ここから本文です

“コンプラ”を理由にクラウドを使わない時代は終わったのか

ITmedia エンタープライズ 5/12(金) 14:35配信

 今や業種を問わず、パブリッククラウドを導入する企業が増えている。その一方で、企業コンプライアンスの要請は年々高まっており、2017年5月には改正個人情報保護法の全面施行も控えている。

【画像】「Microsoft Azure IP Advantage」の概要。顧客データやIP訴訟リスクの保護を目指す

 クラウドの導入を検討する企業にとって、一番の関心事ともいえるのが、「クラウド上の個人情報の扱いはどうなるのか」という問題だ。

 例えば個人情報を扱う企業が、そのデータをクラウド上に預ける場合、「“第三者となるクラウド事業者”に個人情報を提供した」ものとしてあらためて情報提供者の同意を得る必要があるのか、また、個人情報の取り扱いをクラウド事業者に“委託した”ことになるのか、といった点は気になるところだ。

 個人情報保護委員会が作成したガイドラインQ&A(『「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A』)では、クラウド提供事業者が個人データを取り扱わない場合は、個人データの「委託」や「第三者提供」には該当しない(同Q&A A5-33)と説明している。

●政府や警察の「データ開示要請」への対応は

 クラウド上のデータ保護については、“クラウド事業者が、政府機関や法執行機関などの第三者からデータ開示要請を受ける場合の対応”も重要なポイントだ。

 グローバルに目を向けると、政府機関からの開示要請がパブリッククラウド事業者に対して出された例が見受けられるる。Microsoftも2013年に米国政府からアイルランドのデータセンターにあるメールの開示要求を拒否して訴訟を起こしており、2016年7月に控訴審にて勝訴した(現在も係争中)。

 現在Microsoftは、全世界の顧客から預かっているデータに対して、政府機関や法執行機関が開示を要求しても「データは顧客のもの」との考えに立って、開示を原則禁止している。

 日本マイクロソフト 政策渉外・法務本部/弁護士の中島麻里氏によれば、2016年上半期に、同社が開示要求を受けた件数は全世界で3万5572件だという。大半が個人ユーザー向けの無償サービスに関するものであり、法人向けサービスの開示要求は28件にとどまっている。

 そのうち12件は開示せず、16件は強制力ある命令に基づいて最低限のデータのみ開示しているが、コンテンツ開示は5件のみ。このような数値を「「Law Enforcement Requests Report」(法執行機関からの要請に関するレポート)」上で開示している理由の1つが、「顧客のコンプライアンス対応に影響しないパブリッククラウドとしての信頼性が重要であるため」(中島氏)と説明する。

●顧客ごとに異なるセキュリティ要請に対応

 日本マイクロソフトは、顧客先を訪れる際に一般的な営業担当者だけではなく、必要に応じて、技術や法務部門の担当者も同席する。その理由として、顧客の業種や業務内容、パブリッククラウドの利用形態によって、セキュリティまわりの質問が異なるため、内容に応じた専門家が直接対応するのがベストと考えているからだ。

 例えば顧客が旅⾏代理業者であれば、「顧客のデータを海外⽀店と共有する場合の質問に回答する」といったケースが考えられる。データを利用する支店が“北米にあるのか欧州にあるのか“でも、扱いや開示要求時の対応が異なるなど顧客の質問は多岐にわたるが、基礎的な部分は前述のガイドラインQ&Aで補い、企業固有のケースは専門の担当者が対応するという。

 また、顧客となる企業が、⾃社でルールとして定めた個⼈情報保護のための覚書を締結するようパブリッククラウド事業者に求めることもある。この場合、⽇本マイクロソフトはMicrosoftの契約に同等の定めがあることや、覚書は必要ではないとするガイドラインQ&Aについて説明している。具体的には自社ルールと顧客の社内ルールを照らし合わせ、1つ1つの問題を法務部⾨担当者がマッチングさせるという。その結果、両社が納得できる覚書の締結に至るそうだ。

●グローバル化に伴うセキュリティ要請にも対応

 企業のグローバル化が進む中、個人情報の取り扱いが欧州連合(EU)を含む場合、企業は複雑な対応を求められる。例えばEU圏に支社がある場合、EUが1995年に採択したEU域外への個人データの持ち出しを原則禁止する「EUデータ保護指令」という大きな壁が存在する。

 日本マイクロソフトは、「EUモデル条項」やEU・米国間の枠組みである「プライバシーシールド」に準拠し、この制限に対応している。昨今は、「EUデータ保護指令」に代わり、2018年5月に施行される「GDPR(一般データ保護規則)」への対応が欠かせないが、既にMicrosoftは2018年5月までのGDPRへの対応完了を確約するとともに、Webでの情報提供も開始している。

 他にも日本マイクロソフトは、「パブリッククラウド事業者のための個人情報保護の規範(ISO/IEC 27018:2014)」に対応するなど、パブリッククラウドの信頼性・透明性を高める施策を用意している。なお、パブリッククラウド案件で法的理由が障壁となって獲得できなかった案件は皆無だという。

●クラウド上の特許訴訟を防ぐ「Azure IP Advantage」

 パブリッククラウドの普及は、知的財産(IP)訴訟をも招いている。

 Microsoftによると、過去5年間に米国で起きたパブリッククラウド関連の特許訴訟の数は22%増加し、賠償金の中央値は約700万ドル。NPE(特許不実施主体:特許を事業で実施しない団体)によるクラウド関連特許の購入数も35%増と、クラウド上での特許訴訟リスクは増加傾向にあるという。

 そのためMicrosoftは、Azure利用者を保護するサービスとして、2017年2月に「Azure IP Advantage」を発表した。これは、既存の顧客防御の対応範囲拡大や、新たな対応を組み合わせたサービスである。

 以前からMicrosoftは、知財訴訟リスクに対する保護を行っていたが、Azure IP Advantage開始に伴い、同社製品に加えてAzureに取り込まれているオープンソース製品も対象に加えた。これは、Azure上の仮想マシンやアプリケーションでオープンソースソフトウェアが多数用いられる現状に対応するためだ。対象はMicrosoftのAzureサービスを利用する全顧客となる。

 興味深いのは、NPEなどによるIP訴訟への対策だ。Microsoftが所有する1万件の特許から1件の特許を顧客に譲渡し、仮に裁判が起きた場合は相手を反訴するといった法的戦略を可能にするというもの。基本的にはAzure利用者全てが利用できるが、過去3カ月間Azureを月に1000ドル以上利用し、過去2年間以内にAzureのワークロードに関して他の顧客に対するIP訴訟を行っていない利用者が対象となる。

 さらにMicrosoftが将来的にNPEへ特許を譲渡した場合でも、IP訴訟などAzure利用者へ権利を行使しないことを確約させるという。

 Azure IP Advantageは発表して間もないため、実際の利用状況などは明らかにされていないが、顧客からの問い合わせは多く、特に製造業関係から強い関心が寄せられているという。また、IP訴訟となると大手企業が念頭に浮かびがちだが、スタートアップなどの新興企業にも有益となるだろう。

 このようなサービスをMicrosoftが行う理由は、クラウドの透明性確保するとともに顧客を保護し、パブリッククラウド市場での存在感を高めようとしているからだ。

 クラウド市場でトップの座を狙うためには、顧客に安心して使ってもらえるクラウドの提供が欠かせないという戦略判断から、CSゴールドマークの取得やFISC(金融情報システムセンター)の安全対策基準準拠、今回紹介した各種施策を推し進めている。

 IT業界で長い歴史を持つMicrosoftが多くの訴訟を受けてきたことは、齢(よわい)を重ねた読者諸氏の方ならご存じだろう。同社がこれまでの知見を生かして顧客を守るために提供するAzure IP Advantageは、ユニークであると同時にパブリッククラウド事業者としての真剣味の現れといえよう。

最終更新:5/12(金) 14:35

ITmedia エンタープライズ