情報保護の観点で選ぶべきクラウドとは?世界有数の厳格な基準にも対応

いま、企業がクラウドサービスを選択する際、意外と盲点となりがちなのが“データの取り扱い”についてだ。クラウドで顧客情報や個人情報を扱う場合には、国内外の個人情報保護法制への対応、さらには法改正の最新動向への配慮が必須だ。しかし、ユーザー情報を取り扱う上での規制や法対応の状況について詳細に説明しているクラウドベンダーはまだまだ少ない。そうした中、この問題に積極的に取り組み、世界でも厳しいとされるEUのプライバシー関連法を高い水準で満たしているのが「Microsoft Dynamics CRM Online」をはじめとするマイクロソフトのクラウドサービス群だ。

» 2014年06月06日 10時00分 公開
[PR/ITmedia]
PR

急速な変化と企業に求められる的確な対応

 個人情報は企業にとって、極めて貴重な資産の1つである。その適切な活用によって、新たなビジネスの可能性を見出すことができるほか、アフターサポートの強化による顧客のつなぎ止め、組織レベルでの営業活動の効率化など、多様なメリットを見込める。

 他方で、個人情報は個人を特定できるものだけに、漏えい事故や悪用事例があると、個人が大きな不利益をこうむることは間違いない。そこで、これまで多くの国々で個人情報保護のルールやガイドラインが策定され、企業はコンプライアンスの観点からその順守に力を入れてきた。

 近時、技術革新による新サービスの登場や、個人の権利意識の高まりを背景に、個人情報保護への配慮が、グローバルでいっそう強く求められる傾向にある。データベースの進化と分析ツールの高度化は、断片的な情報を集積し、個人を特定することを容易にする。また、浸透するクラウドサービスは、信頼性向上の観点から国外を含む複数拠点でのデータの分散保持が一般的だが、これも個人情報保護の観点からはリスクを高める要素となる。

 グローバルIT企業として国内外の制度に対応している日本マイクロソフトの法務・政策企画統括本部 法務本部長の舟山聡氏は、「ITの急速な進化により、個人情報保護とデータ活用をいかにバランスさせるのかが、グローバルでお客さま企業の大きな課題となっています。技術動向や国内外のプライバシー保護の最新状況を踏まえた個人情報保護ルールへの的確な対応が、コンプライアンスの観点からも重視されるようになっているのです」と説明する。

世界で最も厳格なEUの規制に準拠する理由

 欧州は世界で最も個人情報保護に厳しい地域の一つとされている。欧州では、1980年の「OECDプライバシーガイドライン」、1995年の「EU個人データ保護指令」などの採択を経て、EU域内で生成された個人情報の、十分な保護が行われていない第三国に持ち出しが原則として禁じられている。現在、持ち出しが認められているのは、スイスやカナダなどわずか数カ国。米国や日本など多くの国々は、いまだ十分な保護がなされていない国とみなされている。

日本マイクロソフト 法務・政策企画統括本部 法務本部長の舟山聡氏 日本マイクロソフト 法務・政策企画統括本部 法務本部長の舟山聡氏

 ITが企業活動の基盤として不可欠な存在となり、クラウドの活用が拡大する中で、これは大きな問題と言える。クラウドではデータ保護を目的としたバックアップ作業が行われる。だが、EU域内のデータセンター(DC)で管理するデータをEU域外国のDCに移転させた場合には、EUの情報管理ルールに抵触するとみなされ、最悪の場合には制裁金が科されかねない。

 これに対して、クラウドベンダーは各種の対応を図ってきた。その1つが、米国がEUと締結した「セーフハーバー協定」である。これは、米国企業が米国商務省に対して、自己査定によりデータ保護の安全性を宣言することで、EUから米国への個人情報の持ち出しを認める取り決めである。

 だが、米国以外はセーフハーバー協定を利用することは不可能だ。そこで、それ以外の国への持ち出しのために利用されているのが、「EUモデル契約条項」である。ITベンダーとのサービス契約に同条項が含まれていれば、ベンダーによりデータがEU以外の国のDCに移された場合でも、顧客はEUの個人データ保護措置の適切な手続きをとっているとみなされる。すなわち、日本企業がEU域内のデータに関してITサービスを契約をする際には、本条項が契約に含まれているかを確認するとよい。世界でも有数の厳格なEUのルールに準拠していることが確認できれば、EU以外の国や地域での利用についても安心して利用できるだろう。

 「米国のセーフハーバー協定は、そのフレームワークそのものや自己認証である点への疑念が浮上しており、近年ではEUモデル契約条項の方が安全性を確保する上でより有効と捉えられるようになっています」(舟山氏)

最も厳しい“EUのプライバシー関連法”を高水準で満たした唯一のクラウド

 ただし、EUモデル契約条項への対応は極めて困難な道のりでもある。EUの保護指令の実践法はEU各国に一任されている。また、各国のデータ保護庁が規定するEUモデル契約条項のチェックプロセスも統一されていないため、その作業に多くの手間と時間を要すためだ。

 そうした中、マイクロソフトは2014年4月、同社のエンタープライズ・クラウドサービスの契約とその運用が、EUのプライバシー関連法を高い水準で満たしているとの認定を獲得した。注目されるのは、マイクロソフトがこの認定を受けた最初かつ、現時点で唯一の企業である点だ。認定を獲得したのは、クラウド プラットフォーム「Microsoft Azure」、クラウド型グループウェア「Office365」、PCセキュリティ管理の「Windows Intune」、そして顧客情報の組織的な活用に必須と言えるCRMアプリケーション「Microsoft Dynamics CRM Online」だ。

 経済活動が国境を越えて拡大し、今や欧州に拠点を構える日本企業も少なくない中で、データを安全に利用するとともに、コンプライアンスの観点から無用なトラブルを避けるためにも、EUモデル契約条項への対応は非常に重要であると舟山氏は語る。

認定されたマイクロソフトのエンタープライズ クラウドサービス

 「マイクロソフトのクラウドにおけるEUモデル契約条項対応が、EUの29条作業部会から認定を受けたことで、お客さまの側のコンプライアンス確認手順はかなり軽減されることになりました。マイクロソフトのクラウドサービスを利用する限り、EUの厳格な個人データ保護法制上のリスクをコントロールでき、安心してお使いいただくことができます。他社のパブリッククラウドサービスとの比較において優位な一面と言えるでしょう」(舟山氏)

大きな改正の時期を迎える日本の個人情報保護法に向けて

 マイクロソフトは、セキュリティへの信頼を獲得するために、自社のクラウドサービスに関する情報を積極的に公開している。プライバシーポリシーはもちろんのこと、各種認証の取得状況や、データの二次委託先や所在国など多岐にわたる情報をWebサイトに公開。例えば、各国規制当局からのデータ開示要求に対する具体的な対応プロセスを説明するなど、クラウド利用にまつわる顧客からの疑問に対応すべく透明化に取り組んでいる。

 「個人情報に関する法令コンプライアンス状況は、海外における対応まで含めると、リソースやリスク許容度の違いもあるため、個々の企業によって大きく異なります。このような中、マイクロソフトは、各国の法制を理解した上で、ITサービスベンダーとして責任を負う部分について確実に対応し、順守すべき法令を守ることを基本的な姿勢としています」(舟山氏)

 EUの認定を受けたモデル契約条項対応は、今年7月1日の契約から利用可能になる。また、既存ユーザーもマイクロソフトにリクエストすることで、EUモデル契約条項に対応できるよう、現在、準備が進められている最中だ。

 国内における個人情報保護に対する意識は、諸外国に後れをとっているとの声もあるが、舟山氏は必ずしもそうではないと言う。OECDガイドラインなどを踏まえて策定された個人情報保護法は、2005年から施行されてきた。プライバシーマークの取得など、企業の取組みも活発に行われてきている。ただし、技術革新が急速に進展した結果、ビッグデータとして活用可能なデータの再定義や匿名化技術、海外でのデータ管理を含め、以前は想定外の事態への対応に迫られていることもまた事実である。わが国でも現在、政府の「パーソナルデータに関する検討会」で内閣官房の情報セキュリティ室を中心に法改正のための議論が行われており、2015年初頭の改正法案提出に向け、作業は詰めの段階に差し掛かっている。

 日本の個人情報保護法も大きな改正の時期を迎えているところであるが、世界で最も厳格とされるEUの個人情報保護ルールにいち早く対応したマイクロソフトのクラウドであれば、こうした法改正にも速やかに対応していくことが期待できるであろう。

“最適解”としてのマイクロソフトクラウド

 舟山氏が企業のクラウド利用のポイントに挙げるのが「情報収集」「社内連携」「比較検討」「決断力」である。

 このうち、クラウドの情報収集の大切さについては、改めて説明する必要はないだろう。

 クラウドサービスの全社導入をする場合には、IT部門だけでなく、財務部門、法務部門、コンプライアンス部門、マネジメントなどが連携して検討を進めるべきである。これが欠けてしまうと、契約直前でかなりの手戻りとなるケースも少なくない。

 そして、クラウドの比較検討を入念に実施する。この際に、今回取り上げたEUのプライバシールール対応は、一つの重要なベンチマークとなるであろう。

 「単なる機能比較のみならず、コンプライアンス対応比較や契約条項比較も行っていただくことが望ましいでしょう。例えば、準拠法と管轄に関する契約条項は、紛争時の提訴にかかわるため極めて重要です。マイクロソフトでは基本的に、日本のお客さまに対しては日本法を準拠法とし、東京地方裁判所を裁判管轄としています」(舟山氏)

 最後に必要となるのが、先行する技術とそれを追う法制度との狭間に生じるグレーゾーンに対し、適切なリスク分析を行いクラウドへの移行を決定するという、企業としての決断力である。時間の経過に伴い、グレーゾーンのリスクはある程度低減されるかもしれない。他方で、いち早くクラウドを活用することで、ITアウトソースのコストを削減させ、競争力の強化を実現した企業も数多く存在する。これらを総合的に勘案し、自社で許容できるリスクを見極め、決断をしなければならない。

 「個人情報保護ルールは今後ますます注目される分野です。データが国境を越え、さまざまな新しいサービスが出てくる中で、企業は、各国の既存の法制度を理解するだけでなく、認証の取得状況や法改正の最新動向も把握していく必要があります」と舟山氏。今後、各国の個人情報保護ルールにより、さらに厳格なコンプライアンス対応を求められていく中で、グローバルでのクラウド利用を考えるのであれば、マイクロソフトのクラウドサービスこそ“最適解”と言えそうだ。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2014年6月30日

関連リンク