WO2013065161A1

WO2013065161A1 - 安全性評価方法及び安全性評価計算機

Info

Publication number: WO2013065161A1
Application number: PCT/JP2011/075351
Authority: WO
Inventors: 知代隅田; 祐一郎平田
Original assignee: 株式会社日立製作所
Priority date: 2011-11-02
Filing date: 2011-11-02
Publication date: 2013-05-10
Also published as: JP5752801B2; JPWO2013065161A1; US20140351323A1

Abstract

　安全性評価計算機が、サーバ計算機が所在する地域の地域ＩＤであるサーバ地域ＩＤに基づいて、サーバ計算機への格納に関する、クライアント計算機のデータであるユーザデータ、の安全性を評価して、安全性の評価結果を表示する。

Description

安全性評価方法及び安全性評価計算機

　本発明は、クラウドコンピューティング（クラウド）により運用されるサービスをユーザに提供する環境において、データセンタにデータを格納することの安全性を評価するための技術に関する。

　クラウドコンピューティングにより運用される種々のサービスが知られており、例えば、クラウドコンピューティングにおいて、コンピューティング・サービスを法的監査要件が満たされるように個々のジョブに分割し、個々のジョブの分散実行計画をユーザに提示するための方法が知られている（例えば、特許文献１参照）。

特開２０１１－９６１１５号公報

　上記の方法においては、サービス実行に際しての監査要件、実行要件だけを定義しており、サービスにおけるデータの所有者や、処理の実行場所などのそれぞれの監査要件については考慮されていない。

　例えば、パブリッククラウドサービスの利用時においては、次のような法規（法律、規則）を考慮してデータを格納するデータセンタを選択する必要がある。ここで、データには、例えば、ドキュメント、プログラム（ソース形式、実行形式を含む）、表、画像等のデータが含まれる。

　すなわち、データを預けるユーザが所在する国の法規と、データセンタの所在する国、クラウドサービス事業者の所在する国の法規とを考慮して、データセンタを選択する必要がある。

　データを預けるユーザが所在する国の法規としては、例えば、データを預けるユーザが日本に所在している場合には、国外のデータセンタにデータを預ける行為は、輸出となるために、外国為替及び外国貿易法（外為法）の確認が必要となる。

　また、データセンタの所在する国、クラウドサービス事業者の所在する国の法規としては、データを輸入することとなるので、輸入規制や、有事の際のデータ開示義務等の法規がある。

　クラウドサービスに関して、国内外の法規に基づく安全性の確保は、クラウドサービスのユーザの判断に委ねられている。言い換えれば、クラウドユーザに対して、法的リスクに対する危機意識を把握させることができない。

　安全性評価は、クライアント計算機と、安全性評価計算機と、サーバ計算機とを有する計算機システムで実行される。サーバ計算機が所在する地域の地域ＩＤであるサーバ地域ＩＤに基づいて、サーバ計算機への格納に関する、クライアント計算機のデータであるユーザデータの安全性を評価して、安全性の評価結果を表示する。

図１は、実施形態に係る計算機システムの構成例を示す図である。図２は、実施形態に係るクライアントコンピュータの構成例を示す図である。図３は、実施形態に係るサーバコンピュータの構成例を示す図である。図４は、実施形態に係る安全性評価マシンの構成例を示す図である。図５は、実施形態に係る安全性評価プログラムの機能の一例を説明する図である。図６は、実施形態に係るファイルリストテーブルの一例を説明する図である。図７は、実施形態に係るユーザ情報テーブルの一例を説明する図である。図８は、実施形態に係るＤＣ情報テーブルの一例を説明する図である。図９は、実施形態に係る輸出管理情報テーブルの一例を説明する図である。図１０は、実施形態に係る受容基準情報テーブルの一例を説明する図である。図１１は、実施形態に係る輸出入関連法規テーブルの一例を説明する図である。図１２は、実施形態に係る第１の法規判定ルールテーブルの一例を説明する図である。図１３は、実施形態に係る第２の法規判定ルールテーブルの一例を説明する図である。図１４は、実施形態に係るデータ開示・差押え法規テーブルの一例を説明する図である。図１５は、実施形態に係るデータ開示・差押えリスクテーブルの一例を説明する図である。図１６は、実施形態に係る評価結果テーブルの一例を説明する図である。図１７は、実施形態に係るＤＣ情報登録処理のフローチャートの一例である。図１８は、実施形態に係るＤＣ情報登録画面の一例である。図１９は、実施形態に係る法規情報登録処理のフローチャートの一例である。図２０は、実施形態に係るデータアップロード時処理のフローチャートの一例である。図２１は、実施形態に係るアップロード画面の一例である。図２２は、実施形態に係る評価結果画面の第１の例である。図２３は、実施形態に係る評価結果画面の第２の例である。図２４は、実施形態に係るデータ属性登録処理のフローチャートの一例である。図２５は、実施形態に係るデータ属性設定画面の一例である。図２６は、実施形態に係る安全性評価登録処理のフローチャートの一例である。図２７は、実施形態に係る輸出入管理に関する安全性評価処理のフローチャートの一例である。図２８は、実施形態に係るデータ開示・差押えに関する安全性評価処理のフローチャートの一例である。図２９は、実施形態に係るデータ属性追加更新処理のフローチャートの一例である。図３０は、実施形態に係る安全性再評価処理のフローチャートの一例である。図３１は、実施形態に係る安全性充足ＤＣ検索処理のフローチャートの一例である。図３２は、実施形態に係るＤＣ候補表示画面の一例である。

　実施形態について、図面を参照して説明する。なお、以下に説明する実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている諸要素及びその組み合わせの全てが発明の解決手段に必須であるとは限らない。

　なお、以後の説明では「ａａａテーブル」、「ａａａリスト」、「ａａａＤＢ」、「ａａａキュー」、「ａａａ表」等の表現にて本発明の情報を説明するが、これら情報は必ずしもテーブル、リスト、ＤＢ、キュー、表等のデータ構造以外で表現されていてもよい。そのため、データ構造に依存しないことを示すために「ａａａテーブル」、「ａａａリスト」、「ａａａＤＢ」、「ａａａキュー」、「ａａａ表」等について「ａａａ情報」と呼ぶことがある。さらに、各情報の内容を説明する際に、「識別情報」、「識別子」、「名」、「名前」、「ＩＤ」という表現を用いるが、これらについてはお互いに置換が可能である。

　また、以下の説明では、プログラム、又は、プログラムのモジュールを主語として処理を説明する場合があるが、プログラム（又はプログラムのモジュール）は、制御デバイスに含まれるプロセッサ（例えばＣＰＵ（Central　Processing　Unit））によって実行されることで、定められた処理を、適宜に記憶資源（例えばメモリ）及び／又は通信インターフェースデバイス（例えばポート）を用いながら行うため、処理の主語がプロセッサとされてもよい。プログラム又はプログラムのモジュールを主語として説明された処理は、プロセッサ或いはそのプロセッサを有するコンピュータが行う処理としても良い。また、プロセッサが行う処理の一部又は全部を行うハードウェア回路を含んでも良い。プログラムは、プログラムソースからインストールされても良い。プログラムソースは、例えば、プログラム配布サーバ又は記憶メディアであっても良い。制御デバイスは、所定の処理（例えば暗号化或いは圧縮等）を行う専用ハードウェア回路を有し、プロセッサと専用ハードウェア回路とで処理が行われても良い。

　実施形態に係る安全性評価マシンは入出力デバイスを有する。入出力デバイスの例としてはディスプレイとキーボードとポインタデバイスが考えられるが、これ以外のデバイスであってもよい。また、入出力デバイスの代替としてシリアルインターフェースやイーサーネットインターフェース（イーサーネットは登録商標）を入出力デバイスとし、当該インターフェースにディスプレイ又はキーボード又はポインタデバイスを有する表示用装置を接続し、表示用情報を表示用装置に送信したり、入力用情報を表示用装置から受信することで、表示用装置で表示を行ったり、入力を受け付けることで入力デバイスでの入力及び表示を代替してもよい。

　安全性評価装置は、一以上の計算機の集合で良い。計算機が表示用情報を表示する場合は、その計算機が安全性評価装置である。また、計算機と表示用装置の組み合わせも安全性評価装置である。また、管理処理の高速化や高信頼化のために複数の計算機で安全性評価マシンと同等の処理を実現してもよく、この場合は、当該複数の計算機（表示を表示用装置が行う場合は表示用装置も含め）が安全性評価装置である。本実施形態では、安全性評価を行う個々の計算機を「安全性評価マシン」と言う。安全性評価マシンは、仮想計算機（例えばいわゆる仮想デスクトップ）を実現する装置であっても良い。

　また、本実施形態において、安全性評価マシンの「表示する」という行為は、安全性評価マシンが、その安全性評価マシンの表示デバイスに安全性評価結果等を表示する行為と、安全性評価マシンの表示用装置（例えばクライアント）に、その表示用装置の表示デバイスに表示される安全性評価結果等の表示用情報を送信する行為のいずれであっても良い。表示用装置は、表示用情報を受信した場合、その表示用情報が表す安全性評価結果等を表示デバイスに表示することができる。

　まず、図１を参照して、実施形態の概要について説明する。

　データセンタ１０（サーバコンピュータ１００）及びクライアント３００の属する各国の法規情報を、安全性評価マシン２００が使用する記憶装置（図示せず）が記憶しておく。安全性評価マシン２００は、データに対する属性情報（データ属性情報）を受け付け、データのアップロード時や、法規の変更時、データ属性情報の変更時などに、安全性評価マシン２００が、データセンタ１０（サーバコンピュータ１００）の属する地域の地域ＩＤに基づいて、データセンタ１０（サーバコンピュータ１００）に対するデータの配置の安全性の評価を行い、例えば、その評価結果をユーザのクライアント３００に表示する（つまり評価結果の表示用情報をクライアント３００に送信する）。地域ＩＤとしては、法規を規定する範囲となる地域（国、州、県等）が一義的に決まるものであればよく、国名、住所等であってもよい。また、地域ＩＤとして、サーバコンピュータ１００のトップレベルドメインを用いてもよい。しかしながら、この場合には、トップレベルドメインが示す国と、実際にサーバコンピュータ１００の所在する国とが一致している必要がある。また、地域ＩＤとして、例えば、ＩＰアドレスが用いられてもよい。基本的には、ＩＰアドレスは、国との対応度が高いので、地域ＩＤとして用いることができる場合が多い。

　次に、実施形態について、詳細に説明する。

　ここで、まず使用する用語について説明する。

　「安全性」は、例えば、法規（法律や規則）を考慮した法的リスクである。対象とする法規としては、例えば、クラウドサービスのユーザ（クラウドユーザ）の所在する国と、データを管理するデータセンタ（ＤＣ：Data Center）の所在する国との法規等がある。本実施形態では、輸出入管理に関する安全性や、データ開示・差押えに関する安全性が、評価の対象とされる。

　「輸出入管理に関する安全性」は、輸出規制、再輸出規制、ＤＣ所在地の輸入規制等を考慮したリスクである。例えば、対象となる法規としては、日本であれば、外国為替及び外国貿易法があり、アメリカであれば、ＥＡＲ（Export Administration Regulations）等がある。

　「データ開示・差押えに関する安全性」は、データセンタの所在地における公権力によるデータ強制開示や差押えのリスクである。例えば、データセンタにデータを格納している場合においては、同じデータセンタを利用している他のユーザが不祥事を起こし、捜査対象となると、データセンタのサーバが差し押さえられてデータにアクセスできなくなったり、サーバの機密情報を開示させられたりする場合がある。

　これらのリスクは、各国の政府や捜査当局の法規により異なるので、各国の法規に基づいて、データ開示・差押えのリスクが評価される。例えば、対象となる法規としては、アメリカであれば、アメリカ国内に存在するデータに対し、ＦＢＩ、政府当局が捜査権限を有するというパトリオット法があり、イギリスであれば、捜査権限規制法があり、中国であれば、データ規制捜査権限法がある。

　次に、実施形態に係る計算機システムについて説明する。

　図１は、実施形態に係る計算機システムの構成例を示す図である。

　計算機システムは、複数のデータセンタ（ＤＣ：Data Center）１０と、複数のクライアントコンピュータ（以下、クライアント）３００とを含む。複数のデータセンタ１０と、クライアント３００は、ネットワーク２０に接続されている。

　データセンタ１０は、１以上のサーバコンピュータ（以下、サーバ）１００と、安全性評価マシン（安全性評価計算機）２００とを有する。サーバ１００と、安全性評価マシン２００とは、内部ネットワーク（例えばＬＡＮ（Local　Area　Network））１５を介してネットワーク２０に接続されている。データセンタ１０には、国Ａに設置されているデータセンタＡと、国Ｂに設置されているデータセンタＢとがある。

　サーバ１００は、ストレージサービス、プラットフォーム貸出サービス、アプリケーションサービス等のクラウドサービスを提供する。安全性評価マシン２００は、クラウドサービスのユーザ（クラウドユーザ）のデータ（ユーザデータ：例えば、ドキュメント、プログラム、表、画像等のデータ）をサーバ１００にアップロードする処理に割り込み、ユーザデータの安全性と、ユーザデータのアップロード先のサーバ１００とを管理する。

　クライアント３００としては、例えば、国Ａに設置され、クラウドサービスの提供者（クラウドプロバイダ）により利用されるクライアントＡと、国Ｂに設置され、クラウドユーザにより利用されるクライアントＢと、国Ｃに設置され、クラウドユーザにより利用されるクライアントＣとがある。

　クラウドユーザは、クライアント３００を用いて、ネットワーク２０を介して、サーバ１００が提供するサービスを利用することができる。この計算機システムにおいては、データセンタ１０に対して、例えば、クラウドプロバイダや、データセンタ１０の所在国と異なる国のクラウドユーザのクライアント３００からアクセスされることがある。

　図２は、クライアント３００の構成例を示す図である。

　クライアント３００は、ポート３０１と、メモリ３０２と、プロセッサ３０３と、入出力チャネル３０４とを有する。ポート３０１は、ネットワーク２０を介しての他の装置との通信を仲介する。入出力チャネル３０４には、入力デバイス３０５、モニタ３０６、外部記憶装置３０７等が接続される。入出力チャネル３０４は、これら装置との間の通信を仲介する。入力デバイス３０５は、例えば、キーボード、マウス等であり、ユーザによる各種情報の入力を受け付ける。モニタ３０６は、画像等を表示出力する。外部記憶装置３０７は、例えば、ＨＤＤ（Hard　Disk　Drive）等の記憶装置であり、クライアント３００で使用するデータ等を記憶する。

　メモリ３０２は、プロセッサ３０３で実行されるコンピュータプログラムや、プロセッサ３０３により利用されるデータを記憶する。メモリ３０２は、例えば、オペレーティングシステム３０９や、アプリケーション３０８を記憶する。プロセッサ３０３は、メモリ３０２に格納されたプログラムに従って各種処理を実行する。

　図３は、サーバ１００の構成例を示す図である。

　サーバ１００は、ポート１０１と、メモリ１０２と、プロセッサ１０３と、入出力チャネル１０４とを有する。ポート１０１は、内部ネットワーク１５及びネットワーク２０を介しての他の装置との通信を仲介する。入出力チャネル１０４には、外部記憶装置１０５が接続される。入出力チャネル１０４は、外部記憶装置１０５との間の通信を仲介する。外部記憶装置１０５は、例えば、ＨＤＤ等の記憶装置であり、クライアントコンピュータ３００からアップロードされたユーザデータ等を記憶する。また、サーバ１００が、外部記憶装置１０５に代えて記憶装置を内蔵していても良い。

　メモリ１０２は、プロセッサ１０３により利用されるプログラムや、プロセッサ１０３により利用されるデータを記憶する。メモリ１０２は、例えば、オペレーティングシステム１０７や、アプリケーション１０６を記憶する。プロセッサ１０３は、メモリ１０２に格納されたプログラムに従って各種処理を実行する。

　図４は、安全性評価マシン２００の構成例を示す図である。

　安全性評価マシン２００は、ポート２０１と、メモリ２０２と、プロセッサ２０３と、入出力チャネル２０４とを有する。ポート２０１は、内部ネットワーク１５及びネットワーク２０を介しての他の装置との通信を仲介する。入出力チャネル２０４には、外部記憶装置２０５が接続される。入出力チャネル２０４は、外部記憶装置２０５との間の通信を仲介する。外部記憶装置２０５は、例えば、ＨＤＤ等の記憶装置であり、安全性評価マシン２００で使用するデータ等を格納する。本実施形態では、外部記憶装置２０５は、データ配置管理データベース（データ配置管理ＤＢ）２０８と、安全性評価情報データベース（安全性評価情報ＤＢ）２０９とを記憶する。なお、安全性評価マシン２００が、外部記憶装置２０５に代えて記憶装置を内蔵していても良い。

　メモリ２０２は、プロセッサ２０３により利用されるプログラムや、プロセッサ２０３により利用されるデータを記憶する。メモリ２０２は、例えば、オペレーティングシステム２０７や、安全性評価に関わる処理を実行する安全性評価プログラム２０６を記憶する。プロセッサ２０３は、メモリ２０２に格納されたプログラムに従って各種処理を実行する。

　図５は、安全性評価プログラム２０６による機能の一例を説明する図である。

　安全性評価プログラム２０６は、複数のプログラムモジュール、例えば、安全性監視マネージャ部２０６ａと、安全性評価部２０６ｂと、データ配置管理部２０６ｃと、安全性評価情報制御部２０６ｄとを有する。安全性評価プログラム２０６は、外部記憶装置２０５に格納されているデータ配置管理ＤＢ２０８、安全性評価情報ＤＢ２０９、評価結果情報２１５等の情報を用いて各種処理を行う。

　安全性監視マネージャ部２０６ａは、ユーザデータの安全性評価の要求や、データ属性情報の変更の要求を受け付ける。また、安全性管理マネージャ部２０６ａは、安全性評価情報ＤＢ２０９の各情報の変更を監視し、変更があった場合には、安全性評価部２０６ｂへ安全性の評価を指示する。また、安全性監視マネージャ部２０６ａは、安全性の評価結果に従って、データ配置管理部２０６ｃへデータの配置換えの指示（データ配置変更指示）を渡す。

　安全性評価部２０６ｂは、安全性評価情報ＤＢ２０９及びデータ配置管理ＤＢ２０８の情報を利用して、ユーザデータの配置に関する安全性を評価する。また、安全性評価部２０６ｂは、安全性の評価結果を評価結果情報２１５として、例えば、メモリ２０２又は外部記憶装置２０５に記憶させる。また、安全性評価部２０６ｂは、安全性の評価結果を含む画面（評価結果画面（図２２、２３参照）、ＤＣ候補表示画面（図３２参照）をクライアント３００に表示する。

　データ配置管理部２０６ｃは、ユーザデータの所在を管理する処理を行う。データ配置管理部２０６ｃは、例えば、安全性監視マネージャ部２０６ａからデータ配置変更指示を受けた場合には、対応するユーザデータを移動させ、ファイルリスト２１０の情報を更新する。

　安全性評価情報制御部２０６ｄは、ユーザ（クラウドプロバイダ、又はクラウドユーザ）からの入力をクライアント３００から受け付け、安全性評価情報ＤＢ２０９への情報登録、更新を行う。

　データ配置管理ＤＢ２０８は、ユーザがアップロードしたデータ（ユーザデータ）が、どのＤＣ１０に格納されているかを管理するためのファイルリスト２１０を格納する。安全性評価情報ＤＢ２０９は、安全性評価に利用する各種情報（ユーザ情報２１１、データ属性情報２１２、法規情報２１３、ＤＣ情報２１４）を格納する。本実施形態では、ユーザ情報２１１、データ属性情報２１２は、クラウドユーザによって定義される。また、法規情報２１３、ＤＣ情報２１４は、クラウドプロバイダによって定義される。

　ファイルリスト２１０の一例として、本実施形態では、ファイルリストテーブル２２０を用いている。

　図６は、ファイルリストテーブル２２０の一例を説明する図である。

　ファイルリストテーブル２２０は、どのファイル（ユーザデータのファイル）がどのＤＣ１０のサーバ１００にアップロードされているかを管理するテーブルであり、ファイルＩＤ２２０ａと、データセンタ名２２０ｂと、ファイル名（又はディレクトリ名）２２０ｃと、登録ユーザＩＤ２２０ｄとのフィールドを有する。このファイルリストテーブル２２０は、データアップロード時処理（図２０参照）が行われることにより、全フィールドのデータが格納される。

　ファイルＩＤ２２０ａは、ファイルを一意に識別するＩＤを格納する。データセンタ名２２０ｂは、対応するファイルを格納するデータセンタ名を格納する。ファイル名（又はディレクトリ名）２２０ｃは、対応するファイルのファイル名又はディレクトリ名を格納する。登録ユーザＩＤ２２０ｄは、対応するファイルを登録したクラウドユーザのユーザＩＤを格納する。

　例えば、ファイルリストテーブル２２０の一番上のレコードは、ファイルＩＤが“Ｆ００１”のファイルは、第１センタに格納され、そのファイル名は、“/xx/yyy/zz1/file_zz1”であり、ファイルを登録したユーザのユーザＩＤが“ＵＩＤ＿００１”であることを示している。

　ユーザ情報２１１の一例として、本実施形態では、ユーザ情報テーブル２２１を用いている。

　図７は、ユーザ情報テーブル２２１の一例を説明する図である。

　ユーザ情報テーブル２２１は、登録ユーザＩＤ２２１ａと、ユーザ国コード２２１ｂとのフィールドを有する。登録ユーザＩＤ２２１ａは、ユーザのＩＤを格納する。ユーザ国コード２２１ｂは、ユーザが所在する国のコード（クライアント地域ＩＤ）を格納する。ユーザ情報テーブル２２１は、例えば、計算機システムの利用開始時に、ユーザが登録した情報に基づいて生成される。例えば、ユーザ情報テーブル２２１の一番上のレコードは、“ＵＩＤ＿００１”のユーザは、国コードが“ＡＡ”の国に所在していることを意味している。

　ＤＣ情報２１４の一例として、本実施形態では、ＤＣ情報テーブル２２２を用いている。

　図８は、ＤＣ情報テーブル２２２の一例を説明する図である。

　ＤＣ情報テーブル２２２は、データセンタ名２２２ａと、所在地コード２２２ｂとのフィールドを有する。データセンタ名２２２ａは、データセンタ１０の名称（データセンタ名）を格納する。所在地コード２２２ｂは、対応するデータセンタの所在している所在地（例えば、国）のコード（所在地コード：サーバ地域ＩＤの一例）を格納する。なお、データセンタ１０の所在地は、データセンタ１０に属するサーバ１００の所在地ということもできる。ＤＣ情報テーブル２２２は、例えば、クラウドプロバイダにより定義される。

　例えば、ＤＣ情報テーブル２２２の一番上のレコードは、“第１センタ”は、所在地コードが“ＡＡ”の地域に所在していることを意味している。

　データ属性情報２１２の一例として、本実施形態では、輸出管理情報テーブル２２３及び受容基準情報テーブル２２４を用いている。

　図９は、輸出管理情報テーブル２２３の一例を説明する図である。

　輸出管理情報テーブル２２３は、ファイルＩＤ２２３ａと、判定パラメータ２２３ｂと、評価コード２２３ｃとのフィールドを有する。ファイルＩＤ２２３ａは、対応するファイルのファイルＩＤを格納する。判定パラメータ２２３ｂは、ファイルの所有者のクラウドユーザの所在する国（本国）の輸出規制、本国と異なる第１国における技術を本国から第３国に輸出する場合に、適用される第１国の規制（再輸出規制（第１国の域外適用））、及びＤＣ１０の所在国の輸入規制に対する安全性の評価で判定すべきパラメータ（判定パラメータ）を１以上格納する。評価コード２２３ｃは、対応するファイルについての各判定パラメータに対応する値、コード（評価コード）を格納する。

　例えば、輸出管理情報テーブル２２３の一番上のレコードは、ファイルＩＤが“F001”のファイルについての判定パラメータには、“リスト規制該非”、“ＥＡＲ”があり、それぞれの判定パラメータに対する評価コードは、“該当”、“非該当”であることを意味している。

　図１０は、受容基準情報テーブル２２４の一例を説明する図である。

　受容基準情報テーブル２２４は、ファイルＩＤ２２４ａと、データ開示２２４ｂと、データ差押え２２４ｃとのフィールドを有する。ファイルＩＤ２２４ａは、対応するファイルのファイルＩＤを格納する。データ開示２２４ｂは、対応するファイルについて、開示されることをクラウドユーザが許容できるか否かの情報を格納する。データ差押え２２４ｃは、対応するファイルについて、差押えされることをクラウドユーザが許容できるか否かの情報を格納する。

　例えば、受容基準情報テーブル２２４の一番上のレコードは、ファイルＩＤが“Ｆ００１”のファイルについて、データ開示されることについては、“許容できる”ことを示し、データ差押えされることについて、“許容できる”ことを示している。

　法規情報２１３の一例として、本実施形態では、輸出入関連法規テーブル２２５、法規判定ルールテーブル２２６、２２７、データ開示・差押え法規テーブル２２８、及びデータ開示・差押えリスクテーブル２２９を用いている。

　図１１は、輸出入関連法規テーブル２２５の一例を説明する図である。

　輸出入関連法規テーブル２２５は、国コード２２５ａと、種別２２５ｂと、域外適用２２５ｃと、法規名２２５ｄと、判定パラメータ２２５ｅと、法規判定ルール２２５ｆとのフィールドを有する。国コード２２５ａは、対応する法規を整備している地域（国、州等）のコードを格納する。種別２２５ｂは、対応する法規が関係する規制の種別を格納する。本実施形態としては、例えば、輸出に関する法規であれば、輸出、輸入に関する法規であれば、輸入が格納される。域外適用２２５ｃは、対応する法規が当該地域以外に適用されるか否かを示す情報が格納される。例えば、データの原産国における法規が域外適用される場合には、現時点のデータ保有国の法規だけでなく、域外適用されるデータの原産国の法規についても考慮する必要があり、そのような場合を検出するために、域外適用２２５ｃの情報が用いられる。法規名２２５ｄは、対応する法規の名称（法規名）が格納される。判定パラメータ２２５ｅは、ユーザデータについて、法規上の安全性を判定するために必要なパラメータ（判定パラメータ）を格納する。判定ルール２２５ｆは、法規上の安全性を判定するためのルールを定義した法規判定ルールテーブル（２２６、２２７等）に対する参照情報（ポインタ）を格納する。

　例えば、輸出入関連法規テーブル２２５の一番上のレコードは、対応する法規が、地域コードが”ＡＡ”の地域の法規であり、“輸出”に関する法規であり、域外での適用はされない法規であり、法規名は、“外国為替及び外国貿易法”であり、判定パラメータは、リスト規制該非であり、法規判定ルールテーブルに対するポインタが格納されていることを示している。

　図１２は、第１の法規判定ルールテーブル２２６の一例を説明する図である。

　法規判定ルールテーブル２２６は、対応する法規について安全性に問題があるか否かのルールを定義した表であり、縦軸に、輸出先の候補となる国のコード、すなわち、ＤＣ１０の属する国のコードが並び、横軸に、対応する法規の判定パラメータが取り得る値（評価コード）が並んでいる。この表は、或る国から輸出先の国へ、判定パラメータであるリスト規制該非の評価コードに対応するデータを輸出する場合に、対応する法規（ここでは、外国為替及び外国貿易法）について、輸出可能（問題なし）か、輸出許可が必要（許可要）か、輸出禁止であるかを示している。

　例えば、国コードが“ＡＡ”の地域に輸出する場合には、リスト規制該非が“該当”、“非該当”、“対象外”のいずれであっても、問題なし、すなわち輸出可能であることを示している。また、国コードが“ＤＤ”の地域に輸出する場合には、リスト規制該非が“該当”であれば、輸出に当たっては許可が必要であることを示している。

　図１３は、第２の法規判定ルールテーブル２２７の一例を説明する図である。

　法規判定ルールテーブル２２７は、国コードが“ＣＣ”の地域のＥＡＲ規制についての安全性に問題があるか否かのルールを定義した表であり、例えば、図１１の輸出入関連法規テーブル２２５の３つ目のレコードの法規判定ルール２２５ｆにおいてポインタが設定されている表であり、縦軸に、輸出先となる国のコード、すなわち、ＤＣ１０の属する国のコードが並び、横軸に、ＥＡＲに非該当であるとの評価コードと、ＥＡＲにおける１以上の輸出規制品目分類番号（ＥＣＣＮ：Export　Control　Classification　Number）が並んでいる。この表は、国コードが“ＣＣ”の地域から輸出先の国へ、ＥＣＣＮに非該当又はＥＣＣＮに該当するデータを輸出する場合に、ＥＡＲに関して、輸出可能（問題なし）か、輸出許可が必要（許可要）か、輸出禁止であるかを示している。

　例えば、国コードが“ＢＢ”の地域に輸出する場合に、ＥＣＣＮが“番号１”であれば、ＥＡＲにより輸出が禁止されていることを示している。

　図１４は、実施形態に係るデータ開示・差押え法規テーブルの一例を説明する図である。

　データ開示・差押え法規テーブル２２８は、国コード２２８ａと、法規名２２８ｂと、データ開示２２８ｃと、データ差押え２２８ｄとのフィールドを有する。国コード２２８ａは、対応する法規を整備している地域（国、州等）のコードを格納する。法規名２２８ｂは、対応する法規の名称を格納する。データ開示２２８ｃは、対応する法規に、所定の際に、公権力がデータ開示を強制できる規定があるか否かの情報を格納する。データ差押え２２８ｄは、データの差押えができる規定があるか否かの情報を格納する。

　例えば、データ開示・差押え法規テーブル２２８の一番上のレコードは、対応する法規が、地域コードが”ＣＣ”の地域の法規であり、法規名は、“パトリオット法”であり、対応する法規に、データ開示を強制できる規定があり、また、データの差押えができる規定があることを示している。

　なお、データ開示、データ差押えに対する規定における法的リスクを管理するテーブルとして、データ開示・差押え法規テーブル２２８を例に説明したが、データ開示、データ差押え以外の他の状況を考慮する必要がある場合についても、このテーブルと同様な構成により実現できる。

　図１５は、実施形態に係るデータ開示・差押えリスクテーブルの一例を説明する図である。

　データ開示・差押えリスクテーブル２２９は、各国に対して、データ開示、データ差押えのリスクがあるか否かを定義した表であり、データ開示・差押え法規テーブル２２８の各レコードについて、各国毎にまとめることにより得ることができる。ここで、データ開示・差押えリスクテーブル２２９があれば、データ開示・差押えのリスクを判定する上では、データ開示・差押え法規テーブル２２８は、必要がないが、本実施形態では、リスクのある法規名を表示するために、データ開示・差押え法規テーブル２２８を保持するようにしている。

　データ開示・差押えリスクテーブル２２９は、縦軸に、輸出先の候補となる国のコード、すなわち、ＤＣの属する国のコードが並び、横軸に、リスクを判定するデータ開示、データ差押えが並び、各国におけるデータ開示、データ差押えのリスクの有無を定義した表である。

　データ開示・差押えリスクテーブル２２９においては、例えば、国コードが“ＢＢ”の地域においては、データ開示のリスクがあり、データ差押えのリスクがないことを示している。

　評価結果情報２１５の一例として、本実施形態では、評価結果テーブル２３０を用いている。

　図１６は、評価結果テーブル２３０の一例を説明する図である。

　評価結果テーブル２３０は、ファイルＩＤ２３０ａと、データセンタ２３０ｂと、ＤＣの安全性２３０ｃと、輸出入安全性２３０ｄと、輸出入安全性詳細２３０ｅと、データ開示等の安全性２３０ｆと、データ開示等の安全性詳細２３０ｇとのフィールドを有する。ファイルＩＤ２３０ａは、対応するファイルのファイルＩＤを格納する。データセンタ２３０ｂは、データセンタ名を格納する。ＤＣの安全性２３０ｃは、対応するファイルを対応するデータセンタ名のＤＣに格納した場合における安全性の判定結果（問題なし（ＯＫ）又は問題あり（ＮＧ））を格納する。輸出入安全性２３０ｄは、輸出入に関する安全性の判定結果を格納する。輸出入安全性詳細２３０ｅは、輸出入に関する安全性の判定結果の詳細を格納する。データ開示等の安全性２３０ｆは、データ開示・差押えに関する安全性の判定結果を格納する。データ開示等の安全性詳細２３０ｇは、データ開示・差押えに関する安全性の判定結果の詳細を格納する

　例えば、評価結果テーブル２３０の２番目のレコードは、ファイルＩＤが“Ｆ００１”のファイルを、第２センタに格納すると、安全性がＮＧ（問題あり）であり、輸出入の安全性は、“許可要”すなわち許可が必要であり、輸出入の安全性の評価結果の詳細は、輸出規制として許可が必要であり、ＥＡＲ規制の対象であり、データ開示等の安全性は、問題がないことを示している。

　次に、本実施形態に係る計算機システムにおける処理動作について説明する。

　まず、ＤＣ情報登録処理について説明する。ＤＣ情報登録処理は、安全性評価マシン２００が、クラウドサービスにアップロードするユーザデータの安全性の管理を開始する前、すなわち、後述するデータアップロード時処理（図２０）が開始される前に実行される。

　図１７は、実施形態に係るＤＣ情報登録処理のフローチャートの一例である。

　安全性監視マネージャ部２０６ａが、クラウドプロバイダのクライアント３００からＤＣ情報登録要求を受け取ると、安全性評価情報制御部２０６ｄにＤＣ情報登録処理の開始を指示し、安全性評価情報制御部２０６ｄがＤＣ情報登録処理を開始する（ステップＳ１）。

　まず、安全性評価情報制御部２０６ｄは、クラウドプロバイダのクライアント３００のモニタ３０６に対して、ＤＣ情報登録画面１８００（図１８）を表示する（ステップＳ２）。具体的には、安全性評価情報制御部２０６ｄは、クライアント３００のアプリケーション３０８に対して、ＤＣ情報登録画面１８００を表示するためのデータを送信し、アプリケーション３０８によりクライアント３００のモニタ３０６にＤＣ情報登録画面１８００を表示する。なお、クライアント３００のモニタ３０６に表示する他の画面についても同様であるので、以降においては、画面表示の具体的な処理については省略する。

　図１８は、実施形態に係るＤＣ情報登録画面の一例である。

　ＤＣ情報登録画面１８００には、情報を登録するデータセンタ名を入力するためのデータセンタ名領域１８０１と、データセンタの所在地を示す所在地コード（国コード）を入力するための所在地コード領域１８０２と、入力した内容を登録するためのＯＫボタン１８０３と、情報の登録をキャンセル（中止）するためのキャンセル（Ｃａｎｃｅｌ）ボタン１８０４とが表示される。なお、ＤＣ情報登録画面１８００では、国コードを入力させるようにしているが、国コード及び国名との対応を内部テーブルとして記憶しておき、画面において国名をユーザに選択又は入力させ、内部テーブルに基づいて、国名を国コードに変換するようにしてもよい。

　図１７の説明に戻り、クライアント３００では、アプリケーション３０８が、ＤＣ情報登録画面１８００に対するクラウドプロバイダの入力デバイス３０５によるデータセンタ名、所在地コードの入力を受け付け、ＯＫボタン１８０３が押下（例えばクリック）されると、ＯＫボタン１８０３が押下された旨の情報と、入力されたデータとを、安全性評価マシン２００に送信する。安全性評価情報制御部２０６ｄは、クライアント３００からＤＣ情報登録画面１８００のＯＫボタン１８０３に対するクリックを受信すると（ステップＳ３）、入力されたデータを読み込み、ＤＣ情報テーブル２２２に、入力されたデータのデータセンタ名をキーとして、データセンタ名と、所在地コードとのエントリ（レコード）を登録する（ステップＳ４）。なお、ＤＣ情報テーブル２２２に既に対応するデータセンタ名のエントリが存在する場合には、当該エントリの所在地コードを入力された所在地コードで更新する。なお、クラウドプロバイダは、このＤＣ情報登録処理により、計算機システムの各データセンタについて登録することとなる。これにより、図８に示すような、複数のＤＣに対応するレコードを有するＤＣ情報テーブル２２２が構築される。

　次に、法規情報登録処理について説明する。法規情報登録処理は、安全性評価マシン２００が、クラウドサービスにアップロードするユーザデータの安全性の管理を開始する前に実行される。また、サービスの運用開始後の法規改正により、登録した法規情報を変更する必要がある場合に実行される。

　図１９は、実施形態に係る法規情報登録処理のフローチャートの一例である。

　安全性監視マネージャ部２０６ａが、クラウドプロバイダのクライアント３００から法規情報登録要求を受け取ると、安全性評価情報制御部２０６ｄに法規情報登録処理の開始を指示し、安全性評価情報制御部２０６ｄが法規情報登録処理を開始する（ステップＳ１１）。この法規情報登録処理においては、ＤＣ情報登録処理と同様に、テーブル、表に必要な情報を入力するための画面をクライアント３００に表示させて、クライアント３００においてクラウドプロバイダにより、必要な情報を入力させ、安全性評価情報制御部２０６ｄがクライアント３００から入力された情報を読み込んで、入力された情報を対応するテーブルに登録する（ステップＳ１２）。本実施形態では、法規情報登録処理においては、輸出入関連法規テーブル２２５、法規判定ルールテーブル２２６、２２７等、データ開示・差押え法規テーブル２２８、及びデータ開示・差押えリスクテーブル２２９に必要なデータの入力を受け付けて、これらテーブルにデータを登録している。

　次に、ユーザがクライアント３００に格納されているユーザデータをＤＣ１０のサーバ１００にアップロードする際に実行されるデータアップロード時処理について説明する。

　図２０は、実施形態に係るデータアップロード時処理のフローチャートの一例である。

　このデータアップロード時処理を実行する前においては、クラウドユーザは、クライアント３００を用いて、安全性評価マシン２００に対して計算機システムの利用のためにログインを実行しており、安全性評価マシン２００は、クラウドユーザのユーザＩＤを把握できるようになっている。

　安全性監視マネージャ部２０６ａが、クラウドユーザのクライアント３００からデータアップロード要求を受け取ると、安全性評価情報制御部２０６ｄにデータアップロード時処理の開始を指示し、安全性評価情報制御部２０６ｄがデータアップロード時処理を開始する（ステップＳ２１）。

　まず、安全性評価情報制御部２０６ｄは、クラウドユーザのクライアント３００のモニタ３０６に対して、アップロード画面２１００（図２１）を表示する（ステップＳ２２）。

　図２１は、実施形態に係るアップロード画面の一例である。

　アップロード画面２１００には、アップロードするファイル名を入力するためのファイル名入力領域２１０１と、データのアップロード先のデータセンタを選択入力するためのデータセンタ選択領域２１０２と、ファイル名及びデータセンタ１０の指定を決定するためのＯＫボタン２１０３と、ファイル名及びデータセンタ１０の指定をキャンセルするためのキャンセルボタン２１０４とが表示される。

　図２０の説明に戻り、クライアント３００では、アプリケーション３０８が、アップロード画面２１００に対するクラウドユーザの入力デバイス３０５によるアップロードするファイル名及びアップロード先のデータセンタ名の入力を受け付け、ＯＫボタン２１０３がクリックされると、ＯＫボタン２１０３がクリックされた旨の情報と、入力されたファイル名と、データセンタ名とを、安全性評価マシン２００に送信する。

　安全性評価情報制御部２０６ｄは、クライアント３００からアップロード画面２１００のＯＫボタン２１０３に対するクリックを受信すると（ステップＳ２３）、データ配置管理部２０６ｃにより、ファイルリストテーブル２２０内でユニークなファイルＩＤを採番し、当該ファイルＩＤを登録ファイルＩＤとする（ステップＳ２４）。なお、既に登録されているファイルと同じ名前のファイルを同じディレクトリに登録しようとしている場合（データ上書きの場合）には、ファイルリストテーブル２２０から対応するファイルＩＤを取得する。

　次いで、安全性評価情報制御部２０６ｄは、クライアント３００から送信されたデータセンタ名をデータアップロード先ＤＣ名とし（ステップＳ２５）、登録ファイルＩＤ、ファイル名及びアップロード先ＤＣ名を引数として、ファイルのデータに対する属性を登録するデータ属性登録処理（図２４参照）を実行する（ステップＳ２６）。次いで、安全性評価部２０６ｂが、登録ファイルＩＤ及びアップロード先ＤＣ名を引数として、安全性評価登録処理（図２６参照）を実行する（ステップＳ２７）。

　次いで、安全性評価部２０６ｂは、評価結果テーブル２３０から表示に必要な評価結果を取得し（ステップＳ２８）、クラウドユーザのクライアント３００のモニタ３０６に対して、評価結果画面２２００（例えば、図２２、２３）を表示する（ステップＳ２９）。

　図２２は、実施形態に係る評価結果画面の第１の例である。図２３は、実施形態に係る評価結果画面の第２の例である。

　図２２に示すように、評価結果画面２２００には、安全性評価の対象のファイル名を表示するファイル名表示領域２２０１と、アップロード先のデータセンタ名を表示するデータセンタ名表示領域２２０２と、安全性の評価結果を表示する評価結果表示領域２２０３と、評価結果の詳細を表示する詳細表示領域２２０４と、安全性の評価を確認したことを指示するためのＯＫボタン２２０５と、安全性を満たすデータセンタを表示するための安全性を満たすデータセンタを表示ボタン２２０６とが表示される。

　評価結果表示領域２２０３には、安全性の評価結果が、問題なしの場合には、ＯＫが表示され、問題がある場合には、ＮＧが表示される。詳細表示領域２２０４には、輸出入管理に関する問題がある場合には、図２２に示すように、輸出規制についての詳細情報や、輸出規制に関わる法規名が表示される。一方、データ開示に関して法規リスクがある場合には、詳細表示領域２２０４には、図２３に示すように、データ開示に関する法規リスクの詳細情報が表示される。

　図２０の説明に戻り、クライアント３００では、アプリケーション３０８が、評価結果画面２２００に対するクラウドユーザの入力デバイス３０５によるＯＫボタン２２０５又は安全性を満たすセンタを表示ボタン２２０６がクリックされると、ボタンがクリックされた旨の情報を安全性評価マシン２００に送信する。

　安全性評価部２０６ｂは、クライアント３００から結果表示画面２２００のＯＫボタン２２０５に対するクリックを受信すると（ステップＳ３０）、データ配置管理部２０６ｃは、安全性の評価結果がＯＫであるか、ＮＧであるかを判定する（ステップＳ３１）。

　この結果、安全性の評価結果がＯＫである場合（ステップＳ３１でＯＫ）には、データ配置管理部２０６ｃは、対応するファイルのデータを、指定されたデータセンタ１０のサーバ１００に対してアップロードし（ステップＳ３２）、ファイルリストテーブル２２０にアップロードしたファイルについての配置情報（データセンタ名）を追加（又は更新）し（ステップＳ３３）、処理を終了する。

　このようにサーバ１００にファイルのデータがアップロードされると、サーバ１００で実行されるサービスで利用可能となる。例えば、サーバ１００が提供しているサービスが、Ｗｅｂ上の動画配信サービスであり、データが配信するための動画である場合には、アップロードされた動画のデータをネットワーク２０に接続されたクライアント３００等で閲覧できるようになる。また、アップロードしたデータが、プログラムデータの場合には、サーバ１００上でそのプログラムを実行させることができるようになる。

　一方、安全性の評価結果がＮＧである場合（ステップＳ３１でＮＧ）には、安全性評価情報制御部２０６ｄが、データ属性情報２１２（輸出情報管理テーブル２２３及び受容基準情報テーブル２２４）から対応するファイルの情報を削除し（ステップＳ３４）、評価結果テーブル２３０から対応するファイルの情報を削除し（ステップＳ３５）、処理を終了する。このように、安全性の評価結果がＮＧである場合には、対応するファイルが、安全性に問題があるデータセンタ１０に対してアップロードされないようにすることができる。

　次に、データ属性登録処理（図２０のステップＳ２６）について説明する。

　図２４は、実施形態に係るデータ属性登録処理のフローチャートの一例である。

　データ属性登録処理においては、登録ファイルＩＤ、ファイル名及びアップロード先ＤＣ名が引数として与えられており、安全性評価情報制御部２０６ｄは、輸出入関連法規テーブル２２５から、輸出入管理に関する安全性評価の判定に必要なパラメータを選択する（ステップＳ４１）。ここで、輸出入管理に関する安全性評価をするためには、クラウドユーザの属する国からの輸出規制に関する評価、再輸出規制に関する評価、ＤＣ１０の所在地の輸入規制に関する評価が必要であり、ステップＳ４１では、これら評価を行うためにユーザが設定すべき判定パラメータを輸出入関連法規テーブル２２５から取得する。

　具体的には、輸出規制に関する評価のための判定パラメータを取得する際には、国コードが、クラウドユーザの所在国（ユーザ国コード：ユーザ情報テーブル２２１から把握可能）であり、且つ、種別が“輸出”であるとの検索キーを用いて輸出入関連法規テーブル２２５を検索することにより得られる。また、再輸出規制に関する評価のための判定パラメータを取得する際には、輸出入関連法規テーブル２２５から、種別が“輸出”であり、且つ、域外適用が“あり”であるとの検索キーを用いて、輸出入関連法規テーブル２２５を検索することにより得られる。また、ＤＣ１０の所在地の輸入規制に関する評価のための判定パラメータを取得する際には、国コードがＤＣ１０の所在地コードであり、且つ、種別が“輸入”であるとの検索キーを用いて輸出入関連法規テーブル２２５を検索することにより得られる。このように、引数に指定されているファイルをＤＣ１０へアップロードする際において評価に利用する判定パラメータのみを選択するようにしているので、このアップロードに際しての評価に利用しない判定パラメータをユーザに入力させることを適切に防止でき、煩雑さを軽減することができる。

　次いで、安全性評価情報制御部２０６ｄは、データ属性設定画面２５０１を表示するためのデータを生成し、クラウドユーザのクライアント３００のモニタ３０６に対して、データ属性設定画面２５０１（図２５）を表示する（ステップＳ４２）。

　図２５は、実施形態に係るデータ属性設定画面の一例である。

　データ属性設定画面２５０１には、安全性評価の対象のファイル名を表示するファイル名表示領域２５０２と、アップロード先のデータセンタ名を表示するデータセンタ名表示領域２５０３と、登録者（クラウドユーザ）の所在国のコードを表示する登録者所在国表示領域２５０４と、輸出入管理情報の設定を行うための輸出入管理情報設定領域２５０５と、データ開示・差押えリスクの受容基準の設定を行うための受容基準設定領域２５０６と、設定を確定するためのＯＫボタン２５０７と、設定をキャンセルするためのキャンセルボタン２５０８とが表示される。登録者所在国表示領域２５０４に表示される登録者の国は、ユーザ情報テーブル２２１から登録ユーザＩＤを用いて、取得される。

　輸出入管理情報設定領域２５０５は、ステップＳ４１で選択した判定パラメータに対するデータ（評価コード）を設定するための領域であり、例えば、輸出規制確認のための判定パラメータ、再輸出規制確認のための判定パラメータ、輸入規制確認のための判定パラメータの評価コードを設定（入力、選択等）するための領域が備えられる。図２５の例では、輸出入管理情報設定領域２５０５には、輸出規制確認のための判定パラメータであるリスト規制該非の評価コードを設定するリスト規制該非設定領域２５０９と、再輸出規制確認のための判定パラメータであるＣＣ国産技術（ここで、ＣＣは、或る国を示している）について、ＣＣ国産技術を含むか否かの評価コードを設定するＣＣ国産技術設定領域２５１０と、再輸出規制確認のための判定パラメータであるＥＣＣＮコードを示す評価コードを設定するＥＣＣＮコード設定領域２５１１と、輸入規制確認のための判定パラメータである暗号についての該非を設定する暗号該非設定領域２５１２とが備えられている。

　受容基準設定領域２５０６には、データ開示を許容できるか否かを設定するためのデータ開示設定領域２５１３と、データ差押えを許容できるか否かを設定するためのデータ差押え設定領域２５１４とが備えられている。

　図２４の説明に戻り、クライアント３００では、アプリケーション３０８が、データ属性設定画面２５０１に対するクラウドユーザの入力デバイス３０５による判定パラメータに対する評価コードの入力を受け付け、ＯＫボタン２５０７がクリックされると、ＯＫボタン２５０７が押下された旨の情報と、入力された判定パラメータに対する評価コードを、安全性評価マシン２００に送信する。ここで、クラウドユーザは、不明な判定パラメータについては、評価コードを入力しなくてもよい。なお、入力しなかった判定パラメータに関しては、安全性の評価結果は問題なしにはならない。

　安全性評価情報制御部２０６ｄは、クライアント３００からデータ属性設定画面２５０１のＯＫボタン２５０７に対するクリックを受信すると（ステップＳ４３）、入力されたデータを読み込み、輸出管理情報テーブル２２３、受容基準情報テーブル２２４に情報を格納する（ステップＳ４４）。具体的には、安全性評価情報制御部２０６ｄは、判定パラメータ名と、入力された評価コードの組を、輸出管理情報テーブル２２３の対応するファイルのエントリとして格納し、入力されたデータ開示・差押えに関する設定を、受容基準情報テーブル２２４の対応するファイルのエントリとして格納する。

　次に、安全性評価登録処理（図２０のステップＳ２７、図３０のステップＳ９７、図３１のステップＳ１１４）について説明する。

　図２６は、実施形態に係る安全性評価登録処理のフローチャートの一例である。

　安全性評価登録処理は、アップロード時処理（図２０）、安全性再評価処理（図３０）、安全性充足ＤＣ検索処理（図３１）において、要求された場合や、クライアントユーザによりクライアント３００を介して要求された場合に実行される。

　安全性評価部２０６ｂが、安全性評価登録処理の実行開始の要求を受け取ると、安全性評価登録処理の実行を開始し、対象ファイルＩＤ及び対象ＤＣ名を引数として、輸出入管理に関する安全性評価処理（図２７）を実行し（ステップＳ５１）、対象ファイルＩＤ及び対象ＤＣ名を引数として、データ開示・差押えに関する安全性評価処理（図２８）を実行する（ステップＳ５２）。

　次いで、安全性評価部２０６ｂは、評価結果テーブル２３０に基づいて、評価対象のＤＣ１０に対する安全性の評価を判定する（ステップＳ５３）。具体的には、安全性評価部２０６ｂは、輸出入管理に関する安全性の評価結果と、データ開示・差押えに関する安全性の評価結果との両方が問題なしであれば、ＯＫと判定し、いずれかが問題ありの場合には、ＮＧと判定する。そして、安全性評価部２０６ｂは、評価結果テーブル２３０のＤＣの安全性２３０ｃに判定した結果を登録し（ステップＳ５４）、処理を終了する。

　次に、輸出入管理に関する安全性評価処理（図２６のステップＳ５１）について説明する。

　図２７は、実施形態に係る輸出入管理に関する安全性評価処理のフローチャートの一例である。

　輸出入管理に関する安全性評価処理では、クラウドユーザが輸出規制違反を起こさないようにするために、クラウドユーザの国における輸出規制に関する安全性の評価、ＤＣ１０の所在する国に対する再輸出規制に関する安全性の評価を行う。また、輸出入に関する安全性評価処理では、クラウドユーザが、ＤＣ１０の所在する国における輸入規制違反を起こさないようにするために、輸入規制に関する安全性の評価を行う。

　輸出入に関する安全性評価処理では、安全性評価部２０６ｂは、ファイルリストテーブル２２０と、ユーザ情報テーブル２２１とに基づいて、引数の対象ファイルＩＤのファイルを登録するクラウドユーザのユーザ国コードを取得する（ステップＳ６１）。次いで、安全性評価部２０６ｂは、ＤＣ情報テーブル２２２から、引数の対象ＤＣ名に対応する所在地コードを取得する（ステップＳ６２）。

　次いで、安全性評価部２０６ｂは、輸出入関連法規テーブル２２５から評価に必要な輸出規制に関する法規、再輸出規制に関する法規、輸入規制に関する法規のエントリ（法規データ）を選択する（ステップＳ６３）。具体的には、輸出規制に関する法規については、安全性評価部２０６ｂは、輸出入関連法規テーブル２２５から、国コードをクラウドユーザの国とし、且つ種別が“輸出”であるエントリを検索することにより選択する。また、再輸出規制に関する法規については、安全性評価部２０６ｂは、輸出入関連法規テーブル２２５から、種別が“輸出”であり、且つ、域外適用が“適用される”であるエントリを検索することにより選択する。また、輸入規制に関する法規については、安全性評価部２０６ｂは、輸出入関連法規テーブル２２５から、国コードがＤＣの国とし、種別が“輸入”であるエントリを検索することにより選択する。

　次いで、安全性評価部２０６ｂは、選択した法規データ数分、ステップＳ６４～Ｓ６８の処理を繰り返し実行する。

　すなわち、安全性評価部２０６ｂは、輸出管理情報テーブル２２３から登録対象のファイルの評価コードを取得し（ステップＳ６５）、対応する法規判定ルールテーブル（２２６、２２７）に対して、評価コード、ＤＣ１０の所在地の国を用いて、ＤＣ１０の所在国に対する輸出及び輸入についての判定結果を取得する（ステップＳ６６）。

　次いで、安全性評価部２０６ｂは、判定結果が問題なしか、問題なし以外であるかを判定し（ステップＳ６７）、判定結果が問題なしの場合には、ステップＳ６８に進む一方、判定結果が問題なし以外である場合には、ステップＳ６９に進む。

　ステップＳ６９では、安全性評価部２０６ｂは、判定結果の詳細を作成する。安全性評価部２０６ｂは、例えば、安全性に問題ありと判断した法規の名称や、評価コードの内容から詳細（例えば、「輸出規制」：許可要　法規名「ＥＡＲ」）を作成する。

　ステップＳ６４～６８の処理の繰り返しを終えた場合、又は、ステップＳ６９を実行した場合には、評価結果テーブル２３０の輸出入安全性２３０ｄ、輸出入安全性詳細２３０ｅに対応する内容を含めたレコードを登録し（ステップＳ７０）、処理を終了する。なお、評価結果テーブル２３０に、同一のファイルＩＤであり、且つ同一のＤＣ名のレコードが登録されている場合には、当該レコードの内容を更新する。

　ここで、輸出入管理に関する安全性評価処理について、具体的な例を用いて説明する。

　例えば、ステップＳ６３においては、輸出入関連法規テーブル２２５が図１１に示すように設定されており、ファイルを登録しようとしているクラウドユーザが所在している国の国コードが“ＡＡ”であり、輸出を判定する場合には、国コードが“ＡＡ”であり、且つ、種別が“輸出”のレコード、すなわち、図１１の輸出入関連法規テーブル２２５の一番上のレコードが選択される。

　そして、ステップＳ６５においては、図９の輸出管理情報テーブル２２３の中の登録対象のファイルのファイルＩＤ（ここでは、“Ｆ００１”とする）に対応し、且つステップＳ６３で選択したレコード中の判定パラメータである“リスト規制該非“に対応する評価コード”該当“を取得する。

　そして、ステップＳ６６においては、リスト規制該非を判定するための図１２の法規判定ルールテーブル２２６を用いて、ファイルをアップロードしようとしているＤＣ１０の所在地（ここでは、“ＢＢ”とする）を輸出先とし、評価コードが“該当”とする場合の判定結果（ここでは“許可要”）を取得する。これにより、アップロードしようとしているＤＣ１０に対して対象のファイルをアップロードするには、輸出許可が必要であることが判定される。なお、輸出入関連法規テーブル２２５から、許可が必要であるとする法規の名称が、外国為替及び外国貿易法であることがわかる。

　次に、データ開示・差押えに関する安全性評価処理（図２６のステップＳ５２）について説明する。

　図２８は、実施形態に係るデータ開示・差押えに関する安全性評価処理のフローチャートの一例である。

　データ開示・差押えに関する安全性評価処理では、安全性評価部２０６ｂは、ファイルリストテーブル２２０と、ユーザ情報テーブル２２１とに基づいて、引数の対象ファイルＩＤのファイルを登録するクラウドユーザのユーザ国コードを取得する（ステップＳ７１）。次いで、安全性評価部２０６ｂは、ＤＣ情報テーブル２２２から、引数の対象ＤＣ名に対応する所在地コードを取得する（ステップＳ７２）。

　次いで、安全性評価部２０６ｂは、受容基準情報テーブル２２４から対象ファイルについての受容基準を取得する（ステップＳ７３）。

　次いで、安全性評価部２０６ｂは、受容基準情報テーブル２２４の属性（本実施形態では、データ開示と、データ差押え）毎に、ステップＳ７４～Ｓ７７の処理を繰り返し実行する。

　すなわち、安全性評価部２０６ｂは、対象とする属性について、データ開示・差押えリスクテーブル２２９に基づいて、対象のＤＣ１０の所在地における安全性を評価する（ステップＳ７５）。例えば、受容基準情報テーブル２２４において、データ開示が“許容できない”となっている場合において、データ開示・差押えリスクテーブル２２９のＤＣ１０の所在地の国コードに対するデータ開示についての値が“あり”となっている場合には、許容できないリスクがあることを意味しているので、「問題あり」と判定される。なお、受容基準情報テーブル２２４において、「許容できる」となっている場合には、データ開示・差押えリスクテーブル２２９の値によらず、「問題なし」と判定される。

　次いで、安全性評価部２０６ｂは、判定結果が問題なしか、問題ありであるかを判定し（ステップＳ７６）、判定結果が問題なしの場合には、ステップＳ７７に進む一方、判定結果が問題ありの場合には、ステップＳ７８に進む。

　ステップＳ７８では、安全性評価部２０６ｂは、判定結果の詳細を作成する。安全性評価部２０６ｂは、例えば、安全性に問題ありと判定したリスクの内容や、関連する法規名を作成する。

　ステップＳ７４～７７の処理の繰り返しを終えた場合、又は、ステップＳ７８を実行した場合には、評価結果テーブル２３０のデータ開示等の安全性２３０ｆ、データ開示等の安全性詳細２３０ｇに対応する内容を登録し（ステップＳ７９）、処理を終了する。

　なお、本実施形態において、データ開示・差押えリスクテーブル２２９においては、リスクを「なし」、「あり」の２段階で表現していたが、本発明はこれに限られず、法規の有無だけではなく、データ開示や、データ差押えの事例の件数を考慮して、３段階以上で表現してもよい。この場合には、受容基準情報テーブル２２４においても、３段階以上での定義が行われることとなる。このようにした場合には、ステップＳ７５において、データ開示・差押えリスクテーブル２２９におけるリスクの段階が、受容基準情報テーブル２２４に定義された受容基準の段階以下であれば、問題なしと判定し、上回れば、問題ありと判定すればよい。

　また、データ開示・差押えに関する安全性評価処理においては、一つの属性でも問題ありとなれば、全体の評価を問題ありと判定しているが、判定の基準をユーザが設定するようにしてもよく、例えば、「データ開示、データ差押えのリスクの両方が受容基準より２段階上回ったら警告を出す」といった判定基準の設定をユーザから受け付け、当該判定基準に従って判定するようにしてもよい。

　次に、データ属性追加更新処理について説明する。

　図２９は、実施形態に係るデータ属性追加更新処理のフローチャートの一例である。

　データ属性追加更新処理は、データ属性を登録した後において、データ属性の追加、変更が必要となった場合に実行される処理であり、例えば、ユーザデータに対する安全性を充足するＤＣを検索して表示する安全性充足ＤＣ検索処理で呼び出されて実行される場合や、クラウドユーザによりクライアント３００を介して要求された場合に実行される。

　安全性評価情報制御部２０６ｄがデータ属性更新要求を受け取ると、データ属性追加更新処理の実行を開始し（ステップＳ８１）、輸出入関連法規テーブル２２５のエントリ数分、ステップＳ８２～Ｓ８６の処理を繰り返し実行する。

　安全性評価情報制御部２０６ｄは、輸出入関連法規テーブル２２５の処理対象のエントリから輸出入管理に関する安全性判定に必要な判定パラメータを取得し、当該判定パラメータに対する値（評価コード）を入力するための入力画面を表示するためのデータを生成し、クラウドユーザのクライアント３００のモニタ３０６に対して、入力画面を表示する（ステップＳ８３）。

　クラウドユーザのクライアント３００では、アプリケーション３０８が、入力画面に対するクラウドユーザの入力デバイス３０５による判定パラメータに対する評価コードの入力を受け付け、入力完了ボタンがクリックされると、入力完了ボタンが押下された旨の情報（入力完了通知）と、入力された判定パラメータに対する評価コードを、安全性評価マシン２００に送信する。ここで、クラウドユーザは、不明な判定パラメータについては、評価コードを入力しなくてもよい。なお、入力しなかった判定パラメータに関しては、安全性の評価結果は問題なしにはならない。

　安全性評価情報制御部２０６ｄは、クライアント３００から入力完了ボタンに対するクリック（入力完了通知）を受信すると（ステップＳ８４）、入力された評価コードを読み込み、輸出管理情報テーブル２２３の対応する評価コード２２３ｃを読み込んだ評価コードに更新し（ステップＳ８５）、ステップＳ８６に進む。

　輸出入関連法規テーブル２２５のエントリ数分、ステップＳ８２～Ｓ８６の処理の繰り返しを終了すると、安全性評価情報制御部２０６ｄは、データ属性設定画面２５０１の受容基準設定領域２５０６を有する受容基準設定画面を表示するためのデータを生成し、クラウドユーザのクライアント３００のモニタ３０６に対して、受容基準設定画面を表示する（ステップＳ８７）。

　次いで、安全性評価情報制御部２０６ｄは、クライアント３００から受容基準設定画面に対する入力データを受信し（ステップＳ８８）、受容基準情報テーブル２２４を入力されたデータで更新する（ステップＳ８９）。これにより、輸出管理情報テーブル２２３と、受容基準情報テーブル２２４とを新たな内容に更新することができる。

　次に、安全性再評価処理について説明する。

　図３０は、実施形態に係る安全性再評価処理のフローチャートの一例である。

　計算機システムにおいては、データの安全性を適切に評価できるようにするために、ＤＣ１０の所在地が変更されたり、各国の法規が変更されたりした場合には、安全性評価情報ＤＢ２０９のデータを変更する必要がある。また、クライアントユーザが安全性評価情報ＤＢ２０９のデータ属性情報を変更したい状況も発生する。このように、安全性評価情報ＤＢ２０９のデータを変更した場合においては、以前のデータの安全性の評価は、その時点においては適切な評価ではないので、新たに評価する必要がある。

　安全性再評価処理は、データの安全性の評価を見直す必要がある状況を検知し、新たな評価結果を表示する処理である。

　安全性監視マネージャ部２０６ａは、安全性評価情報ＤＢ２０９のデータが変更されたことを検知すると、安全性評価部２０６ｂに対して、安全性再評価処理を開始させる（ステップＳ９０）。安全性評価部２０６ｂは、変更されたデータがＤＣ情報２１４、法規情報２１３、ユーザ情報２１１、データ属性情報２１２のいずれであるかを判定する（ステップＳ９１）。

　変更されたデータがＤＣ情報２１４である場合（ステップＳ９１でＤＣ情報）には、安全性評価部２０６ｂは、情報が変更されたＤＣに管理されていた全てのファイルのファイルＩＤをリストファイルテーブル２２０から選択し、再評価対象リストに格納する（ステップＳ９２）。また、変更されたデータが法規情報２１３である場合（ステップＳ９１で法規情報）には、安全性評価部２０６ｂは、リストファイルテーブル２２０の全ファイルのファイルＩＤを再評価対象リストに格納する（ステップＳ９３）。また、変更されたデータがユーザ情報２１１である場合（ステップＳ９１でユーザ情報）には、安全性評価部２０６ｂは、リストファイルテーブル２２０から、変更されたユーザの全ファイルのファイルＩＤを選択し、再評価対象リストに格納する（ステップＳ９４）。また、変更されたデータがデータ属性情報２１２である場合（ステップＳ９１でデータ属性情報）には、安全性評価部２０６ｂは、属性が変更されたファイルのファイルＩＤを再評価対象リストに格納する（ステップＳ９５）。

　次いで、安全性評価部２０６ｂは、再評価対象リストの各ファイルについて、ステップＳ９６～Ｓ１０１の処理を実行し、全てのファイルに対する処理を終えた後に、安全性再評価処理を終了する。

　安全性評価部２０６ｂは、対象のファイルのファイルＩＤと、当該ファイルが格納されているＤＣ名とを引数として、安全性評価登録処理（図２６）を実行する（ステップＳ９７）。次いで、安全性評価部２０６ｂは、評価結果テーブル２３０から安全性の評価結果（ＤＣの安全性２３０ｃの値）を取得し（ステップＳ９８）、安全性の評価結果がＯＫであるか、ＮＧであるかを判定する（ステップＳ９９）。

　この結果、安全性の評価結果がＯＫである場合（ステップＳ９９でＯＫ）には、ステップＳ１０１に進む一方、安全性の評価結果がＮＧである場合（ステップＳ９９でＮＧ）には、評価結果をユーザに通知し（ステップＳ１００）、ステップＳ１０１に進む。ここで、ユーザへの通知方法としては、クラウドユーザのクライアント３００に、評価結果画面２２００（図２２、２３）を表示するようにしてもよく、また、予めクラウドユーザのメールアドレスを記憶しておき、当該メールアドレス宛てに、評価結果を含む電子メールを送信するようにしてもよい。これにより、クラウドユーザは、自身のファイルの安全性の評価がＮＧになったことを適切に把握することができる。

　次に、安全性充足ＤＣ検索処理について説明する。

　図３１は、実施形態に係る安全性充足ＤＣ検索処理のフローチャートの一例である。

　安全性充足ＤＣ検索処理は、ユーザデータに対する安全性を充足するＤＣを検索して表示等する処理であり、評価結果画面２２００（図２２、図２３）における安全性を満たすセンタを表示ボタン２２０６のクリックを受信した場合、又は、クラウドユーザによりクライアント３００を介して一覧表示要求を受信した場合に実行される。

　安全性評価部２０６ｂは、安全性を満たすセンタを表示ボタン２２０６のクリックを受信した場合、又は一覧表示要求を受け取った場合には、安全性充足ＤＣ検索処理の実行を開始し（ステップＳ１１１）、安全性評価情報制御部２０６ｄに、対象とするファイルのファイルＩＤを引数として、データ属性追加更新処理（図２９）を実行させる（ステップＳ１１２）。

　次いで、安全性評価部２０６ｂは、ＤＣ情報テーブル２２２に登録されている各ＤＣを対象に、ステップＳ１１３～１１５の処理を繰り返し実行する。

　安全性評価部２０６ｂは、対象のファイルのファイルＩＤと、対象のＤＣのＤＣ名とを引数にして、安全性評価登録処理（図２０）を実行し（ステップＳ１１４）、ステップＳ１１５に進む。

　各ＤＣを対象にしてステップＳ１１２～Ｓ１１５の処理を実行した後、安全性評価部２０６ｂは、評価結果テーブル２３０から評価結果を取得し（ステップＳ１１６）、評価結果に基づいて、ＤＣ候補表示画面３２００（図３２）を表示するためのデータを生成し、クラウドユーザのクライアント３００のモニタ３０６に対して、ＤＣ候補表示画面３２００を表示させ（ステップＳ１１７）、処理を終了する。

　図３２は、実施形態に係るＤＣ候補表示画面の一例である。

　ＤＣ候補表示画面３２００には、安全性評価の対象のファイル名を表示するファイル名表示領域３２０１と、アップロード先のデータセンタ名を表示するデータセンタ名表示領域３２０２と、安全性の評価結果を表示する評価結果表示領域３２０３と、評価結果の詳細を表示する詳細表示領域３２０４と、安全性の評価結果がＯＫであった他のデータセンタを表示するデータセンタ選択領域３２０５と、預け入れるデータセンタを決定したことを確定するためのＯＫボタン３２０６と、他のデータセンタへの預け入れをキャンセルするためのキャンセルボタン３２０７とが表示される。

　データセンタ選択領域３２０５には、データの預け入れ先とするデータセンタを選択するためのラジオボタンが表示されている。本実施形態においては、ＯＫボタン３２０６が押下されたことを、安全性評価マシン２００のデータ配置管理部２０６ｃが受信すると、対応するファイルのデータを、選択されたデータセンタ１０のサーバ１００に対してアップロードし、ファイルリストテーブル２２０にアップロードしたファイルについての配置情報（データセンタ名）を追加する。

　以上、実施形態を説明したが、本発明は、この実施形態に限定されるものでなく、その趣旨を逸脱しない範囲で種々変更可能であることはいうまでもない。

　例えば、上記実施形態では、図３１に示す安全性充足ＤＣ検索処理は、ユーザのクライアント３００における操作指示をきっかけに開始するようにしていたが、本発明はこれに限られず、例えば、安全性の評価結果がＮＧである場合に、ユーザの操作指示によらず、自動的に開始するようにしてもよい。また、この際に、再配置先のＤＣを決定する選択ルール（例えば、安全性がＯＫであるＤＣの中でＤＣ名がアルファベット順で一番前のものを再配置先とするルール）を予め設定しておき、当該ルールに従って、対象のファイルを決定されたＤＣに自動的に再配置するようにしてもよい。

　また、上記実施形態では、クライアント３００とは別の計算機に、安全性評価プログラム２０６を格納した例を示していたが、本発明はこれに限られず、例えば、クライアント３００内に安全性評価プログラム２０６を格納して処理を実行させるようにしてもよい。すなわち、クライアント３００を安全性評価マシンとして利用してもよい。

１０　データセンタ、１００　サーバコンピュータ、２００　安全性評価マシン、３００　クライアント

Claims

　クライアント計算機と、安全性評価計算機と、サーバ計算機とを有する計算機システムで実行される安全性評価方法であって、
　サーバ計算機が所在する地域の地域ＩＤであるサーバ地域ＩＤに基づいて、前記サーバ計算機への格納に関する、前記クライアント計算機のデータであるユーザデータ、の安全性を評価して、安全性の評価結果を表示する
安全性評価方法。
　前記ユーザデータの安全性の評価を、さらに、前記ユーザデータを格納した前記クライアント計算機が所在する地域の地域ＩＤであるクライアント地域ＩＤに基づいて行う
請求項１に記載の安全性評価方法。
　前記ユーザデータの安全性の評価を、前記サーバ地域ＩＤに対応する地域における法規情報に基づいて行う
請求項２に記載の安全性評価方法。
　前記ユーザデータに対する安全性の評価に関わる属性情報を受け付け、
　前記属性情報に基づいて、前記ユーザデータの安全性の評価を行う
請求項３に記載の安全性評価方法。
　前記法規情報は、前記サーバ地域ＩＤに対応する地域におけるサーバ計算機に格納されたデータに対する開示又は差押えの法規の有無に関する情報を含み、
　前記法規情報に基づいて、前記ユーザデータに対する開示又は差押えに関する安全性の評価を行う
請求項４に記載の安全性評価方法。
　前記クライアント計算機のユーザの前記ユーザデータに対する開示又は差押えを受容するか否かの基準に基づいて、前記ユーザデータに対する開示又は差押えに関する安全性の評価を行う
請求項５に記載の安全性評価方法。
　前記法規情報は、前記サーバ計算機に格納されたデータに対する開示又は差押えの法規についての法規名を含み、
　前記ユーザデータに対する開示又は差押えに関する安全性の評価が、安全性に問題があるとの評価である場合には、問題があると判定した法規名称を表示する
請求項６に記載の安全性評価方法
　前記法規情報は、前記クライアント地域ＩＤに対応する地域におけるデータについて輸出規制に関する法規の情報を含み、
　前記法規情報に基づいて、前記ユーザデータの輸出に関する安全性の評価を行う
請求項７に記載の安全性評価方法。
　前記ユーザデータに対する前記属性情報、又は、前記法規情報が変更された場合に、前記ユーザデータの安全性を再評価し、
　再評価の結果を表示する
請求項８に記載の安全性評価方法。
　前記ユーザデータの安全性に問題がない地域に所在する他のサーバ計算機を検出し、前記他のサーバ計算機の情報を表示する
請求項９に記載の安全性評価方法。
　前記他のサーバ計算機の中のいずれかのサーバ計算機に、前記ユーザデータを再配置させる
請求項１０に記載の安全性評価方法。
　プロセッサと、記憶装置とを有する安全性評価計算機であって、
　前記記憶装置は、データを格納可能なサーバ計算機が所在する地域の地域ＩＤであるサーバ地域ＩＤと、当該地域におけるデータの安全性の評価に関係する情報とを対応付けて記憶し、
　前記プロセッサは、
　前記サーバ地域ＩＤに基づいて、前記サーバ計算機へデータを格納する際におけるデータについての安全性を評価し、
　安全性の評価の結果を所定の装置に表示する
安全性評価計算機。
　前記記憶装置は、前記サーバ地域ＩＤと、前記サーバ地域ＩＤの地域におけるデータの安全性の評価に関係する法規情報とを対応付けて記憶し、
　前記プロセッサは、前記サーバ地域ＩＤと、前記法規情報とに基づいて、前記サーバ計算機へデータを格納する際におけるデータについての安全性を評価する
請求項１２に記載の安全性評価計算機。
　前記法規情報は、前記サーバ地域ＩＤの地域におけるサーバ計算機に格納されたデータに対する開示又は差押えの法規の有無に関する情報を含む
請求項１３に記載の安全性評価計算機。
　前記記憶装置は、前記データを記憶するクライアント計算機の所在する地域の地域ＩＤであるクライアント地域ＩＤと、前記クライアント地域ＩＤに対応する地域におけるデータについて輸出規制に関する法規情報を含み、
　前記法規情報に基づいて、前記ユーザデータの輸出に関する安全性の評価を行う
請求項１３に記載の安全性評価計算機。