタにおいて,CSCのデータを処理及び保管する場合がある。CSCは,管轄区域における全ての規制
及びガバナンス要件に適合するために,いずれの管轄区域において自らのデータが処理及び保管されるか
を知ることが重要である。
10.12.9.3 クラウドサービス品質目標
  データ所在地 CSCデータが処理及び保管される可能性がある地理的場所に関するステートメント
  データ所在地の指定に対する能力 CSCがCSCデータを処理及び保管される可能性がある地理的場所
  を指定できるか否かに関するステートメント
  データ所在地ポリシー 名称,条項及び証明書番号(該当する場合)を含む,CSPが適合していること
  を証明する又は適合していることが証明されたデータ所在地についての規制又は方針(内部的又は対外
  的な)のリスト
10.12.10 データ検査コンポーネント
10.12.10.1 説明
  CSPは,サービス規約によって禁止されている情報(データ又はファイル)が,CSPのシステムにおい
て処理又は保管されることを防止するために,入力データ又はファイルがクラウドサービスに転送される
前に電子的な検査を行う。例えば,クラウド電子メールサービスは,マルウェア,スパム又はポルノ画像
のチェックのために,受信した電子メールをスキャンする場合がある。
10.12.10.2 関連
  他の分散コンピューティングモデルと異なり,CSPは,処理及び保管のためにCSCデータがCSPのシ
ステムに置かれたときに,CSCデータを電子的に検査する能力をもつ場合がある。CSCは,CSCのデータ
に対してどのようなタイプの検査が行われたかについて知った上で同意することが望ましい。
10.12.10.3 クラウドサービス品質目標
  データ検査 CSPがCSCデータに対し行う検査タイプについてのステートメント
10.12.11 法的措置アクセスコンポーネント
10.12.11.1 説明
  CSC及びCSPは,法執行機関及び裁判所からのクラウドサービス内の情報に関する要求に従う。また,
CSC及びCSPは,現在ある規制又は慣例による要求又はデータの保持に関する特定の要求があることが予
測される場合,データが削除されないよう保護することが求められる場合がある。管轄権が異なれば,デ
ータの獲得及び保持のための要件も様々である。
10.12.11.2 関連
  法執行機関は,CSCに対する通知を行う必要なしに,直接CSPに対して,CSCデータ及びアカウント
データを要求する場合がある。CSCは,法執行機関からCSCデータ又はアカウントデータに対する要求
があった場合のCSCへの通知について,CSPがどのような計画をもつかを理解することが重要である。状
況によっては,CSPがそのような通知を提供することを禁止されている場合があることに注意する。
10.12.11.3 クラウドサービス品質目標
  法的措置要求 CSCデータ又はアカウントデータに関する法的措置要求をCSCへ通知するCSPの計画

――――― [JIS X 9501-1 pdf 34] ―――――

32
X 9501-1 : 2019 (ISO/IEC 19086-1 : 2016)
  のステートメント

10.13 証明,証明書及び監査コンテンツ領域

10.13.1 証明,証明書及び監査コンポーネント
10.13.1.1 説明
  証明,証明書及び監査コンポーネントは,適合していることを示すためにCSPが使用する場合がある方
法に関連したSQOをカバーする。
10.13.1.2 関連
  レガシー分散コンピューティングモデルにおいて,CSCが,内部及び外部の方針,規制及び規格に適合
していることを保証するためのCSC自身の取組みに責任を負うことができるようにするために,CSCが
直接システムにアクセスすることができる場合がある。クラウドサービスにおいて,CSCはCSC自身の
要件を満たすためにCSPの証明,証明書及び監査に依存しなければならない場合がある。
  CSCは,特定のケースのクラウドサービスの利用について,規制基準への適合を達成することに関する
責任を負う。クラウドサービスに関して,CSPが特定の監査を行う,又は証明書を取得するとしても,そ
れによって必ずしもCSCがエンドツーエンドで規制に適合していることが保証されるものではない。
10.13.1.3 クラウドサービス品質目標
  クラウドサービス証明 第三者機関による検証が行われたか否かによらずCSPが適合していることが
  証明された規格,方針及び規制のリスト
  クラウドサービス証明書 認定認証機関によってCSPが適合していることが証明された規格,方針及び
  規制のリスト
  クラウドサービス監査 CSPが内部又は外部のリソースを使って実施した監査のリスト。
    CSPが支援することができるCSC監査活動のリスト。

――――― [JIS X 9501-1 pdf 35] ―――――

次のページ PDF 36