ハイブリッドクラウドの実現に向け、技術的・法的課題は何か。前編「クラウドはオンプレミスとデータ連携ができる？　どうなる連携コスト」では、オンプレミスとクラウドのデータ連携についての課題や技術的構造を整理した。将来ハイブリッドクラウドが実現した際にあらゆる利用者が必ず直面し、既に国際展開を果たしている先進的利用者は今まさに取り組んでいる、世界の法制度の問題について状況を整理してみたい。

※前編：クラウドはオンプレミスとデータ連携ができる？　どうなる連携コスト
→http://techtarget.itmedia.co.jp/tt/news/1112/21/news02.html

　第3回「クラウドは安全か？　事業者との責任分界点、注目すべき安全基準とは」の最後に軽く触れた通り、クラウド利用の一般化が全世界に広がれば、資源選択などのダイバーシティが確保され、特定地域の災害リスクなどからデータやサービス資産が自由になる。その半面、世界各国・地域の法制度など、これまで国内でICT利用が完結してきた事業者、利用者にとっては未知のリスクに直面することになる。

※第3回：クラウドは安全か？　事業者との責任分界点、注目すべき安全基準とは
→http://techtarget.itmedia.co.jp/tt/news/1111/17/news02.html

　第3回で掲載したガバナンスレイヤーケーキモデル（図4）に基づいて考えると、実装＝アーキテクチャによって解決すべきドメインの外側に法令順守と監査対応、さらに事業継続性確保と災害対策ドメインがある。クラウド事業者であれ、利用者であれ、本連載「クラウドガバナンス現在進行形」では日本に活動基盤がある読者を想定しているので、ここでは日本の事業者・利用者にとって事業性が確保できる法の範囲を割り出すこととする。

※連載：クラウドガバナンス現在進行形インデックス
→http://techtarget.itmedia.co.jp/tt/news/1111/22/news08.html

　アーキテクチャにおいて法が直接に関連するのは、法務・電子証拠開示と個人情報・アクセス管理ドメインの2つだ。法務・電子証拠開示ドメインについては、技術的に日本の事業者・利用者にとって受け入れ可能な要求であるならフォレンジック技術（※2）の問題として脇に置いておける。しかし、個人情報・アクセス管理ドメインについては個人情報保護法制の問題と直結しているので、日本と同等かそれ以上の法制度が整備されていない国の法律によって管轄されるサービスの利用や事業進出は慎重に検討する必要が出てくる。

（※2）フォレンジック技術：不正アクセスや機密情報漏えいなど、コンピュータに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段や技術。

●日本と同等またはそれ以上の個人情報保護体制が整備されていそうな国・地域

　まずは法の数を把握してみよう。国際連合経済社会局人口部が世界の人口推計の対象として把握している国および地域数は229。これに同推計に掲載されていない台湾を加え、全世界で230の国および地域があるとする。次にクラウド利用が目的であるので、そもそも電気通信ができなければ対象外となるためITU条約締結国に絞り込むと193になる（ちなみにITUによって割り当て済みE.164番号は216。うち、国・地域に割り当てられている番号は209だが、話がややこしくなるので説明は省く）。この193の国・地域が条約締結し加盟しているITU憲章では、37条で電気通信の秘密を規定しているが、2項で国内法や他の条約に基づく通報権を留保しているので、さらに17条で不法な通信の秘密への干渉、攻撃を禁じた国際人権規約（自由権規約：B規約）締結国で絞り込みをかけると165となる。

　さて、これで230の国・地域から165と71％強まで絞り込んだが、実は日本の貿易相手国で1位の中華人民共和国は国際人権規約（自由権規約：B規約）を批准していないため、この165の国・地域のリストには含まれていない。とはいえ、中華人民共和国についてはグレートファイアウォールの件などもあるので別途説明することとし、今回は扱わない。ここでは、これら165の国・地域については紛争などのリスクが容認できるなら事業進出またはクラウド利用の対象となり得ると整理する。ただし、これら165の国・地域内法制は個別に調査が必要だ。

　次に、個人情報保護の観点で日本と同程度の法制度を整備している国・地域はどこだろうか？　これはOECD8原則を出発点として整理可能だ。同原則の勧告付属文書19に国内の制度確立を求める規定があり、日本の個人情報保護法も同原則を下敷きとしている。OECD加盟国は34カ国で、このうち、OECDが運営する「Global Privacy Enforcement Network」（GPEN）にコンタクトポイントを設定している国は21カ国。残念ながらこの21カ国に日本は含まれていない。この21カ国については日本と同等の法制度が整備されている可能性が高い（言い切るためにはやはり各国法制を個別調査しなければならないが今回はそこまで踏み込めなかった）。

　ではこれらの国より厳格な制度を持つ国・地域はどこだろう？　第3回でも名前だけ紹介したEUデータ保護指令（個人データ処理にかかわる個人の保護および当該データの自由な移動に関する欧州議会および理事会の指令　95/46/EC）に基づいた各国国内法制を整備しているEU加盟国27か国が挙げられる。同指令は欧州評議会の個人データ保護条約に源流を持ち、OECD8原則にはないEU構成国外への個人データ移転制限（第三国条項）とEU構成国間での越境執行協力体制の整備が義務付けられている点に特徴がある（ちなみにOECDも近年、越境執行協力体制の整備に積極的で先に紹介したGPENも協力体制整備の一環として行われている）。なお、同指令には例外があり、EUから十分な保護水準を確保していると認められた国・地域（スイス、カナダ、アルゼンチン、ガンジー島、マン島、ジャージー島の6の国・地域）は第三国条項適用が免除されている。さらに米国はセーフハーバー協定をEUと締結し、EUデータ保護指令の基準を満たす対策を施した企業は米商務省に個別に登録することで第三国条項適用を免れている。もちろん、というのもおかしな話だが、日本はこの第三国条項が適用されている。

　気になるEUデータ保護指令違反時の罰則についてだが、同指令の23条で同指令に対する違反行為に対して対応するEU加盟国各国の国内法規で損害賠償請求権を認めており、24条で同様に違反行為に対して各国の国内法規によって制裁規定を設けることを規定している。筆者が調べた範囲では制裁の例として通信遮断などの措置があった。特記しておくなら、同指令はEU市民の個人データを第三国に移転することを制限しているのであって、EU域内に日本の利用者データを移転することには制限はないので留意願いたい（個別EU加盟国内法制の調査は別途行いたい）。

　ここまで説明してきた内容を表にまとめると以下のようになる。OECD加盟国とEU加盟国はかなりの程度重なっているので、全体として見ると今回の整理の仕方で日本と同等またはそれ以上の個人情報保護体制が整備されているといえそうな国・地域は全部で44となる。念のために断っておくと、「条約や指令の記載を並べるとそうだ」というだけで、実務上これらの国・地域に立地する事業者の個人情報保護体制が日本のそれを上回っていることを担保しているわけではない。

※表：国別に加盟している条約や指令（本文中段）
→http://techtarget.itmedia.co.jp/tt/news/1112/26/news02.html

　ここまで見てきた範囲では、ガバナンスという観点で考えると、最低限の個人情報保護法制と通信サービスを持っている可能性が高い国が全世界230の国・地域のうち165あり、日本と同等以上の個人情報保護法制が整備されている国・地域が44ある。そのうち、EU加盟国27カ国とEUデータ保護指令に基づく第三国条項免除されている6の国・地域とセーフハーバー協定を締結している米国（のセーフハーバー協定適用事業者）を合わせた34の国・地域以外、つまり10の国ではEU市民のデータ格納に利用できない制限があるといえそうだ。この10カ国のうち、イスラエル、オーストラリア、ニュージーランド、メキシコ、韓国の5カ国はGPENに参加しており、国外から個人情報保護の観点ではコンタクト先を把握しやすいのでEU市民のデータ格納を行わない場合は選択肢になりやすいかもしれない。

●米国愛国者法とは何か、その影響を考える

　もう1つ、第3回「クラウドは安全か？　事業者との責任分界点、注目すべき安全基準とは」で名前だけ紹介した米国愛国者法にも触れておこう。正式名称を和訳すると「テロリズムの阻止と回避のために必要な適切な手段を提供することにより米国を統合し強化する2001年の法」という大変長い名称のこの法律は、2001年10月26日に当時のブッシュ大統領が署名して成立した。9.11テロを契機としたこの法律はこれまで紹介してきた個人情報保護を目的とした諸法制とは異なりテロ対策を目的としているため、米国内でも人権面などから議論のある法律となっている。

　クラウドガバナンスの観点からは特に「Title V : Removing obstacles to investigating terrorism」にある、司法・治安当局が裁判所を通さずに、個人情報や通信料金、トランザクションレコード、金融機関の取引履歴や教育記録の収集を可能とする規定の影響について考慮しておく必要がある。先にも書いたが、これらのログ提出義務に対応するためには法務・電子証拠開示ドメインにおいてアーキテクチャレベルで強力なフォレンジック機能を実装しておく必要も出てくる。十分なフォレンジック能力を持っていなかった場合、物理機材レベルで差し押さえされるリスクもあるだろう。米国法に基づいて提供されるサービスの場合、適用される可能性が高いので個別に確認いただきたい。

　従来の犯罪捜査などの場合、ICPOの国際手配制度を介して各国捜査当局が実務に当たるのが通常だったが、米愛国者法の運用に関してはそもそも公知の事例が少なく、日本に設備が置かれた米国企業（または子会社）の提供するサービスに同法が適用された場合の運用フローがどのようなものになるのか現段階で解説することはできない。あえて推測するなら適用された場合、最小で、利用サービスは停止しないが、米司法・治安当局にデータがコピーされる可能性があり、最大で設備またはデータが差し押さえられる可能性がある、といったところだろうか。

　この他、日本企業が運営し、日本国内に設備が置かれたサービス上に構築されたサイトなどで約款または規約で日本法と日本の裁判所を指定した管轄合意をうたっても、消費者との取引を行う場合（消費者契約）は弱者保護の観点から契約上の管轄合意にかかわらず消費者の常住地の法規が適用される場合があるので注意を願いたい。

　ついでに事業継続性確保と災害対策ドメインにも簡単に触れておくと、国際人権規約の履行状況については自由権規約人権委員会（OHCHR）が実施監督しているので、同委員会の勧告などを考慮して受け入れ可能なリスク（事業対象、または進出対象国・地域）を確定するのも1つの方法だ。ただし、国際人権規約は4条で緊急事態時には規約違反することを容認する旨規定しているので、「外務省 海外安全ホームページ」を参考に危険情報を確認しておくべきだろう。さらに包括的で長期的なリスク情報を求めるならmaplecroftの「Global Risks Portfolio」や、世界経済フォーラムが公開している「グローバルリスク報告書」「Country Risk Classification」などを参照するとよいだろう。事業者の場合、サービスなどの取引を行うことになるだろから対象国別の決済手段（国際クレジットカードブランドの対応状況など：VISAの場合200か国・地域）も参照しておく必要があるだろう。

　ここまで見てきたように本格的にクラウド利用が全世界に広がり資源選択などのダイバーシティが確保されたHybrid Cloudによる開かれた市場が実現するには、各国まちまちの法制度が障害になりそうだ。しかし、EU域内の越境執行協力体制や、OECDの取り組みなど、国際的な共同規制の枠組み作りもさまざま取り組まれている。こういった共同規制の枠組み構築の動きについても注目していきたい。この観点から付け加えておくと、アジア太平洋地域でAPECが公開している「Privacy Framework」も非公式なフォーラムによる動きとはいえ、共同規制に向けた取り組みの1つとして挙げられるだろう。

　実は本稿で国内各種業法が要求する要件をクラウドで実現する方法についての検討や、クレジット課金に当たってのPCI DSS対応をケースとして考えてみたかったのだが欲張りすぎだったようだ。これらのテーマは次回に譲ることとしたい。また、本稿では法規や条約などについても取り扱っているが、筆者はクラウドアーキテクトの視点からクラウドガバナンス上の制約条件として法を見ているにすぎない。読者各位の意思決定に当たって法にかかわる判断をされる際には、必ず専門の法律家の意見を仰ぐようお願いする。【川田大輔】