コラム | {{ site_settings.logo_alt }}

コラム | ITインフラのグローバル展開に関する法規制 ~クラウドサービス上で個人情報を管理する際の問題点について~ | {{ site_settings.logo_alt }}

作成者: 松田 英明|Jan 10, 2014 5:31:00 AM

グローバルに事業展開する企業にとって、世界中のどこからでも容易にアクセスして利用できるクラウドコンピューティングサービス(以下「クラウドサービス」)は必須のビジネスツールとなりつつあります。
このクラウドサービスの特徴や利用のメリットについては多く語られているものの、利用上の注意点やリスクについては必ずしも十分に検討されているとは言えないのではないでしょうか?
本稿では、クラウドサービスに関するコンプライアンスの側面、とりわけ個人情報の保護に関する法令遵守の観点から、クラウド利用上注意すべき法規制について述べたいと思います。

注・・・本稿で述べる内容は、すべて執筆担当者の個人的見解であり、ビジネスエンジニアリング株式会社を含むいかなる企業、団体をも代表して公式見解を示すものではありません。また、本稿で述べる内容をもとにいかなる行動がとられ、またはとられなかったとしても、ビジネスエンジニアリング株式会社および執筆担当者は一切責任を負いません。

1.世界の個人情報保護関連法制も基本は同じ

グローバル企業は、個人情報の収集もグローバルで行います。その企業がクラウドサービスを利用して個人情報を管理しようとすると、世界中から収集した個人情報を、世界中に分散する(少なくとも分散する可能性が高い)クラウドサーバー上で保管することになります。
個人情報は個人の尊厳やプライバシーといった基本的人権に関わる情報ですので、人権、個人の尊厳を保証する憲法を持つ国々において、個人情報保護に関する法規制が定められています。
法規制の内容としては、本人に無断で個人情報を開示しない、本人が事前に承諾した以外の目的で個人情報を利用しないなど、世界共通の部分が多くあり、この点ではクラウドサービスを利用するからといって特に心配することはないと思います。

2.国によって異なる「個人情報の国外持出」の問題

気をつけなければならないのは、国ごとに異なる規制が設けられている部分です。その1つが個人情報の国外での保管の問題です。
日本では受領した個人情報を本人に無断で開示しないよう注意して保管すれば十分で、個人情報の保管場所については特に規制がなく、企業の裁量に委ねられています。一方、EUでは本人の承諾なく個人情報をEU加盟国外へ移動させることが禁止され、間もなく正式にルール化される見込みとなっています。同様の規制はシンガポールの個人情報保護法でも設けられるようです。
この点は、企業が事業活動において収集した個人情報をクラウドサービス上で管理しようとする場合には、コンプライアンス上の思わぬリスクに遭遇することになります。

3-1.個人情報の国外持ち出し規制への対応策(1)

対応策の第一は国外へ持ち出さないことで、個人情報を収集した国にだけサーバーを置いているクラウドサービスプロバイダーと契約し、国外に個人情報を移転しない仕組みのもとでのみ、その個人情報を利用することです。
しかしながら、この対策では世界中の個人情報を集約して一元管理し、効率的に活用することができなくなりますので、せっかくのクラウドの利点を活かしきれません。また、巨大なデータセンターを設置しやすい場所が限られている現状では、コスト的にも難しいでしょう。

3-2.個人情報の国外持ち出し規制への対応策(2)

国外に持ち出さない選択肢はなさそうですので、保管場所を限定しない利用方法を考えてみましょう。そもそも個人情報保護法制は、個人のプライバシー権保護のために整備されていますので、逆に言えば本人の同意さえあれば個人情報の保管場所については柔軟な対応が可能になると考えることができそうです。
つまり、個人情報を収集する前に契約書等の同意文書や個人情報のWeb入力画面で、『収集した個人情報の保管場所は本人が居住する国以外の国であっても良い』との同意を明示的に得ておくことで、ある程度は問題を回避できるのではないかと思われます。

3-3.個人情報の国外持ち出し規制への対応策(3)

前述の対応策(2)は、これから新たに個人情報を入手する場合には有効ですが、今すでに保有している個人情報を国外保管する場合には、情報主体の全個人から同意を得るなどの追加対応が必要になるという問題点があります。
このような場合には、本人の同意なく個人情報を国外保管できる対応策が必要となります。前述のEUやシンガポールの例でいえば、個人情報を収集した国の個人情報保護規制に準拠した個人情報管理体制を構築済みのデータセンターに対してであれば、そのデータセンターが国外にあっても本人の同意なく個人情報を移転し、保管することが可能です。これを利用する方法があります。
国や地域によって必要とされる管理体制は微妙に異なる可能性がありますので、全世界の国々の規制に対応することは現実的にはまだ難し過ぎるといわざるを得ません。ただし、EUのデータ保護指令に限って言えば、①EU域内またはEUにより厳しい個人情報保護法制を布いているとの認定を受けている国(スイス、イスラエルなど十数カ国)のデータセンターであれば個人情報移転・保管が許されるという規定や、②データセンター運営企業が厳格な管理体制を構築済みであることをEUにより認定されている場合には、そのような企業(米国の一定の企業が認定されています)への個人情報移転は許されるという規定があります。こういった規定を活用できれば、EUの法規制との関係ではコンプライアンス上の対応が可能になります。

ちなみに、B-EN-Gが提供するBusiness b-ridgeは、米国マイクロソフト社のAzure上に展開するサービスですが、米国マイクロソフト社が上記のEUによる認定を取得済みですので、EU域内で取得した個人情報についてはBusiness b-ridgeを活用して管理することが可能です。

4.最後に

クラウドの時代が始まって以降、EUなど一部地域にとどまるとはいえ、早速クラウド利用に関わる法規制が整備され始めてきています。
日本企業の進出が著しいアジア地域においても、経済発展とともに人権保護の機運も高まってくるはずで、それに対応した個人情報保護法制が整備されるのは時間の問題と思われます。
したがって、コンプライアンスリスクに対応したクラウド利用の仕組みを早いうちに準備しておくことが重要です。