執筆:フリーライター 中村 仁美
右から鈴木正朝氏(新潟大学教授)、高木浩光氏(産業技術総合研究所)、青野慶久氏(サイボウズ社長)板倉陽一郎氏(ひかり総合法律事務所弁護士)、山本一郎氏(モデレーター)
国産クラウドベンダーがEUでサービス展開できない訳
サイボウズ
代表取締役社長
青野 慶久 氏
青野氏:Webに書き込んだ通りですが、越境データという問題に気付いたきっかけは、(ITproで掲載されていた)
「EUデータ保護規則」の衝撃という記事を読んだことです。この記事によると、「EUの個人データは私たちの日本では管理すると罰せられるので、国産クラウドは提供できない」ということになります。最近、日本大企業から引き合いが増えていますが、「EUにある支店でもサイボウズのサービスを使えるのか」と尋ねられると、「はい」とは言えないということですよね。
ひかり総合法律事務所
弁護士
板倉 陽一郎 氏
板倉氏:その通りです。EUから「十分性」を得ていないので、欧州に支店などがある組織では使えません。EUから十分性を得るには、越境移転を制限しなければならないのですが、日本はホワイトリスト方式を採用しているので、難しいのが現状です。ホワイトリスト方式の場合、米国は日本に十分性を認めることを求めてきます。しかし米国はEUから十分性が認められていないため、日本もEUの十分性が得られなくなってしまうのです。また日本の法律では、パーソナルデータの取り扱いの全部または一部を外国事業者に委託する越境委託にも制限があります。つまりサイボウズがEUの子会社でクラウド事業を展開しても、こうした問題が出てきて、難しいのが現状です。
新潟大学 法学部
教授(情報法)
鈴木 正朝 氏
鈴木氏:これまで産業界は十分性認定に逆行するような方向へと進んでいたことにも原因はあります。そのため日本の越境データ問題は欧州とも米国とも乖離しており、日米欧でデータ流通が滞っている。その一番の問題がプロファイリング規制だと思います。EUの規制の中では最もインパクトが大きい。
クラウドというビジネスモデルは「委託」なのか
(クリックで拡大)
山本 一郎 氏
国立研究開発法人産業技術総合研究所
情報技術研究部門
主任研究員
高木 浩光 氏
山本氏:クラウドは委託かという問題についてはいかがでしょう。
高木氏:EUやOECDのガイドラインではコントローラとプロセッサという用語を使って、委託元と委託先の区別をしていますが、日本の法律ではそういう区別がないのもやっかいです。例えば最近、富士通がパソコンの修理受付で、マイナンバーが入っているパソコンは取り扱わないということが話題となり、結局、マイナンバーとして使用しないのであれば、別に取り扱っても構わないということになりました。EUの制度では「マイナンバーとして取り扱う」「パーソナルデータとして取り扱う」という「として」という部分が大事な点なんです。日本は「取り扱い」という言葉で保管も何もかも表すので、そこも解決しないといけないところだと思います。
板倉氏:一般論として「外国にある第三者が個人データを取り扱えない」という旨が契約条項で定められており、適切なアクセス制御が行われている場合は、委託にはなりません。個人データの提供を受けて取り扱っていることにはならず、倉庫と同じ。したがってサイボウズが海外に出ても、セキュリティの規制しかかからなくなります。ただし契約条項に「個人データとして取り扱わない」という旨を記載してもらえるかどうか。サイボウズはこれを守って海外で展開しないと、日本から出られないということです。
青野氏:よく分からないのですが、国ごとに守りたいものバラバラで、個別で交渉をしたりお金を払ったりなど、全体負債的な問題が起きている認識で良いのでしょうか。
【次ページ】越境データ問題ではどんなリスクをはらんでいるのか
個人情報保護・マイナンバー対応 ジャンルのトピックス
一覧へ
個人情報保護・マイナンバー対応 ジャンルのIT導入支援情報
一覧へ