ニュース
» 2017年05月12日 08時00分 UPDATE

Azure漫遊記:“コンプラ”を理由にクラウドを使わない時代は終わったのか (1/2)

個人情報の扱いなど、企業コンプライアンス(法令順守)の重視から、オンプレミスサーバにこだわる企業も少なくない。だが、クラウド上の個人情報保護や特許にまつわる問題への対応は確実に進んでいる。パブリッククラウドの1つ「Microsoft Azure」では、これらの問題を未然に防ぐための施策を数多く用意している。

[阿久津良和,ITmedia]

この連載は

基幹システムや業務システムをオンプレミスサーバで運用しながら、クラウド移行のタイミングを探っている企業のIT担当者向けに、Microsoftのパブリッククラウド「Microsoft Azure」を活用する際のポイントや事例を紹介する。


 今や業種を問わず、パブリッククラウドを導入する企業が増えている。その一方で、企業コンプライアンスの要請は年々高まっており、2017年5月には改正個人情報保護法の全面施行も控えている。

 クラウドの導入を検討する企業にとって、一番の関心事ともいえるのが、「クラウド上の個人情報の扱いはどうなるのか」という問題だ。

 例えば個人情報を扱う企業が、そのデータをクラウド上に預ける場合、「“第三者となるクラウド事業者”に個人情報を提供した」ものとして改めて情報提供者の同意を得る必要があるのか、また、個人情報の取り扱いをクラウド事業者に“委託した”ことになるのか、といった点は気になるところだ。

 個人情報保護委員会が作成したガイドラインQ&A(『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』)では、クラウド提供事業者が個人データを取り扱わない場合は、個人データの「委託」や「第三者提供」には該当しない(同Q&A A5-33)と説明している。

政府や警察の「データ開示要請」への対応は

 クラウド上のデータ保護については、“クラウド事業者が、政府機関や法執行機関などの第三者からデータ開示要請を受ける場合の対応”も重要なポイントだ。

 グローバルに目を向けると、政府機関からの開示要請がパブリッククラウド事業者に対して出された例が見受けられる。Microsoftも2013年に米国政府からアイルランドのデータセンターにあるメールの開示要求を拒否して訴訟を起こしており、2016年7月に控訴審にて勝訴した(現在も係争中)。

Photo 日本マイクロソフト 政策渉外・法務本部/弁護士の中島麻里氏

 現在Microsoftは、全世界の顧客から預かっているデータに対して、政府機関や法執行機関が開示を要求しても「データは顧客のもの」との考えに立って、開示を原則禁止している。

 日本マイクロソフト 政策渉外・法務本部/弁護士の中島麻里氏によれば、2016年上半期に、同社が開示要求を受けた件数は全世界で3万5572件だという。大半が個人ユーザー向けの無償サービスに関するものであり、法人向けサービスの開示要求は28件にとどまっている。

 そのうち12件は開示せず、16件は強制力ある命令に基づいて最低限のデータのみ開示しているが、コンテンツ開示は5件のみ。このような数値を「Law Enforcement Requests Report(法執行機関からの要請に関するレポート)」上で開示している理由の1つが、「顧客のコンプライアンス対応に影響しないパブリッククラウドとしての信頼性が重要であるため」(中島氏)と説明する。

Photo 2016年上半期のおけるMicrosoftへの開示要求件数は「Law Enforcement Requests Report」で確認できる

顧客ごとに異なるセキュリティ要請に対応

 日本マイクロソフトは、顧客先を訪れる際に一般的な営業担当者だけではなく、必要に応じて、技術や法務部門の担当者も同席する。その理由として、顧客の業種や業務内容、パブリッククラウドの利用形態によって、セキュリティまわりの質問が異なるため、内容に応じた専門家が直接対応するのがベストと考えているからだ。

 例えば顧客が旅⾏代理業者であれば、「顧客のデータを海外⽀店と共有する場合の質問に回答する」といったケースが考えられる。データを利用する支店が“北米にあるのか欧州にあるのか“でも、扱いや開示要求時の対応が異なるなど顧客の質問は多岐にわたるが、基礎的な部分は前述のガイドラインQ&Aで補い、企業固有のケースは専門の担当者が対応するという。

 また、顧客となる企業が、⾃社でルールとして定めた個⼈情報保護のための覚書を締結するようパブリッククラウド事業者に求めることもある。この場合、⽇本マイクロソフトはMicrosoftの契約に同等の定めがあることや、覚書は必要ではないとするガイドラインQ&Aについて説明している。具体的には自社ルールと顧客の社内ルールを照らし合わせ、1つ1つの問題を法務部⾨担当者がマッチングさせるという。その結果、両社が納得できる覚書の締結に至るそうだ。

グローバル化に伴うセキュリティ要請にも対応

 企業のグローバル化が進む中、個人情報の取り扱いが欧州連合(EU)を含む場合、企業は複雑な対応を求められる。例えばEU圏に支社がある場合、EUが1995年に採択したEU域外への個人データの持ち出しを原則禁止する「EUデータ保護指令」という大きな壁が存在する。

 日本マイクロソフトは、「EUモデル条項」やEU・米国間の枠組みである「プライバシーシールド」に準拠し、この制限に対応している。昨今は、「EUデータ保護指令」に代わり、2018年5月に施行される「GDPR(一般データ保護規則)」への対応が欠かせないが、既にMicrosoftは2018年5月までのGDPRへの対応完了を確約するとともに、Webでの情報提供も開始している。

 他にも日本マイクロソフトは、「パブリッククラウド事業者のための個人情報保護の規範(ISO/IEC 27018:2014)」に対応するなど、パブリッククラウドの信頼性・透明性を高める施策を用意している。なお、パブリッククラウド案件で法的理由が障壁となって獲得できなかった案件は皆無だという。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -