日経コンピュータ2010年1月20日号(no.748 1月20日発行)の「Global Report−ロスがクラウドに突きつけた条件」に、ロサンゼルス市が Google Apps を利用開始する際にITベンダーにデータ保護に関する要求をしたということが書かれていました。
その要求内容は記事によれば、以下のとおりです。

①Googleは「Gov Cloud」という政府機関しか利用できない特別なデータ環境を用意し、アプリケーションとデータを分離された領域に保存せよ
②Gov Cloudは物理的にも論理的にも他のグーグルクラウドとは隔離せよ。データは暗号化せよ。サーバーは米国本土で米国人によって運用せよ。
③データは秘密分散によって保存せよ(データは複数のサーバーに分散配置され、一部のサーバーが盗難にあってもそれだけではデータを復元できない)。グーグルのシステム管理者でも秘密分散されたデータを復号できないようにせよ。データは市なら読み出せるようにグーグルは技術協力せよ。
④データは市の所有物であり、グーグルやコンピュータ・サイエンス・コーポレーションは勝手にその内容を公開してはならない。データセキュリティに関する違反があったらすべて市に報告しなければならない。

この要求は、市が Google Apps の検討をした際にロサンゼルス市警とカリフォルニア州法務局が機密情報に関する配慮から求めたものらしく、Google Apps が認められたことからすると結果としてロサンゼルス市が求めるレベルのセキュリティをグーグルは達成した模様です。
　
これは、クラウドの利用に関する話ですが、クラウドではない単なる委託であってもセキュリティを求めるということについては同じです。
勿論、このレベルのセキュリティが一般企業すべてに対して適用することができるとは思いません。しかし、委託する費用が安いということだけで、セキュリティについてモラルのない国や企業にデータを任せることがあってはならないし、情報漏洩が発生しても対応ができないこともあってはならないと思います。
特に調査や刑事処分が及ぶことを考慮し、ロサンゼルス市は米国内にデータを置くように要求しています。情報漏洩が起こらないように最大限の努力するけど、それでも漏れてしまった場合のことまで想定しています。
　
昨今、オフショア開発やクラウドによって、日本企業であってもそのデータが日本国内のみにあるとは限らない状況が多くなっており、そこで情報漏洩があっても手の打ちようがないことが起こりつつあります。
保険業界で言えば具体的には、アメリカン・ライフ・インシュアランス・カンパニーのクレジットカード情報の流出が挙げられます。最初のプレスリリースからもう半年ほどになりますが、未だにアリコから公式に漏洩ルートを特定したという発表はありません。マスコミ等からは中国で流出したと報道されていますが。
仮に中国での流出が事実で、本当に再発防止をきちんとするつもりがあるのなら、日本のデータの管理は日本国内で行うべきだと思うのですが、アリコにはそのつもりはないように見受けられます。それどころか、毎週漏洩件数の更新だけはサイトで行っていますが、それ以外は何もせず風化させようという意図すら感じられます。
　
一般論ですが、私の感覚では、情報を漏らさないことには充分な意識を向けているけど、漏洩した場合の調査可能性まで視野に入れた会社は多くないような気がします。
保険会社の場合は、金融庁の「金融分野における個人情報保護に関するガイドライン」を基に自社規定を定めていると思いますが、そこに漏洩後のことまで配慮されていないように思えるのです。