国内クラウドがグローバル展開で注意すべき「EUデータ保護指令」とは何か

クラウド利用促進機構が8月20日に開催した勉強会で、同機構の法律アドバイザーでありISMS認証機関公平性委員会委員長でもあるTMI総合法律事務所の大井哲也弁護士は、国内外の個人情報保護法に関する注意点について解説しました。

この記事ではその中から、グローバルなクラウドサービスを提供する際に気をつけるべき「EUデータ保護指令」の部分をまとめました。

日本はEUにとって「十分な保護レベルでない第三国」

「EUデータ保護指令」とは、EUおよび英国においてPersonal Dataに関して十分なデータ保護レベルを確保していない第三国へのデータの移動を禁止する、というもの。日本以外のほとんどの国でもこれと同等の個人情報保護法が制定されていると、大井氏は指摘します。

そして日本も米国も「十分なデータ保護レベルを確保していない第三国」に含まれており、移動を許されているのはアルゼンチン、スイス、カナダなどの限定された国だとのこと。

ただし米国はセーフハーバー協定を2000年にEUと締結。認証を受けた企業ごとに十分性を付与することができるようになっており、Google、Amazon、Salesforce.com、マイクロソフトなどの事業者は認証を受けているとのこと。これらの企業のクラウドはEU域内でサービスを提供しても問題ないということです。セーフハーバー協定により認証を受けている企業の一覧は公開されています。

一方で、日本にデータセンターがあるクラウドを使ってEUや同様にデータ保護指令を持つ各国にサービスを提供しようとすると、前述の「EUデータ保護指令」にひっかるため注意が必要だと大井氏。

企業内でのグローバルなデータ移動にも注意が必要

大井氏は、このEUデータ保護指令が単に一般ユーザー向けのサービス提供だけではなく、グローバルな企業内での個人情報の扱いにおいても有効であり、注意すべきだと指摘します。

「商社、銀行などグローバルに展開している日本の企業が、例えばインド支店の取り扱いユーザーを東京のデータセンターで一括集約したいと。そうするとインドのユーザーのデータが国外に移転する。これはインドにおける個人情報保護法の規定に抵触する」（大井氏）

基本的に個人情報保護の法律はユーザーがいる国の法律が適用されるため、企業内のシステムであっても国境を越えたデータの移動には各企業が十分気をつける必要があるわけです。当然ながら、各国の個人情報保護法がどうなっているのか、どう遵守するかは、サービスやシステムの提供を受けるユーザーの責任です。

大井氏によると、同氏のTMI総合法律事務所へは、ユーザーからはそうした相談や依頼が寄せられるが、ベンダからはあまり寄せられないとのこと。クラウドの時代には法律に関するグローバルな調査が必要ですが、ユーザーが法律を調査するのは容易ではなく、ベンダ側からも法律事務所などをぜひ活用してもらいたいとのことでした。