グローバルクラウドに潜む法的課題：世界で勝つ 強い日本企業のつくり方（2/3 ページ）

[水越尚子，ITmedia]

クラウドと情報管理のグローバル化

　クラウド型サービスの有効性が広く伝わる一方で、同サービスの法的、政策的、社会的な問題点については、今もなお議論が交わされている。

　法律や政策は通常、国単位で立案、施行される。条約がある分野でも、条約に加盟しない国には義務が生じないし、条約を執行するための国内法の規定には一定の幅があることが多い。特にパブリッククラウドにおけるデータは国外で管理され、そのデータが国を移転しながら保管される場合もある。

　クラウド型サービスが始まる以前は、社内で管理するIT資産や情報は自社サーバや社員のPCに保存されていた。従業員や業務委託先のベンダーが作成／上書きした情報やアクセスログだけでなく、情報漏えいの痕跡さえも社内に残った。グローバル規模でクラウド型のサービスを活用する場合には、従来とは異なるデータの管理が求められる。

（図1：左）クラウドが登場する前、（図2：右）クラウドが登場した後

クラウド上のデータ保護の法的要素

　大規模なデータをクラウドで集積、処理する際は、1つのサービスについて複数の国の法律が適用される可能性がある。

クラウドサービスプロバイダーへの個人データ保護に関する法律は、データセンターが所在する国のものが適用される。米国ではElectronic Communications Privacy Act （ECPA:電気通信プライバシー法）に基づき、令状なしで行う捜査当局に対する通信の開示を禁止する一方、PATRIOT Act（愛国者法）により捜査当局の権限が強化されており、日本の規定と異なっている。海外のデータセンターで営業秘密が漏えいした場合、当該行為者を罰する法律の有無や要件は、当該国の法律の適用による場面が多い。

　クラウドサービスプロバイダーには、サービスを使う企業の合理的な関心事と懸念に答える説明責任（アカウンタビリティ）が求められていく。またコスト、品質、利益面ですぐれたクラウド型サービスがグローバル市場で競争をしている以上、あらゆるユーザー企業はこの競争に参加し、議論をリードしていかなければならない。

　これは国内企業においても同じだ。例えベンダーが「日本にデータを保管しておけば安全」という点のみを訴求しても、長期間にわたる企業の満足を得られなくなっている。仮に日本企業が安心のために諸外国と異なるガイドラインを策定すれば、海外の企業が日本でクラウド型サービスを提供しにくくなる。これは企業のクラウド型サービスに対する選択肢をせばめることにもつながってくる。

　ベンダーが国外に進出しやすくなり、かつ企業が潤沢にサービスを選択できるようにするには、国の政策としても、クラウド型サービスに対する考えを共有する国や地域とパートナーシップを持ち、世界で孤立せず、合理的な理由なく他国を排除しない法やガイドラインの整備を進める必要があるだろう。