事業所グローバル展開時の IT インフラ・考 (2) ~ クラウドのグローバル展開における法的課題の検討
前回は「事業所グローバル展開時の IT インフラ・考 (1) ~ 情報共有システムの基本設計」で、グループウェアをグローバル展開する際の課題について紹介しました。今回は、その中で後半に少し取り上げた「法的課題への対応」について反響がありましたので、この部分についてもう少し掘り下げてご紹介をしたいと思います。ちょっと込み入った話になってしまいますが、ご了承ください。
グローバル展開時に課題となる法的課題については、主に以下の点になるかと思います。
- 米国愛国者法への対応
- 個人情報保護法への対応
- 輸出管理規制への対応
- 準拠法と管轄裁判所
これらの中には、誤解が広がっているものや、抽象的なリスクとして漠然ととらえられているものもあります。それぞれの点について、簡単にポイントをご紹介します。
米国愛国者法に関する懸念と誤解
まず、よく巷で言われるのが、米国の愛国者法 (USA Patriot Act of 2001)への懸念です。データが米国にあったり、米国企業の管轄下に入ったりすると、米国政府がデータを自由に閲覧したり没収されたりするのではないかということです。日本では、懸念を増幅するような書き方をしている解説も多く見受けられ、お客様からもよくお問い合わせを受けます。
しかし、米国愛国者法は、もともとテロ事件、スパイ行為やマネーロンダリングへの捜査権限強化を目的としており、その対象範囲は限定的です。これらの事項に関係していない一般企業にはほとんど関係のない法律で、ましてや米国政府にオンラインデータへの自由なアクセスを提供するものではありません。また、そもそも政府による企業データへのアクセス権限は米国特有のものではなく、もともと世界各国の政府もしかるべき法的手続きを踏むことで、データが物理的にどこにあってもクラウドベンダーに閲覧・没収の請求をする可能性があります。よって、このリスクは米国政府特有のものではなく、また元々昔から存在していることなのです。そして、このリスクはクラウドだから存在するものではなく、内部設置のシステムであっても、政府の法的手続きがあれば、企業はデータを差し出す必要がありますので、クラウドか内部設置かにはよらないリスクなのです。
詳しい解説については、コヴィングトン&バーリング法律事務所が公開している「USAパトリオット法とクラウド・サービスの利用質疑応答」をご覧ください。(日本語でご覧いただけます)
個人情報保護法への対応はグローバルクラウドベンダーも可能
また、個人情報保護の観点からもグローバル展開における不安の声がよく聞かれます。日本の法制への対応はもちろんのこと、EUのデータ保護指令への対応も必要です。この項目については、クラウドベンダー側の対応によって、対応の可否が異なってきます。
クラウドベンダーによっては、顧客がクラウドにアップロードしている個人情報を自社のビジネスに活用しやすくするためにポリシーを変更したり、各国の法制に従わない場合もあるようですが、マイクロソフトでは、お客様がクラウドにアップロードしたデータは、各国の法制に準拠する形で扱い、その内容を勝手に閲覧して自社の利益にすることはありません。
また、「クラウドを使うとプライバシーマークや ISMS は取得できないのでは?」と思われる方もいらっしゃるかもしれませんが、現に米国マイクロソフトコーポレーションの日本法人である日本マイクロソフト株式会社は、一般財団法人日本情報経済社会推進協会 (JIPDEC)が管轄するプライバシーマークを取得しています。マイクロソフトの場合、ISO27001、FISMA、EU Safe Harborなどの国際的に権威のある認定を受けていると同時に、日本でも世界各国でプライバシーについてどのように運用されているかという情報の取得と管理を厳しく行い、世界全体でレベルをあげる取り組みを行っている結果として、プライバシーマークの取得が可能となっています。また、マイクロソフトでは取得している認定やセキュリティ・プライバシーへの取り組みについてお客様に公開しています。マイクロソフトのグループウェア クラウドサービスである Microsoft Office 365 を例に出すと、取得している認定の詳細は、Office 365セキュリティセンターの「セキュリティ監査と証明書」で閲覧することができます。
ちなみに、個人情報保護法制への対応の半分はクラウドベンダー側になりますが、もう半分はユーザー企業側で対応する必要がありますので、自社で個人情報保護への取り組みについてどうするか検討することもお忘れなく。
輸出管理規制におけるグレーゾーン
お客様によっては、取扱製品の中に兵器や兵器に転用可能な汎用品等の特定技術を扱っている場合があると思います。これらの物品を輸出する際には、経済産業大臣の許可が必要となりますが、これを扱う外国為替および外国貿易法 (外為法)がクラウドのグローバル展開と関係してくる場合があります。一見、なぜ外為法とクラウドが関係をしてくるのか考えさせられますが、クラウドにこれらの特定技術のデータがアップロードされる場合、仕組みと方法によっては「外国への技術の提供=輸出」と解釈できる余地が残っているからです。もちろん、外為法自身はクラウドの規制のための法律ではありませんが、現状の枠組みではグレーゾーンが残っているという解釈もできてしまいます。この点については、今後の行政の適切な対応と整理を期待したいところです。外為法の解釈について不明点がある場合は、経済産業省にお問い合わせください。
準拠法と管轄裁判所は日本
グローバルに展開するクラウドの場合、準拠法や管轄裁判所が米国などの海外になっている場合があります。マイクロソフトのOffice 365の場合は、準拠法は日本法、管轄裁判所は基本的に東京地方裁判所となっています。
クラウドの法的課題を検討する特集が始まります
今回ご紹介した内容は、あくまでも概要にすぎませんが、より詳細な情報について、法務の分野では割と良く読まれている雑誌NBLで、米国愛国者法、個人情報保護法制、著作権法制、輸出管理規制、事業分野別の規制など、クラウドをグローバル展開する際に課題になってくる事項について「クラウドコンピューティング関連法の実務的諸問題」という形で連載が開始されていますので、こちらをご参照いただくことでより詳しい情報が手に入ります。NBL 976(2012.5.1)号の第一回連載は「第1回 総論・米国愛国者法」です。7/15号まで計6回に渡って連載される予定です。
次回は、グローバル展開をする上で便利な機能やツールと、実際にグローバル展開を行ったお客様事例をご紹介したいと思います。
「事業グローバル展開時の IT インフラ・考」シリーズ
事業所グローバル展開時のIT インフラ・考(1) ~ 情報共有システムの基本設計
事業所グローバル展開時の IT インフラ・考 (2) ~ クラウドのグローバル展開における法的課題の検討