社団法人行政情報システム研究所が,2012年5月15日「政府におけるクラウドサービス調達のベストプラクティス」と題して米国政府がとりまとめたクラウド調達のベストプラクティスの概要を発表しています。

http://www.iais.or.jp/ja/information/government/%e6%94%bf%e5%ba%9c%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b%e3%82%af%e3%83%a9%e3%82%a6%e3%83%89%e3%82%b5%e3%83%bc%e3%83%93%e3%82%b9%e8%aa%bf%e9%81%94%e3%81%ae%e3%83%99%e3%82%b9%e3%83%88%e3%83%97%e3%83%a9-7/

法的に見て優れていると思うのは,クラウド契約を下敷きに,クラウド消費者,クラウドの提供者,クラウド仲介業者,クラウド監査人,クラウドキャリアという主体をたてて,それぞれの役割と責任範囲を明確化することが特に重要だとしている点です。

「何をすべきか」を示すだけでなく,誰が関わるべきか,それぞれが何をすべきかを示すという構造は,とても実践的だと思います。

特に,監査人をベストプラクティスの実現に必要な関係者としている点,監査テーマを,セキュリティ監査,プライバシーインパクト,パフォーマンス監査に及ぼしている点は,学ぶべき点だと思います。

日本でいうとシステム監査とセキュリティ監査が求められるということでしょうか。