神田明神のIT情報安全守護だけじゃ足りない！ ファーストサーバ事件に思うクラウド特約保険の有効性

IT業界人ならば、ファーストサーバ事件を知らない人はいないと思います。

念のために説明すると、レンタルサーバ会社の草分けとして知られるファーストサーバ社にて、2012年6月20日17時頃に大規模障害が発生し、5000社を超える企業の顧客データが消滅するという事態が発生しました。

本番サーバとバックアップサーバの双方に向けてファイル削除を伴うスクリプトを実行したところ、削除対象範囲の絞り込みを忘れてしまったために、多数の顧客データも誤って削除されてしまったことが同社ウェブサイトにて公表されています。

※詳しくは以前のエントリーを参照
http://it-ura.seesaa.net/article/277291746.html

この事件以前は、「クラウド上にデータを保持しているからバックアップを敢えて取得する必要はない」と主張する人もしばしば見受けられましたが、事件後1か月が経ってもまだ影響を引きずっている企業サイトを見ると、やはり自分の身は自分で守るしかないのだなと実感します。

せめて、自社システムが復旧するまでに掛った費用はクラウドベンダーが負担してほしい、そう思いたくなるでしょうが、クラウドサービスの契約書には絶対にそんなことは書かれていません。むしろ、「データ損失に際して責任は取らない」という文言が随所にちりばめられていますから、それも無理。

せっかく便利で安価な仕組みなのに、これでは実用性にいまいち欠けると思いませんか？

実は同じことを考えている人たちが三井住友海上にいました。彼らが売りに出しているのは、ずばり、「クラウド特約付きコンピュータ総合保険」という保険商品です。代理店であるNECファシリティーズ社のウェブサイトでは「クラウドプロテクター」という名前で説明されています。

○クラウドサービス利用者のための新しい保険
http://www.necf.jp/solution-service/insurance/cloud_protector/index.html

・ＩＴビジネスに関する今までの保険は、ベンダーが顧客の賠償請求に対応するために加入する “賠償責任保険”（ ITプロテクター等）であり、システムを引き渡す従来型ＳＩ業務を想定したものでした。

・クラウドサービスでは、契約条項や利用規約によってベンダーの責任範囲はかなり限定される為、障害が発生した際に損失を負うこととなるのは、多くの場合ユーザーとなります。

・NECファシリティーズでは、このユーザーが負うリスクに着目し自らヘッジできる保険を構想、三井住友海上によって商品化された保険が「クラウドプロテクター」です。

・一般的に、保険の加入に際しては補償の対象となる加入者自身のリスク評価を行いますが、「クラウドプロテクター」ではベンダーのサービス内容を事前に確認させていただくことにより、加入者であるクラウドユーザーからの情報提供は省略されます。

・本保険は、ユーザーのみならずクラウドベンダーのビジネスをサポートする役割（保険によるサービスの差別化）も果たすと考えられます。ユーザー、ベンダー双方を支援できるものと期待しております。

自前のシステムで障害が発生した際の復旧コストを支払う保険商品（ITプロテクター）はこれまでもありましたが、ITプロテクターではクラウドサービス上の障害復旧は対象となっていないため、いざという時の対処が不安でクラウドを選んでこなかった人がいたかもしれません。

しかし、これからは以下の条件に合致すれば保険金が支払われます。

・データやプログラム等の再作成・再取得・修復に要した費用
・営業を継続するために追加で生じた費用
・事故によって喪失した利益（不稼動損害）

支払い限度額は5000万円、掛け金は月額5万円強です。国内のデータセンターを利用しているクラウドベンダーのサービスだけが対象になります。

もともとは東日本大震災を受けた大規模震災向けの保険商品ですが、ファーストサーバのデータ消失事件でも適用できたことでしょう。この保険商品が発表されたのは2012年2月ですから、保険金を受け取れた企業はほとんどないと思われますけどね。

クラウドベンダーも、サービス契約時にこういった保険商品をタイアップで売り込むというセールスもありなんじゃないかなと思います。