※本記事は、マカフィー株式会社 コーポレートサポート本部 本部長 諸角昌宏によるものです。
前回は、クラウド・セキュリティ・ガイダンスの2つ目のカテゴリであるクラウドの統制(ガバナンス)の中から、ドメイン2:ガバナンスとエンタープライズリスクマネージメントおよびドメイン3:法律について説明しました。今回は、ガイダンスから少し離れて、CSAJC(Cloud Security Alliance Japan Charter)から提供されている「解説クラウド・セキュリティ・ガイダンス」の「II 法律問題編」について説明します。クラウド・セキュリティ・ガイダンスの説明を行っている本稿が、解説編を説明するというのも変な話ではありますが、ガイダンスは、米国におけるクラウドサービスに関する法律という観点から書かれています。ここでは、この「II 法律問題編」をもとにして、クラウド・セキュリティの法律問題と日本での適用法令に目を向けてみたいと思います。
- クラウド・セキュリティにおける法律問題
クラウド・コンピューティングにおける法律問題の前提として、まず捉えなければならない根本的な要請は、「法律等を遵守するなどの義務は、経営者の責務である」ということです。「クラウド・セキュリティ・ガイダンス、ドメイン3:法律」には、種々の法律の適用があると書かれていますが、この法律を遵守する義務は、経営者の義務であるということが強調されています。そして、この法律を遵守する義務を遂行するということは、単に遵守するだけではなく、遵守しているということに対する説明義務を果たさなければなりません。これは、クラウド・コンピューティングのすべての証拠について、企業が管理しうるものであるということが前提になっており、すなわち利用者がすべてのデータをもれなくコントロールできなければならないということになり、満たすことが非常に難しい前提といえるでしょう。また、クラウド・コンピューティングにおいては、仮想化という技術的側面とリモートにデータが所在するという側面による以下のリスクから、上記の前提をみたすことが難しいと考えられます。
- 第三者の利用に伴うリスク
- ネットワークを通じることによるリスク
- インフラストラクチャの抽象化に伴うリスク
- 仮想化技術により発生するリスク
今後、技術的・政策的な対応についても議論されなければなりませんが、法的な対応策として、継続的なコンプライアンス義務を議論していく必要があるといえるでしょう。
- 適用法令等をめぐる議論
クラウド・コンピューティングにおける法律適用の問題は、主に以下の点から生じます。- どこの国の法律が適用されるか
- データの所在が把握しにくい
- データが国の領土を超えて保存される
ここでは、日本の法律の適用の観点から、データを処理する主体が日本において活動しており、収集されるデータも主として日本に存在するという観点で話を進めます。
クラウド・セキュリティに関わる法律として日本で対象になる法律は、個人情報保護法です。個人情報保護法において、その遵守を要求されるのは、「個人情報取り扱い事業者」となります。ここで、「個人情報取り扱い事業者」とは、「個人情報を含む情報の集合体である個人情報データベース等を、事業の用に供している者で、個人情報保護法2条3項各号に掲げる者を除いた者」ということになります。この、個人情報保護法2条3項各号で定義されている者とは、国の機関など個人の権利利益を害するおそれが少ないものとして政令で定めている者になります。
この定義をクラウド・コンピューティングに適用してみると、大きく以下の3つの問題があげられます。- クラウド事業者と個人情報取り扱い事業者
サービスプロバイダなどのクラウド事業者は、個人情報保護法でいうところの「個人情報取り扱い事業者」となりうるのでしょうか。クラウド事業者は、基本的に個人情報を保有していることになりますが、個人情報保護法でいうところの「個人情報データベース等を事業の用に供して」いるのかどうかというところが判断となります。IaaSのようなリソース提供を主目的とする場合には、個人情報提供事業者にはならない可能性があります。 - 個人情報保護法における第三者性・外部委託にかかわる問題点
個人情報保護法、第23条1項において、「個人情報取り扱い事業者は、本人に同意を得ないで個人データを第三者に提供してはならない」としています。ここで、「提供」とは、「さし出して相手の用に供すること」ということになります。クラウド・コンピューティングにおいて、このデータが「提供」されるかどうかを検討する必要があります。これに基づくと、IaaS、PaaSにおいては、「提供されているとは言えない」ということになります。これは、データについて、クラウドの利用者自らが処理権を有していますので、「提供」されているということにはなりません。SaaSにおいては、個人情報保護法 第23条4項において、「利用目的の達成に必要な範囲において (略) 委託」する場合について、第三者ではないとしています。また、委託の趣旨・目的が明確であり、また、終了時におけるデータの返却・消去などが限定されている場合には、22条で「委託」として委託先の監督を定めている趣旨からして、第三者提供にはあたらないと考えられています。 - 管理上の必要性から生じる問題点
クラウド事業者は、データに対するアクセス権やセキュリティ対応について、クラウド事業者自らが講じることのできる自由度を確保しておきたいと考えています。しかしながら、個人情報保護法の観点から、これはデータの「委託」からはずれてしまうことになる可能性があります。むしろ、「第三者提供」となりうる可能性があり、この場合、個人情報保護に違反することになってしまう可能性があります。
以上のような問題点に対して、利用者側の個人情報保護ポリシーやプライバシー・ポリシーに照らし合わせた上での対応が必要です。
- プライバシーを根拠とする損害賠償
プライバシーが侵害された場合、日本と米国ではその損害賠償についての考え方の違いがあります。米国では、漏洩があった場合、損害賠償は現実の損害に基づき、判決されます。一方、日本では、個人情報保護のために安全対策を講ずる法的義務があるものとして、損害賠償義務を認めています。これは、ヤフーBB事件やTBC事件において発生しています。クラウド・コンピューティングにおいて、利用者がクラウド事業者に対してデータを委ねていた場合に、クラウド事業者が情報漏洩をした場合には、利用者と事業者との間の損害賠償の責任の範囲が問題になります。これは、契約や原因によって責任分配ということになります。
今回は、クラウドサービスに関する法律という点から説明してきました。日本では、適用法令として個人情報保護法がありますが、その適用範囲としては上記の内容に基づくことになります。しかしながら、クラウドサービスに関する実際の判例というものが、まだ、ほとんど上がってきていないというのが現実であり、今後の判例について注目していく必要があります。
さて、次回は、クラウド・セキュリティ・ガイダンスに戻って、クラウドの統制(ガバナンス)の中から、「ドメイン4:電子情報開示(e-ディスカバリ)」と、「ドメイン5:コンプライアンスと監査」について説明します。
*本記事は、弊社「クラウド・セキュリティ・勉強会」メンバーである、藤井大翼、桐谷彰一、中山幹夫の協力により、執筆されました。
関連記事
- [2011/07/08] クラウド・セキュリティを学んでみよう!:運用編 – 第1回
- [2011/07/15] クラウド・セキュリティを学んでみよう!:運用編 – 第2回
- [2011/07/22] クラウド・セキュリティを学んでみよう!:運用編 第3回 (最終回)
- [2011/06/10] クラウド・セキュリティを学んでみよう!:ガバナンス編 – 第1回
- [2011/06/24] クラウド・セキュリティを学んでみよう!:ガバナンス編 – 第3回
- [2011/07/01] クラウド・セキュリティを学んでみよう!:ガバナンス編 – 第4回
- [2011/06/03] クラウド・セキュリティを学んでみよう!:アーキテクチャ編
- [2011/02/08] クラウドコンピューティングにおけるセキュリティ対策 – 第1回
- [2011/02/15] クラウドコンピューティングにおけるセキュリティ対策-第2回
- [2011/02/22] クラウドコンピューティングにおけるセキュリティ対策-第3回
- [2011/03/01] クラウドコンピューティングにおけるセキュリティ対策-第4回